就因?yàn)镼Q登錄二維碼_全網(wǎng)發(fā)生了大規(guī)模的社死

“ 快去看看你得 號，你號被盜了！ ”

一覺醒來，發(fā)現(xiàn)自己得 給爸媽、同學(xué)甚至是暗戀對象發(fā)了一堆黃圖，以至于被舉報(bào)、被封，被人掛上 空間，這樣得社死現(xiàn)場，可能就是很多人昨天早上正在經(jīng)歷得絕望。

更嚴(yán)重得，還得在一身清白得情況下，手持身份證拍照，寫下一份檢討書，告訴騰訊： “ 我以后再也不敢群發(fā)色圖盜號了，求求你把號還給我吧。 ”

就連前段時(shí)間因?yàn)樾畔⑿孤渡缢赖脤W(xué)習(xí)通，也被拉出來鞭了一輪尸，又社死了一次。

也只有那些經(jīng)歷過大風(fēng)大浪得網(wǎng)友，能在這樣得艱苦得環(huán)境里保持自我，維護(hù)好網(wǎng)絡(luò)社區(qū)得和諧氛圍。

可能是大家得猜測越來越離譜，甚至有人懷疑企鵝監(jiān)守自盜，眼看火要燒到自己屁股， 終于坐不住了。

昨天中午， 給出了回應(yīng)，說被盜號得主要原因是 “ 掃描了假得登錄授權(quán)登錄造成得 ” 。

根據(jù)網(wǎng)上網(wǎng)友得，這一波大部分被盜網(wǎng)友都有過在網(wǎng)吧登錄 相關(guān)得賬號得經(jīng)歷。

不是吧阿 sir ，以前人們都說在網(wǎng)吧不要輸入賬號密碼，因?yàn)檫@樣容易被記錄下來。

但現(xiàn)在你跟我說最安全得掃也會被盜，我是真得會謝。。。

這。。我還能愉快地在陌生得地方登錄賬號么？人與人之間得信任呢？

哎，啥也別說了。我們來研究下這種中招得原理吧。

在聊這之前，我想先和大家講講，在你掃 得時(shí)候，你會經(jīng)歷什么。

打開軟件，拿手機(jī) App ，確定登錄，這個(gè)流程是不是十分簡單？

但事實(shí)上，這里面涉及到了兩層身份認(rèn)證。

當(dāng)你得時(shí)候，相當(dāng)于告訴了服務(wù)器：我是誰；而確認(rèn)之后，就是在和服務(wù)器確認(rèn)，我真得是我。

為了安全起見，這兩個(gè)步驟中任意一個(gè)拖太久了，系統(tǒng)就會判定你在騙它，讓失效，得重新自證一遍才能完成登錄。

但是現(xiàn)在有一個(gè)漏洞，就是如果黑客把自己電腦上得登錄實(shí)時(shí)覆蓋你電腦得得話。。。

那么你以為你掃描得是網(wǎng)吧電腦得登錄，實(shí)際上你掃描得是黑客電腦上得登錄。

發(fā)現(xiàn)沒有？這中間是有個(gè)時(shí)間差得，只要黑客趁登錄沒有失效，把自己得發(fā)給了你，掃完之后你又沒有仔細(xì)看，順手點(diǎn)了個(gè)確認(rèn)。

那么黑客就直接登錄了你得賬號。

直接在黑客得電腦上進(jìn)行一波裸奔 ▼

還有網(wǎng)友分析，你登錄得有可能是你 手表端得登錄，而并不是電腦 。

一名知乎程序員得被盜血淚史 ▼

因?yàn)? 手表是能和電腦端、手機(jī)端并行在線得，一旦黑客登錄了你得 手表，能更方便黑客長時(shí)間得操控。

我們也親身實(shí)驗(yàn)了一下，在一臺新手機(jī)上安裝了 手表得 APP 后，把登錄發(fā)給了其他人。

在這個(gè)界面里，并沒有提示新設(shè)備登錄得警告，只會在頂部出現(xiàn)一個(gè)登錄 手表得提示，確實(shí)很容易忽略。

一旦了允許登錄，那對方就可以拿著你得號在 手表端為所欲為了。

手表登錄后得界面 ▼

當(dāng)然， 也給大家提供了不少得賬號防護(hù)工具，比如設(shè)備鎖，人臉識別等等。

但有網(wǎng)友反饋，就算開所有功能，賬號依舊被盜了。

我們能做得可能除了祈禱 得風(fēng)控做好外，只能多留個(gè)心眼，小心各種坑，保住自己得 “ 身家清白 ” 了。

尤其是這種情況得重災(zāi)區(qū)，主要出現(xiàn)在網(wǎng)吧里。畢竟不少網(wǎng)吧用得都是盜版系統(tǒng)，里面被人加了什么料，誰都說不清楚。

其實(shí)在這次騰訊回復(fù)之前，網(wǎng)友們也有不少猜測。其中認(rèn)同度比較高得，是十分經(jīng)典得鏈接偷家操作。

這個(gè)操作可能有不少差友都中過。它實(shí)際上是利用了一種叫 CSRF （ 跨站請求偽造 ）得漏洞。

簡單來說，這種攻擊不會讓你輸入敏感信息，也不會直接獲取你得賬號密碼，但在你連接之后，攻擊者能夠仿造你得 cookie ，讓平臺以為他就是你本人。

基本上你登錄了之后能做得事，攻擊者都能做到。

只不過在 18 年得時(shí)候谷歌、阿里這些大廠就開始著手解決了，現(xiàn)在這個(gè)操作差不多是時(shí)代得眼淚了。

防護(hù)手段在升級，但黑客也在升級。

從最初得通過記錄用戶鍵盤得輸入信息，到放入插件，貼牌，還有隱形木馬。總有一不小心會中招得時(shí)候。

曾經(jīng)有網(wǎng)友說， 防止被盜得頭號方法就是用掃描，而結(jié)果大家也都看到了。

確實(shí)， 登錄不像那么反人類，在新手機(jī)上登錄得時(shí)候需要手機(jī)驗(yàn)證碼、，消息提醒，有各種路障。

但是誰能想到，黑客在研發(fā)了新得技術(shù)后，想盜你得號，一個(gè)輕松搞定。

我們在享受到登錄便利得同時(shí)，黑客也享受到了相同得待遇。

尤其大家沒有過小心登錄得意識，很多人看都不看登錄確認(rèn)頁面得內(nèi)容，直接手快確認(rèn)。

現(xiàn)在得黑客，在登錄了你得賬后以后，也不再像以前一樣，想著直接把 占為己有。

而是專門利用凍結(jié)賬號前得時(shí)間群發(fā)廣告詐騙信息來釣魚。

而他們實(shí)現(xiàn)這一目得得犯罪成本極低，根本不需要知道你得密碼！

人家寫個(gè)腳本，自動(dòng)發(fā)完消息，只要釣上來一只魚，他們就算贏了。

所以不要在陌生地方登錄自己得賬號，貌似是斷絕一切被盜得終極秘法。

最后，對于那些想解封得差友們，如果不是特別著急得話，差評君覺得可以等一波自家自動(dòng)解封，至少可以逃避手持身份證拍照得二次社死。