那些“免费刷会员”的网站,到底长什么样?
大概从十年前开始,网上就陆续出现“刷钻”“刷会员”的服务,早期是在贴吧发帖、淘宝开店,后来转移到QQ群、微信小程序,现在则集中在各种短视频评论区、游戏公屏和所谓的“技术论坛”里,我特意用几个新号翻了一遍,发现现在的网站其实就三种套路。
第一种叫“在线自动刷”,打开网站页面,输入QQ号和密码(有些只需要QQ号),点击“开始刷取”,然后页面会弹出提示:“正在请求服务器……请等待30秒”,30秒后告诉你“刷取成功”,但你的会员并没有增加,紧接着它会让你“验证身份”,要求你转发一个链接到三个群或者朋友圈,或者下载一个奇怪的APP,甚至让你扫码支付1分钱,只要完成这些操作,它就说“会员将在24小时内到账”——然后就没有然后了,你白白做了推广,或者下载了未知软件,甚至扫码后银行卡被盗刷。
第二种叫“软件客户端”,这类网站会提供一个压缩包,里面是一个.exe文件,文件名常常是“QQ会员刷取工具.exe”或者“VIP激活器.exe”,下载下来后,杀毒软件多半会报警,但很多人觉得是误报就关了保护,运行软件后,界面很简陋,只有一个输入框让你填QQ号,点击“开始”后,软件会显示“正在连接服务器……”,然后突然卡住不动,或者弹出一个“激活码”对话框,让你加某个QQ群付费购买激活码,更严重的是,这类软件会直接修改你电脑的hosts文件,或者偷偷在后台挖矿、盗取你浏览器里保存的密码。
第三种最隐蔽,叫“漏洞提权”,这类网站不直接做刷取,而是声称发现了腾讯系统的某个“逻辑漏洞”,可以无限生成会员资格,它们通常会放出一段“证据视频”,或者贴几张PS过的后台截图,然后鼓励用户注册他们的论坛、充值积分,才能获取“漏洞详情”,等你充了值,看到的内容要么是早就在网上传烂的旧漏洞(早已修复),要么是一堆根本看不懂的代码,有人甚至发现,那些“漏洞”其实是网站自己伪造的,目的是诱导用户充值。
我亲自试了三个“永久免费”网站,结果怎么样了?
为了写这篇文章,我特意在虚拟机里做了三次测试,注意,是虚拟机,而且用的是新注册的QQ小号——这样即使出事也不会影响到主力账号。
第一个网站叫“QQVIP刷取平台.com”(具体域名已失效,不推荐搜索),界面很简洁,输入我的小号后,提示“系统正在匹配资源……请完成以下验证”,验证方式有四种:关注一个微信公众号、下载一款游戏APP(叫“XX大作战”)、分享到三个500人以上的QQ群、或者支付0.1元,我选了最简单的关注公众号,关注后公众号自动发了一条消息:“验证成功,会员将在12小时内发放,您也可以邀请3位好友关注本公众号,获得加速到账资格。”没有然后,等了24小时,会员纹丝不动,那个公众号在三天后因为被投诉“诱导分享”被封了。
第二个网站是一个QQ群里的“群友”分享的,说用软件可以刷,我下了那个软件,杀毒软件报“木马:Win32/Bluteal”,我无视了警告,在虚拟机里运行,软件界面是一个黑框,上面显示“正在注入QQ进程……”,我输入小号后,软件开始疯狂读取我虚拟机的内存,CPU占用飙升到100%,持续了大概两分钟,最后弹出一个对话框:“当前IP已被限制,请明天再试。”我检查了虚拟机,发现Windows目录下多了一个隐藏的.vbs文件,而且开机启动项里多了个未知条目,用火绒扫描后发现了六个恶意脚本和两个挖矿程序,这还不算完,第二天我用那个小号登录QQ,发现密码被改了,密保手机也被换了——对方显然通过软件窃取了我的密码,好在是小号,没有重要资料。
第三个网站走的是“漏洞众筹”路线,进入论坛后,版主发了一个帖子,声称“基于最新QQ协议漏洞,实现永久会员免费领取”,并且晒出了几张“成功截图”,里面显示会员到期时间变成了2099年,帖子下面还有几十个“已成功”的回复,想要查看教程需要先充值39元成为“黄金会员”,我充了39元(虚拟货币,用支付宝付的),结果打开所谓的教程,只有一句话:“方法已暂停,更新中,请耐心等待。”然后那帖子被锁定了,无法留言,我追问客服,客服说“漏洞被腾讯修复了,正在找新的,您再等几天”,一周后我再去,论坛已经打不开了。
这三个经历基本上可以概括市面上99%的“永久免费刷会员”网站的真实状况:要么是钓鱼引流,要么是木马盗号,要么是直接骗钱,没有例外。
为什么这类网站能一直存在,而且总有人上当?
