频道被盗进行诈骗直播 我三小时抢回来了 黑客是如何突破Google账号的安全防卫的？

尘双玥:
这事让我想起一个互联网烂梗，最高级黑客的手段不是各种高精尖的方法，而是对着被攻击者说“验证码发我一下”[笑哭]

【回复】你说到这个，想起以前刷到一个游戏主播把自己手机号码写在简介里了，然后骗子在他直播的时候可以看到手机验证码，然后把钱拿走了[笑哭]
【回复】我记得之前不是出过机密泄露，结果是花钱让清洁工把u盘插进去的[笑哭]
【回复】你认为错了，首先你总认为黑客应该是技术向的！ 但大部分会首先选择社会工程和技术结合的/但技术很强的团队也会选择技术破解，但依然在能采用社会工程的情况下会采用，这也是很多专业黑客的基础之一。
HACK学习:
作为一名红队渗透测试工程师 我来分析一下攻击者的大概攻击流程： 1.广泛发送邮件，诱导目标点击官网，下载木马文件，目标可能是盗取虚拟货币的钱包私钥和其他密码信息等 2.对方运行后，抓取目标机器上Cookie信息和本地IndexDB信息，以及分析是否有其他利用价值，估计是发现这个邮箱关联了youtube账户，而且粉丝众多 3.通过木马，使用socks5或者4a代理，以目标电脑访问Google邮箱，进行邮箱更改和二次绑定(绕过谷歌外地登录IP提醒) 4.然后攻击者使用修改的gmail邮箱和密码，登录youtube，进行直播宣传虚拟货币的诈骗 普通人如何防范呢？ 1.不明软件不要轻易运行，可以使用微步在线的云沙箱先看看行为，是否是木马或者是勒索软件 2.如果一定要运行请使用虚拟机来打开，虚拟机最好是有快照的 3.使用杀软先进行查杀，虽然很多人对杀软有抵制，但是有的时候，杀软确实会保护到你的系统安全 记得给我点赞

【回复】大佬我还是有一点不明白，即便使用被攻击电脑作为代理绕过异地登录，但是进行修改绑定邮箱、绑定手机号这种非直接修改Google账号密码的操作，谷歌还是会要求你再输入一次账号的原始密码，也就是你必须知道明文原始密码才能修改绑定的邮箱，黑客是怎么绕过这一步的呢？（自己尝试过修改辅助邮箱，真的需要再输入一次账号密码的）
【回复】回复 @是仲甫先生 :毕竟一年只有半个多月
【回复】我们成功阻止了一次异常登陆BV1Ar4y1E7Xf [doge]
氢醇铑铯铋:
也和AK分享下发生在我身边的网络信息安全事件吧。我们办公室被人用高磅数弓箭趁我们办公室开窗换气的空档在对面大厦打了一个摄像头来偷拍我们公司某高级职员的办公桌[笑哭][笑哭][笑哭]警察叔叔破案后跟我们缕了整个案发过程后还说像这种不和受害方发生信息接触的网络信息安全窃取案已经不罕见了[笑哭][笑哭][笑哭][笑哭]

【回复】回复 @水煮牛轧 :箭尾绑了鱼线，拉回去了………
【回复】回复 @别人思想的跑马场 :警察叔叔说他们在我们租的园区做外卖骑手1个多月把园区套间结构和我们办公室布局都摸清了……..自从这件事后我们坚决不让非办公室人员随意出入了
mbybtjh:
亲身经历，刚玩linux的时候，家里网络是申请了公网ip的，申请的时候客服专门强调了公网ip不安全，安全方面的东西需要自己负责。然后我的linux虚拟机（好像还是wsl）就貌似被黑了，虚拟机突然变得非常卡顿，查看进程有几个莫名其妙的进程疯狂运行抢占cpu资源，我不知道他具体在干嘛，查看进程的端口地址是国外一个ip，当时就心跳加速，草，我被黑了，甚至还有点兴奋，哈哈哈，但幸好是个学习linux的虚拟机，我关机重启就没事了。但不知道是不是我臆想的，只是一个系统bug，可能我描述的不是很清楚，因为时间也比较久了，一些细节也忘了，但当时那种情况我真的就第一时间就想到我被黑了[doge]

