事情的开始是这样的，前几天的时候，QQ 响起来了，一位朋友找我帮个忙，聊天记录见下图。

聊到我说我也没卡哪里，我也没有起疑心。因为他经常找我帮他在TaoBao买个东西啥的。

不过，我心里再仔细一想，聊天有点不对劲啊。他今天怎么没叫我龙哥？

我就马上WX问他说你号是不是被盗了，他说是的。然后就知道原来对面是个骗子，于是我就开始…嘿嘿嘿

于是，我赶紧就百度随便找了一个卡号，瞎编了一个名字给他，叫他给我转账。

后来我朋友看了聊天记录，说我真是个戏精，给自己加戏！

这里本来想着，发个木马给骗子，然后能控制骗子的电脑。但是，朋友说他要自己搞，还要免个杀什么的（杀毒软件检测不出）。

后续因为做免杀测试等原因，无奈的让骗子跑掉了。

其实可以看到聊天记录中骗子发了个银行转账截图。这些都是可以利用软件一键生成出来的。

像下面这样:

写到这里，可能有人说,怎么不及时改密码呢？

朋友其实也尝试了改，但是当时改密码后，对方也是秒改密码，一直循环了10多次，于是后边便放弃了。

我这里就在想是不是有某个BUG。后边感觉应该是QQ安全中心那个动态码，所以能秒改密码！

然后，通过后面的分析，想了想骗子是如何盗取他 QQ 号的。

后来找到原因了，是因为他的号经常借给朋友玩 LOL，所以

没有设置设备锁。他朋友好像也上过钓鱼网站，导致密码给泄露了出去。但是这里我也有一个疑点，QQ 不在常用登陆地，为什么没有显示风控呢?

这个思路可以无限裂变的，想想都恐怖。只要盗取一个人的QQ号，给10个人打款，在给10个好友发辅助申请。成功率在此不说。普通人估计都顶不住这波伤害的！

然后我通过查看QQ好友，发现！文章的重点，亮点来了！

看出什么玩意来没有。

没有? 好吧。我截个图。你可能就会明白了。

所以，究竟是怎么玩的呢？

我们都知道改 QQ密码有申诉要求好友辅助功能，一个 QQ 几百号人，找两个人辅助认证应该不难吧，但是你有没有想过，其实发短信并不是让你辅助认证，而是骗子以辅助好友认证的名义，帮你改你自己的密码！

这思路，骚不骚？知道了思路，我们总要来玩一下！这里，我找了我QQ上面一个小姐姐来测试了一下。为了让她入戏，我可是说了不少好话。

通过测试我发现对于设置了二代密保，没有设置设备锁的账户，这个方法是可行是。

但是如果是开了设备锁，就是下面这个样子。

即使我有你密码，我也登陆不了，登陆手机QQ也是登陆不了的，邮箱、空间。我没有试，但是只要设备锁上没有设置限制，就应该能登陆。

然后想着骗子能秒改密码，我也下载了一个QQ安全中心。

没有验证设备是下面这个样子的。

虽然说有字在上面挡住了，但是后面的动态码还是能看见的，这个动态码会一直刷新。

是否可以使用右边的扫一扫，扫描登陆，这里我就没有再进行测试了。

但是我记得Steam的认证设备就存在一个类似的Bug 。

上面这个思路，发现挺骚的。利用重置密码的短信验证功能，加上社会工程学。来达到改密码的效果。如果在配图是不是更完美了。

比如这图，你就看懂了吧。

这图如果发给我自己，估计我自己都快相信了。

不行还有F12元素大法，改完再截图给他看呗！

但是必须是目标QQ绑定的手机号发送，如果对方不是绑定手机号发送的短信，自己想一想可以怎么改图达到效果。

温馨提醒:

转账汇款一定要核实是本人。

比如这次这个事情，听说被骗的还有某信安大佬。

文由微信公众号Admin Team