我觉得答案其实很简单:因为“免费”和“永久”这两个词对普通用户的诱惑力太大了,QQ会员虽然不贵,但一个月十几块钱,一年下来也是一百多,对于学生党或者刚工作的人来说,能省则省,再加上互联网上总有一些“大神”在传播所谓“内部渠道”“技术分享”,很多人会抱着“试试看,反正不吃亏”的心态点进去。
但更深层的原因,我观察下来有四点。
第一,信息差,绝大多数普通用户并不了解腾讯的会员系统是怎么运作的,很多人以为会员只是一个“开关”,只要有人能修改服务器上的一个值就能开通,腾讯的会员资格是与账户绑定的、且经过多层加密验证的,涉及支付接口、第三方授权、风控系统等,任何所谓的“漏洞”一旦被发现,通常几个小时内就会被修复,而且腾讯的“无限宇宙安全团队”专门负责这类事情,每年赏金计划都投入很大,所以那种“永久漏洞”基本不存在。
第二,心理博弈,这类网站的设计者非常懂人性,他们不会让你立刻失望,而是设置多个“延迟满足”的步骤——比如先让你转发、加群、下载、付费,然后告诉你“24小时内到账”,到账前你还会抱着希望,即使最后没到账,很多人也会觉得“算了,也就浪费了几分钟”,不会深究,而网站运营者已经通过转发获取了流量,通过下载获取了用户数据,通过付费直接拿到钱,更恶劣的,还通过木马控制了你的设备,用于挖矿或发动网络攻击。
第三,幸存者偏差,你可能会在一些地方看到有人留言说“我刷成功了”“亲测有效”,这些留言99%是机器人或者水军写的,剩下1%是误打误撞的情况——比如他本来就是即将到期的会员,刷完后恰好续费了(但并不是网站刷的),还有一些人是账号被网站盗走后,对方用盗来的号给自己充了会员(用的是别人的钱),然后发截图证明“有效”,这种混乱的信息很容易让人误以为真的存在某种“渠道”。
第四,平台监管的滞后性,这些网站通常不会在一个地方停留太久,他们用动态域名、短链接、或者直接在QQ群里发二维码,一旦被举报就换个新域名,你举报一个,第二天又出来十个,而且很多网站托管在境外服务器上,国内平台想要彻底封禁需要走流程,周期较长,这就给了他们“打一枪换一个地方”的空间。
那些“免费刷会员”背后,到底谁在赚钱?
这个问题我一开始也很好奇,直到我接触了一个做过类似事情的朋友(当然他已经转行了),才大概理清了这条灰色产业链的盈利模式。
第一种是流量变现,最简单的,用户转发链接到群和朋友圈,网站后台统计点击量,然后卖给广告商,一个活跃的刷会员网站,一天能吸引几万次点击,转发带来的裂变更恐怖,他们甚至不需要真的给你会员,光靠广告分成就能赚得盆满钵满。
第二种是推广抽成,让你下载的APP,很多是游戏或直播平台的推广,每有一个用户下载注册,网站就能拿到几块钱的佣金,如果你下载后还在里面消费了,佣金更高,我前面试的那个“XX大作战”游戏,据说是某不知名小厂开发的,专门靠这种推广方式拉新。
第三种是直接诈骗,前面提到的39元“黄金会员”就是个典型例子,他们利用人们对低额付费不敏感的心理,设置多个收费门槛:先充10元买激活码,再充50元买“永久授权”,最后再充100元买“解除限制”,有些人一路充下去,直到醒悟,更恶劣的是,还有人用你的账号信息去进行“撞库”攻击,尝试在其它平台登录(同密码),从而盗取游戏账号、网购账号等。
第四种是捆绑木马,这个最可怕,很多刷会员软件自带后门,拿到你电脑的控制权后,可以把你的电脑变成“肉鸡”,用来发动DDoS攻击、挖矿、甚至传播其它病毒,挖矿的收益虽然不多,但一台电脑一天也能挖几毛钱到几块钱,如果是成百上千台电脑组成的僵尸网络,收益就很可观了。
第五种是卖“会员”本身,有些网站其实并没有刷,而是用盗来的QQ号里的Q币或者真实会员资格,转卖给那些“刷”会员的用户,比如一个盗号团伙弄到了1000个有会员资格的QQ号,他们把里面的会员资格通过“刷取”的形式转移给别人的号(实际上是通过修改绑定的手机号),然后收钱,但这种情况很少见,因为操作难度高,且容易被腾讯封号。
有没有真正的“免费”拿到QQ会员的方法?