【回复】那个人也只是不会虚拟机逃逸而已，要是他会逃逸，你的物理机也被黑了
【回复】我这更倒霉，学长给实验室部署了一台小linux主机做服务器，我也是负责管理那个服务器的，当初为了方便操作就创建了一个弱密码的账户，后面发现一些ssh软件自带密码保存功能就弃用了那个账户，但是没删除，不知道是不是那个账户被黑客登录了。电赛前两天实验室的网络全都无法使用，大家各种排查都找不出毛病，最后联系学校网管中心，那边说实验室有异常流量痕迹，导致学校的内部网络遭到了外网的攻击，但是因为在外面，实在无法回去处理，只能让他们注意查那台服务器的登录日志，让实验室所有成员用火绒做全盘杀毒。希望别是那台小主机被植入了木马，里面的资料太重要了
【回复】回复 @anonymity_pi :虚拟机逃逸？你这说的是人话？主流虚拟化平台要是被逃逸拿绝对是数码圈第一的新闻，4大家虚拟机历史上总共有几次逃逸漏洞也不看看？一个逃逸漏洞可以卖多少钱你知道吗？你这话讲让人怎么虚拟化逃逸是个稍微有点技术的人随随便便就可以做出来的一样。
PTXOA馆长:
真的，我之前遇到类似的，但不是盗号，是电脑被黑 也是这种木马软件，我去外网下载一些音乐插件想下学习版，国内这些东西大多都是盗版盈利的，我就去外网下，结果下回来压缩包里是一个程序，我双击打开，没反应，以为是要等一会，然后我又重新点开了好几次。 结果就是，我发现没用想继续找，就半个小时之后，我电脑上除C盘外的文件几乎都被加密了，都是igvm后缀，还有一些记事本点开就是要我给他们打比特币来恢复文件，那个时候心态确实有一点崩，我电脑里有很多我作品的工程，然后全没了，后面查了一晚上如何回复解密都没有办法，就只能重装系统，被加密的文件都恢复不了了都删了

【回复】回想起来我电脑运行那些破解软件都经常是用本机，保险起见应该用虚拟机的，能到现在都还没出过问题真是运气好[笑哭]
【回复】下载莫名其妙的软件先在虚拟机中运行，别在当前电脑运行。
【回复】回复 @景阳冈幸存者 :所有杀软都可以绕过，虚拟机并不完全安全，可以穿透虚拟机
introvertiert:
真的超级喜欢AK的这种视频风格，在油管关注了好久，这个视频感觉AK那种特有的风格又回来了！

【回复】回复 @波士顿没动力 :wd几乎没有启发式扫描，smart screen如果没报马，uac提权之后为所欲为[笑哭]
【回复】回复 @波士顿没动力 : 再智能的防火墙也禁不住你个人作死点开木马运行啊
【回复】回复 @波士顿没动力 :自己注意点，自己放开权限给人家，顶级杀毒软件都没用
gzsmfltey:
这玩意是cookie机制的天生缺陷 你很难想象，在一个手机上，能通过一个标识符就维持登录状态 换手机会直接让你重新登录一遍 甚至地理位置变了我都可以要求你重新登录 但是浏览器的cookie机制就验证那么点固定字符串，安全性简直可笑

【回复】然而http本就是无状态的，总要有东西来验证，何况cookie远不止“那么点固定字符串”。 以你的逻辑，你的密码只有简单的十几个字符，远远比cookie更短，也不安全咯？ smtp协议甚至不需要验证发信者的身份，就能发出邮件，这远比http夸张。[OK]
【回复】token从服务端获取，有有效期，有IP绑定，登出后自动吊销，我不明白这比密码差在哪里
【回复】回复 @日常系小奏 :你口中再安全的密码，登录之后依旧要回落到不安全的cookie[嗑瓜子]。 如果你认为cookie不安全，那jwt也同样不安全，市面上所有基于http的认证方式都不安全
Kr1eg风纪委员:
应该不仅仅盗取了chrome的cookie，因为这种盗取不够彻底！ chrome本地存储的账户密码在Windows上使用 DPAPI加密，任何其他应用程序调用CryptUnprotectData就可以解密！已有大量利用脚本和shellcode。 建议检查下chrome存储的其他账户密码[tv_目瞪口呆][tv_目瞪口呆][tv_目瞪口呆]

