疫情的原因宅在家不出門，正聊天的時候看見學弟往群裡發送了一則小廣告。

過了幾分鐘，學弟好像終于把控制權奪回來了，在QQ空間裡發布了道歉的說說。

可憐的學弟

沒錯，這已經是一個星期内他的QQ第二次被盜了，并且他絲毫沒有頭緒。要是隻往群裡發送些小廣告還好，如果要是被盜後給女神發些不該發的東西，那豈不是要瘋狂掉印象分？！

嚴重的後果

為了防止再次被盜，學弟可憐巴巴的向我求助。知其然必要知其所以然，今天我們就來扒一扒，你的QQ是如何被盜走的，相信大家看完後都會學習到如何保護好自己的QQ，遠離小廣告。

如果有人在你的QQ空間中這樣留言，你會不會點擊鍊接呢？

誘導性鍊接

這樣的鍊接或者惡意二維碼可能通過各種手段來到你的面前，比如郵件、群聊、論壇留言，其往往伴随有誘導性的語言，讓你想一探究竟。

而你點擊後是這樣的：

僞裝成QQ空間的惡意頁面

乍一看是QQ空間的登錄頁面，而實際上，它卻是來自于惡意網站的一個頁面，隻不過，它的樣式和真正的QQ空間登錄頁面完全一樣。

下拉後看到真實訪問的域名（非真實釣魚頁面，僅演示）

仗着在QQ和微信中浏覽網頁時無法看到網站具體的鍊接，讓真實性大大增加了。其實隻要你輸入了賬号和密碼，就會被它記錄下來，然後跳轉到真正的QQ空間登錄頁面，你的QQ賬号也就離家出走了。

可能你覺得，這麼初級的攻擊手段會有人信嗎？真的！雖然已經2020年了，可還是有不少人傻乎乎的将QQ密碼輸進去。這就是釣魚攻擊，魚餌撒好，願者上鈎，不求命中率高，釣的多了，總會有人中招。

有些朋友可能會疑惑，我根本沒有向奇怪的頁面輸入過QQ賬号密碼啊，為什麼依然被盜了呢？這裡就不提到另外一種手段：撞庫攻擊。

相信有不少人安全意識很強，設置過好幾個密碼。然而，就像筆者這樣的專業信息安全從業者，也難以做到注冊每個網站時都使用不同的密碼，完全記不住啊親！

這就會出現多個網站使用同一個密碼的情況：比如，你的QQ密碼、微信密碼、支付寶登錄密碼、某論壇的登錄密碼是一樣的。那麼這四者中，某論壇的安全性是較差的，可能被人惡意攻擊，然後拿到了它的所有數據，這時你的登錄密碼就被洩露了。

接着，攻擊者會拿着你已經洩露的手機号、密碼去嘗試登錄QQ、微信、微博等常用平台，有能登錄成功的，也有無法登錄的，這就是所謂的撞庫攻擊了。這也就是為什麼有時候你什麼也沒做，QQ就莫名其妙被盜的原因。

本來，我們的密碼是不允許直接儲存在網站的，而是儲存一個對應的加salt的哈希值作為替代。當登錄時，網站會通過這個哈希值來判斷我們輸入的密碼是否正确。這也就意味着，即使網站所有的數據洩露，攻擊者依然拿不到我們的真實密碼。

可惜的是，以筆者的信息安全從業經驗來看，現在還是有小半的網站明文儲存密碼，或者不加salt（導緻哈希值可被彩虹表破解），那麼在把重要的密碼交給這些網站的時候，你的信息安全也就由不得你掌控了，可謂防不勝防。

摸清了這些慣用的盜号套路，我們也就能對症下藥了。

首先，不要随便點擊奇怪的鍊接或随便掃描二維碼，尤其是涉及到登錄的時候，一定要看清訪問的鍊接是不是對應的網站。QQ和微信可以通過輕輕下拉頁面看到訪問鍊接的真正域名。

隻需點住頁面輕輕下拉即可

像上圖中明明要登錄QQ空間，卻顯示了一個沒見過的網站的域名時，你大概率就遇見了釣魚攻擊。及時懸崖勒馬，放心不會有損失的。

其次，設置密碼時，建議QQ密碼、微信密碼、支付寶密碼等涉及到錢财、社交關系的密碼單獨設置，與其他網站的密碼嚴格區分。因為這些産品本身的安全性是有保障的，除上面提到的釣魚和撞庫攻擊外，密碼幾乎不可能被盜取。

最後就是在QQ中點擊你的頭像->左下角設置->賬号安全，然後打開登錄保護和安全登錄檢查兩項設置。此兩者能夠有效保證即使在QQ密碼洩露的情況下，盜号者也難以登錄你的QQ。

從此，媽媽也在不用擔心你的QQ！

我是樓上樓下快結婚吧，一個信息安全領域從業者。關注我，帶你走進中國紅客的世界。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!