Quantcast
Channel: 少数派
Viewing all articles
Browse latest Browse all 13781

街边的二维码不要随便扫,可能会自动群发广告

$
0
0

只是因为在人群中多扫了你一眼,从此被你骗进微商店。


遇到地铁上的兼职扫码族,在他们人畜无害脸与小礼物的攻势下,不少人都会同意扫一扫。大不了事后取关嘛,也许你也是这么想,何况,眼下能摆脱一个烦人的角色,还有礼品可捞,何乐不为?

但是最近一款「微信裂变」软件的出现,只要扫码关注就会自动给好友群发垃圾信息,让本来就不讨人喜的「求扫码」变得臭名昭著。小子就近日遇到的一起事件,做了一些分析,提供应对方法。

事件

近日,我收到一条好友发来的广告,就随手回了她一下:你被盗号了。不料她马上向我喊冤,声称只是扫了一个二维码,就给所有好友发了广告:

「效果拔群」

这种情况叫「裂变」,其实就是对方运用外链,在远程登录了你的微信,借此转发广告。

我在某宝上搜了一下,发现不少出售这类软件的。只有几家坚持他们是「自主研发」,大多直接告诉我是「破解版」。销售数据挺好看,买家不在少数:

禁游戏,这个却不禁?

如果你在某度里一搜,大量提供裂变犯罪工具、方法(作为法科生我很确定)的网站堂而皇之占据前几条结果:

反正是没人管了

小本买卖,轰炸效果却比澳门赌场更甚。可见,微信裂变营销已经形成一条黑产业链。

解析

通过佯装购买,我从某宝贩子那儿了解到一些技术细节,结合解析得的一枚「裂变二维码」地址,大致推断出他们的工作方式:

原理并不复杂

持码者手中的二维码,对应其服务器地址,在远程开了多个实时刷新的微信登录界面;你一旦扫了,服务器将返回你微信登录的 token,你一点击信任/登录,对方就成了。简单说,就是他们登了你的微信。目前来看这些裂变软件仅仅是群发事先编辑好的广告,未来他们会演变成怎样——例如获取你最新的聊天记录、发送诈骗信息——就不得而知了。

比起费尽心思的盗号,这种方式不需要持码人具备任何计算机知识,线下进攻、爆炸式传播,危害更大。

防范

裂变营销的危害比你想象的大。一般的好友看到你发过去的垃圾信息,大概只是皱皱眉头。但是有些「小电影」的广告,你一定不想被上司看见吧?何况,裂变服务器在远程登录了你的帐号,谁知道他会看见哪些信息!裂变营销,对个人形象和隐私产生严重危害,是彻头彻尾的犯罪行径,而刑法对工具提供者的惩罚尤其严重:

《刑法》提供侵入、非法控制计算机信息系统程序、工具罪:为提供专门用于侵入、非法控制计算机信息系统的程序、工具……情节严重的……处3年以下有期徒刑或者拘役……

其实,只需稍加警惕,这些恶意广告就很难钻空子。它们有一些特征:

  • 扫后请求获取头像等资料权限
  • 扫后请求网页版微信登录
  • 扫后已登录的网页版/电脑版微信突然掉线
  • 持码者不断催促你点击、拿礼品转移你注意力

多数的裂变二维码,需要你扫后再点击几次,看到这种授权请求直接调头走人就是。无论持码者拿多么诱人的东西在你鼻子前晃,眼睛也不要离开屏幕,看到任何可疑提示都应立刻中断操作

如果你有解析二维码的软件(如 iPhone 上的 workflow),可以先看看其对应地址是否可疑,我解析出来的裂变码 URL,压根不是微信内部链接格式的:

不走心啊,看小子不搞个黑名单库

结语

你并没有义务帮助这种「大学生创业」,更没有理由去承担人际危机和信息泄漏的风险。安全工作,始于安全意识。

也希望兼职的大学生,不要捧着完全不知底细的二维码就上街,一次进宫就能给你一生抹黑。


拓展阅读:


Viewing all articles
Browse latest Browse all 13781

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>