有,但绝对不是什么“刷永久”的网站,如果你想不花钱获得QQ会员,目前我能想到的合法途径有几种。
- 腾讯官方的免费体验活动,比如新用户注册、老用户回归、绑定学生认证、参与QQ会员的积分兑换等等,但这些活动一般是短期体验,最多一周或一个月,不会永久。
- 通过腾讯“微视”“看点”“游戏”等渠道做任务,比如看视频、签到、完成游戏成就,可以获得少量天数奖励,但也只够偶尔用用。
- 使用支付宝、微信支付的积分兑换,比如支付宝的蚂蚁会员可以用积分兑换QQ会员时长,同样有限且量少。
- 参加腾讯官方的问答、征文、短视频征集活动,如果获奖可能有会员奖励,但这个难度大,看运气。
这些渠道都有一个共同点:合法、官方、有限量、不可能永久,如果你看到有人说“永久免费”,那他要么是在骗你,要么连他自己都不懂技术。
如果已经点了那些网站,该怎么办?
假设你像我一样,不小心点了一个刷会员的链接,或者下载了那个软件,甚至已经扫码支付了1分钱,别慌,马上采取以下步骤。
立即修改QQ密码,注意,不要通过QQ自带的“修改密码”功能(因为如果对方已经窃取了你的登录态,你改密码时可能会被拦截),最好用手机号或者绑定的邮箱,通过短信验证码直接重置,同时检查QQ的登录设备管理,删除所有陌生设备。
第二步,检查绑定的手机号和密保邮箱,如果你发现它们被改了,赶紧申诉,腾讯的账号申诉流程虽然有点麻烦,但只要你记得最初的注册信息,通常能找回。
第三步,如果是电脑上运行的软件,马上全盘查杀病毒,推荐用火绒或者360急救箱(注意不要用那些来源不明的杀毒软件),查杀后,检查开机启动项、计划任务、浏览器插件,如果发现可疑文件,及时删除,如果实在不放心,重装系统是最彻底的办法。
第四步,如果你在那些网站上有过金钱交易(比如付了1分钱、10块钱),尽快联系支付平台客服,尝试冻结交易或申请退款,不过大多数情况下,这种小额支付很难追回,但至少可以举报该商户。
第五步,关注银行和支付宝的账单,如果发现异常扣款,立即挂失银行卡。
说说我自己的一些真实感受
说实话,在写这篇文章之前,我对这类“刷会员”网站的态度是“看热闹”,但经过实测和自己的亲身经历,我逐渐意识到,它们根本不是给用户提供便利的,而是彻头彻尾的“诱饵”,你以为是去捡便宜,实际上你才是那条鱼。
更让我无奈的是,很多真正被骗的人,不会去声张,因为觉得丢人,或者觉得金额小不值得,这就让那些网站运营者更加肆无忌惮,我认识一个群友,去年为了给女朋友刷一个“超级会员”,先后花了200多块钱买“激活码”,最后账号被盗,里面存的几千Q币全没了,他跟我说的时候还在笑:“就当花钱买个教训吧。”但我知道他心里肯定很难受。
我也看到有些技术论坛上,有人专门写文章教大家怎么鉴别这类网站,但说实话,没有用,因为骗子的手法也在升级,现在的刷会员网站,连UI都做得跟腾讯官方一样,域名带“qq”字样,甚至还有“备案号”(当然是假的),普通用户根本分不清。
与其花时间去研究哪个网站是真是假,不如直接默认一个原则:只要是声称“永久免费”且需要你提供账号密码、扫码、下载、付费、转发的东西,一律当作骗子处理,这个原则虽然粗暴,但能保你周全。
关于“免费”这件事
免费的东西,往往是最贵的,这句话在网络上尤其适用,你贪图一个月的会员,可能失去的是一个账号的安全,甚至是整个电脑的控制权,你只是想要一个“VIP标识”,对方却想要你所有的数字资产。
我不是在吓唬人,只是把经历过的事情如实说出来,如果你还是想试试,也完全可以——拿一个小号、在一台干净的虚拟机上操作,体验一下也无妨,但请记住,永远不要在主力设备上操作,永远不要用主力账号去登录,永远不要让任何不明软件拥有管理员权限。
如果你曾经被这类网站坑过,或者发现了一些新的套路,欢迎在评论区分享出来,让更多人看到真实的案例,远比说教有用,至于我自己,以后看到这类“永久免费”的链接,大概会直接划走——毕竟,我的QQ号里还有好几年的真实会员,还是好好珍惜吧。