【回复】回复 @wqh227 :确实太不安全了，chrome的设计默认本pc的环境是安全的。
【回复】回复 @您的Tal : 没办法，没有可信计算环境下只能认为本机是安全的 除非给chrome设置master password，但是这会导致用户烦恼
【回复】回复 @摩擦大蒜能拿起蛋黄 : 验证pin只是防止普通人看到你的密码，实际上懂点知识、知道方法的人直接就能看
我是六花不是猫:
本来以为因为敏感词就不传b站了[微笑]

【回复】回复 @あいうえおはよ :AK有自己的公司，正规的公司是可以以公司的名义向运营商申请合法出墙服务的。
【回复】回复 @嘉然今天嘉碗饭 :个人没法申请，得公司申请，并且每月费用挺高的。
【回复】回复 @古咕狗 : 要有海外业务...
蓝天可真蓝啊:
这期视频有以前内味了，在油管看完给你涨涨完播率

【回复】有点不理解呀！恢复账号/邮箱是否被盗，是否能够登录？如果没有被盗，为什么会出现异地登录的限制呢？如果被盗了后面通过换IP又是怎么登录的，难道盗号的没有修改密码？还是说恢复账号可以正常接收恢复验证码，登录主账号的时候提示异地登录呢？对方通过seesion cookie登录就不判断登录ip，而你自己登录的时候又怎么知道登录ip异地了呢？这是不是Google的安全漏洞？
【回复】回复 @水濑猫QwQ : 仔细看视频，人家说的是小号泄露的也是session cookie，我觉得AK这点就是这期视频的bug，很多人没发现。。。
【回复】回复 @马德华克 :我也很奇怪，就算本地登录修改手机号码也需要验证码的吧，如果这么简单的话谷歌安全机制也太差了
白灵Sara:
所以说安防软件还是有必要的，Win11虽然很安全了有内存高熵化防止内存注入有core isolation，Windows应用沙盒这种基于硬件虚拟化的防护，但是自己给了uac提权之后木马软件能干的事情还是不少，Windows defender又几乎没有启发式防御，smart Screen不触发就几乎不报毒[笑哭] 我自己就是电脑装了卡巴斯基，三年168一点都不贵，注入式http过滤也能把广告删的很干净，现在的卡巴性能也很不错，推荐给大家使用。

【回复】顺带说一下，前几天紧跟着学习通拖库那事之后有QQ被盗的情况也是被爬取了类似session cookie的东西，虽然没有号但是能发信息 类似的事情在网吧的定制Steam客户端每天都在上演[笑哭]
【回复】回复 @完美的音符づ :WD也拖性能（卡文件夹exe扫描），火绒也拖性能（打开exe和切换输入法都会触发扫描卡死软件十几秒），360也拖性能（读写多文件io性能变慢） kaspersky算是拖性能，但是连免费版都能疯狂针对拉白到白名单特征的exe，继续换个特征杀毒到自己dead lock的杀毒软件ww 这类杀毒都有一定的缓存时间（火绒就短得多，还扫描久），只要不频繁关机重启或者更新杀毒库，都会再次访问同一个文件不卡的
【回复】回复 @你哥fire :Linux说实话还是得上点心，被换内核偷偷挖矿最近几年越来越多了，毕竟也有很多中小企业在用嘛，不是都雇得起运维
dyx:
session和cookie被盗属于是常规操作了，感觉关键的点还是浏览器自动保存的密码能轻易解密出来。这样让一些防cookie被盗的手段都无效化了（比如敏感操作需要二次输入密码、需要邮箱验证等）。可能也是google涉猎过于“广泛”（服务和地区），无法做过于精细的防范？不过至少也可以搞个问题验证吧……。国内的服务通常都会要个手机验证码（但也同时产生了新的问题），在这基础上微信还会有些好友验证，淘宝京东好像也有些二次验证问题问买过哪些东西？相对安全挺多

【回复】回复 @nan_boom_nono :建议把密码分开存，买个专门的密码管理器。或者，用最原始的，直接写在本本上。
【回复】刚看了一下包括edge什么的密码都可以直接解密出来，马上感觉不安全了[笑哭]
【回复】回复 @GravitationChen :我也搞不懂为什么浏览器自动密码前不要输入pin码，或者自动识别，应该每关闭一次浏览器，在打开调用密码的时候就要输入密码。
Mooshame:
有点好奇，如果是session cookie整个被盗走了，对方不挂vpn直接用自己的ip在你的youtube频道操作不会触发google的安全校验机制吗？毕竟握手的ip突然从一个常用的ip变成几千公里外一个别的陌生ip了，我之前就试过玩dnf的时候不小心挂了一个全局的vpn然后一下就跳出来账号异常限制了

