魔獸盜號揭秘

為人不識“山口山”，便稱玩家也枉然。“山口山”是誰?哈哈，它就是我們對《魔獸世界》(WOW)的昵稱(以下簡稱魔獸)。“人怕出名豬怕壯”，從上線之日開始，一只只盜號的黑手不斷伸向了它……

倒霉的老牛

朋友老牛是個魔獸老玩家，說到他可是一個地道的倒霉蛋，雖然接觸魔獸已經快兩年了，但是到目前為止好不容易才混到60級，牛頭人戰士。并不是老牛不勤奮，完全是由于網路盜賊太癡狂，老牛的游戲賬號已經被盜過多次，讓他幾次放棄繼續玩。

去年，老牛剛剛買回筆記本電腦，就迫不及待地安裝了時下流行的魔獸游戲，可是賬號很快就被盜。原來老牛剛買回來的電腦里面，并沒有安裝任何殺毒軟件，就在這樣的“裸奔”系統中，他的游戲賬號也赤裸裸呢。

后來在朋友的提醒下，老牛對游戲賬號進行了雙重密碼的設置。可是好運并沒有就此降臨到他身上，賬號很快就又被盜，我們因此還取笑老牛是在為別人掙錢。

在九城又推出了密保卡系統后，老牛也對賬號進行了捆綁。有一天我們正在游戲的時候突然聽到老牛在TS里喊：“我的賬號被頂下去了，大家趕快拖延住他，我正在找回密碼好鎖定游戲!”原來是可憐的老牛在游戲過程中竟然被踢，于是我們想方設法希望用戰斗狀態來阻止爐石。可是老牛的游戲金幣還是悉數被盜，又一次成為一個地地道道的“無產者”。

雙重密碼是怎樣被突破的?

魔獸最初采用的是雙重密碼。開通時用戶須登錄九城通行證，在安全中心頁面點擊“申請開通雙重密碼”。開通PIN碼是使用雙重密碼的前提，PIN碼是一組4～10位數字。PIN碼不能通過鍵盤輸入，只能用鼠標點擊頁面的數字鍵盤輸入。

但是現在已有木馬可以盜竊PIN碼，比如“魔獸占有者III”。這款木馬采用了Hook截取技術，不僅可以100％準確截取魔獸美服、歐服、國服等的賬號密碼和游戲區域，并且即使是登錄用戶只有Guest權限也可以成功感染系統。那么這個木馬程序盜取PIN碼的原理是什么呢?

該木馬會尋找魔獸窗口，如果找到則把它調節到一個固定大小，并且把窗口移動到屏幕左上角對齊。然后，它再使窗口的“最大化”這個按鈕變灰，這樣PIN碼的屏幕鍵盤的位置就固定了，木馬可以記錄下鼠標點擊的位置。由于PIN碼的屏幕鍵盤位置是固定的，所以木馬就可知道用戶鼠標點擊落在了哪個區域內(一共10個區域0～9)，然后自動對這個區域進行截圖，如果用戶輸入了4位數的PIN碼，木馬就會得到4張小圖片，每個圖片都包含一個數字內容。最后利用圖片識別技術得到了用戶的PIN碼。

密保卡也不保險

玩家購買具有密碼保護功能的點卡后，首先要進行密保卡的“綁定”，綁定成功后即可“使用密保卡登錄游戲”。以后每次登錄游戲，在輸入賬號密碼后，系統會隨即詢問三個坐標，用戶只有填入密保卡上對應的數字，才可以進入游戲。

看起來已經很安全了，每次登錄的坐標位置是隨機的，但這也難不倒黑客。既然不能一次獲取相關的內容信息，就采用蛙跳式來分步進行操作。首先利用木馬序截獲賬號和密碼，接著利用這些信息登錄“通行證”，然后選擇其中的“更換密保卡”選項。這時游戲系統提示輸入老密保卡的三個坐標位置，接著就到了非常關鍵性的一步。

這時，黑客利用木馬將你踢出游戲，彈出頁面說你的密保卡遇到問題，要求輸入三個位置的數字重新核對。而這三個位置的數字正好就是游戲系統詢問黑客的那三個位置。如果輸入了，黑客就可以利用它們成功地更換密保卡。最后利用更換好的密保卡進行登錄。

防盜建議

密碼被盜以前往往都會出現明顯的征兆，比如盜竊雙重密碼的木馬出現的特征就十分地明顯，大家如果發現運行的窗口大小和位置與平時不一樣，并且窗口中的“最大化”按鈕是灰色的。而竊取密保卡密碼的時候，首先會在游戲的時候突然被斷開，然后提示輸入密保卡的三個位置的數字。以后凡是遇到這樣的一些情況，那么毫無疑問已經中了木馬，應該立刻殺毒。

當然密碼被盜以后應立刻撥打客服電話，申請暫時凍結自己的被盜賬號。客服人員會在身份認證后暫時凍結賬戶(http://www.wowchina.com/topic/matrixcard/faq2htm)，同時將該賬號進行踢線處理。如果得到密碼重新登錄游戲后，發現角色及虛擬物品遭受損失也可以申請虛擬物品及角色恢復服務，官方將會幫助用戶提供一年不超過一次恢復游戲角色及虛擬物品的機會。建議玩象們都去看看官方公布的安全手冊，以把損失降到最低。