“蓝色字体”事件背后的隐患 警惕这类卡片消息!
这两天,一条“点击蓝色字体有惊喜”的消息在各个QQ群热传。
点击“点我”按钮后会自动在当前对话中发出“周末我穿女装给你们爽爽”,引得一众女装大佬的疯狂点击……
正当大家玩得不亦乐乎之时,突然有位“大佬”出来警醒大家:别玩了!IP泄露了!这引起了人们对其安全性的担忧,我们也收到了不少用户的咨询。
“卡片消息”
其实这个蓝色字体消息使用的是QQ正常的“卡片消息”功能。QQ会在推送音乐、地图等特殊消息的时候使用该功能。
(图为知乎用户@流星暴雨相关回答)
此次事件是有人利用技术手段篡改了QQ“卡片消息”,实现了点击“蓝色字体”发送自动回复的情况。不少网友也对此做了相关解答,并认为这位“大佬”是在造谣。
虽然由于腾讯QQ已经在第一时间对此类消息进行拦截,我们无法针对本次消息进行验证。但不法分子很有可能在 “卡片消息”中植入恶意代码对点击者造成攻击。并且经观察,近期已经出现了不少类似的利用“卡片消息”的事件。
所以我们认为,无论蓝色字体事件是否有获取IP的情况,都应该对大家起到警示作用,用户遇到类似情况需要提高警惕。
多起“卡片消息”被利用事件
无独有偶,就在蓝色字体事件发生的几天前,我们就收到过用户反馈类似的问题。不法分子同样利用了QQ“卡片消息”,在其中植入了一个恶意链接,可以获取点击者的IP和手机信息。
除此之外,还有利用分享文档“工作邀请函”的情况,该分享同样会使用 “卡片消息”的形式。
图中网友表示自己被盗号后向好友自动分享了名为“工作邀请函”的文档,好在其好友警惕性较高,向该网友进行了确认。我们可以大胆猜想,这个“工作邀请函”中可能含有盗号链接。
用户应警惕这类“卡片消息”
一直以来,QQ,微信等即时通讯软件都是不法分子用来传播病毒、恶意程序或诈骗的主要渠道之一。这种方式利用了人们对通讯好友的信任,往往成功率极高。
相信大家都能脱口而出一些常规套路,例如“点击链接查看我的照片”,“伪装成好友借钱”等。火绒也曾披露过利用QQ群传播勒索病毒的例子(见补充资料)。比起以上那些套路,“卡片消息”作为QQ官方的功能,基本不会引起用户的疑心。所以当被不法分子利用后,会具有更高的欺骗性。
我们甚至在网上发现了利用"卡片消息"获取IP地址及手机型号的教程。虽然文章作者的目的是为了获取诈骗分子的信息,但难免会被别有用心之人利用。
通过上述多起事件我们可以发现,“卡片消息”被利用的风险很高,可以被任意修改标题、内容、配图、来源等。不法分子完全可以伪造一个具有欺骗性的“卡片消息”,引导用户点击。用户点击后,即可触发其中植入的恶意网址/恶意代码,实现对用户的钓鱼攻击、获取信息、甚至投毒等恶意行为。
下图为火绒工程师将卡片消息内容修改成火绒官网后,链接到百度搜索的演示。
安全建议
本文所提到的事例,多数已经被腾讯QQ官方及时拦截处理了。但是我们可以猜测,未来通过利用这种方式的威胁会越来越多。所以我们建议用户:
1、收到类似本文中的“卡片消息”时,保持警惕,尽量不要点击;
2、收到好友发送的文件后,和发送人再次确认,必要时可更换平台确认;
3、在群里看到此类消息,不要跟风点击;
4、在聊天窗口以外的网页或者文档中,不要轻信网页内容,输入涉及个人隐私的内容,更不要输入账户、密码相关的信息,以免账号泄露;。