【回复】用的session和cookie伪造身份的应该不会吧，我记得Google的ip校验好像都发生在登录认证过程和跳转链接过程吧
【回复】不会bypass的黑客不是好黑客[嗑瓜子]
【回复】一个简单的sock5代理服务端实现不到200代码，绿色无毒。 整个过程也简单，先把浏览器的个人数据覆盖到新电脑，然后配置糸统sock5代理服务器为受害者电脑，启动浏览器，修改密码。这时就不会触发安全提醒。密码被改后再异地已经就没影响了。毕竟有密码了，验证就简单了
KawaiiZapic:
不大理解攻击者为什么能够修改账号信息[2233娘_疑问] 添加修改辅助邮箱辅助手机号或者修改密码等操作, 都需要输入Google密码进行一次特权提升之后才能操作, 而且这次提升是单次的(鉴权位于URL里的一段session代码), 重新尝试进行这些操作需要再次输入密码. 意味着即使攻击者拿走了登录状态, 也仍然需要知道密码才能进行账号信息的修改(除非在最近数分钟内尝试过进入这些修改信息的界面, 被攻击者读取浏览器历史记录拿到这个session代码) 不大理解为什么攻击者能够修改账户信息… 我觉得可能的解释是辅助验证的邮箱账号也被盗取, 或者一次性安全验证码被泄露. 视频里没有对这个问题进行深入探讨, 只说拿到cookie后能够绕过安全保护, 实际上拿到cookie能做的事情非常有限, 可以开始直播, 但是绝无可能去修改账号的安全信息.

【回复】浏览器保存的密码，你只要是一个本机的应用程序，都可以读出来，就算你设的每一个网站密码都不一样，但是你只要用了记住密码就能被读出来。
【回复】回复 @wqh227 : 浏览器保存的密码和保持登陆状态的cookie不是同一个，浏览器记住的是明文密码，一般会在登录完成后问你要不要保存。所以不排除cookie和密码都被盗
怕追不上满街赶路人:
昨天在YouTube上看已经燃起来了，没想到发b站了[鼓掌][鼓掌][鼓掌]

ModelM小红:
总结： 1、用苹果用太久老司机也会变傻 2、windows10/11自带有def系统，不用像ak说的要去装第三方杀毒，你装的杀毒（360，电脑管家）都不如def 3、老司机不要过于自信关闭def，不行你就在虚拟机上运行测试 4、密码不要机器记住，得自己有一套密码规则，不要多个账户用同一个密码 [脱单doge][脱单doge][脱单doge]

【回复】WD虽然测试成绩不错但是它对于未知恶意软件的应对能力不足。
【回复】算了吧，公司的只装wd除了蓝屏还中毒，后来装了个火绒[tv_生气]
【回复】回复 @浮芒Friman :首先，win defender有白名单；其次，cracker不要轻信
悄无声息的观察者:
看到up下载运行了木马软件的部分，想推荐个开源软件来作为应对措施[doge]，Sandboxie-Plus，一款开源的沙盒软件，只要新建一个沙盒类型为 数据保护 加固型沙盒 就可以右键用沙盒运行测试不受信任的软件，虽然有非赞助者5分钟自动关闭的限制，但对于电脑安全来说依然十分有用[脱单doge]

【回复】回复 @悄无声息的观察者 :沙盒根本不是损耗大，是完全没优化，渲染巨卡。但是我记得不需要专业版，没有虚拟机监控程序和hyper-V也能开沙盒 hyper-V其实性能损耗很低的，11800H同时开三个虚拟机每个里面两个浏览器（edge，火狐）放视频CPU都只跑一半 Windows沙盒存文件写文件装程序有办法，少数派写过访问主机特定目录的方式
【回复】回复 @靠墙的钴-60 :应该是可以的，但是目前Windows只有专业版才支持沙盒，而且基于Hyper-V虚拟机Windows Sandbox的性能损耗还是大一些[思考]，当然电脑配置好无所谓就当我没说ヽ( ￣д￣;)ノ
【回复】这个没用 内存没隔离。。。可以互访