“ 快去看看你的 QQ 号，你号被盜了！ ”

一覺醒來，發現自己的 QQ 給爸媽、同學甚至是暗戀對象發了一堆黃圖，以至于被舉報、被封，被人挂上 QQ 空間，這樣的社死現場，可能就是很多人昨天早上正在經曆的絕望。

更嚴重的，還得在一身清白的情況下，手持身份證拍照，寫下一份檢讨書，告訴騰訊： “ 我以後再也不敢群發色圖盜号了，求求你把号還給我吧。 ”

就連前段時間因為信息洩露社死的學習通，也被拉出來鞭了一輪屍，又社死了一次。

也隻有那些經曆過大風大浪的網友，能在這樣的艱苦的環境裡保持自我，維護好網絡社區的和諧氛圍。

可能是大家的猜測越來越離譜，甚至有人懷疑企鵝監守自盜，眼看火要燒到自己屁股， QQ 終于坐不住了。

昨天中午， QQ 給出了回應，說被盜号的主要原因是 “ 掃描了假的遊戲登錄二維碼授權登錄造成的 ” 。

根據網上網友的爆料，這一波大部分被盜網友都有過在網吧登錄 QQ 相關的二維碼賬号的經曆。

不是吧阿 sir ，以前人們都說在網吧不要輸入賬号密碼，因為這樣容易被記錄下來。

但現在你跟我說最安全的掃二維碼也會被盜，我是真的會謝。。。

這。。我還能愉快地在陌生的地方登錄賬号麼？人與人之間的信任呢？

哎，啥也别說了。我們來研究下這種二維碼中招的原理吧。

在聊這之前，我想先和大家講講，在你掃 QQ 二維碼的時候，你會經曆什麼。

打開軟件，拿手機 App 掃描二維碼，點擊确定登錄，這個流程是不是十分簡單？

但事實上，這裡面涉及到了兩層身份認證。

當你掃描二維碼的時候，相當于告訴了服務器：我是誰；而點擊确認之後，就是在和服務器确認，我真的是我。

為了安全起見，這兩個步驟中任意一個拖太久了，系統就會判定你在騙它，讓二維碼失效，得重新自證一遍才能完成登錄。

但是現在有一個漏洞，就是如果黑客把自己電腦上的登錄二維碼實時覆蓋你電腦的二維碼的話。。。

那麼你以為你掃描的是網吧電腦的登錄二維碼，實際上你掃描的是黑客電腦上的登錄二維碼。

發現沒有？這中間是有個時間差的，隻要黑客趁登錄二維碼沒有失效，把自己的二維碼發給了你，掃完之後你又沒有仔細看，順手點了個确認。

那麼黑客就直接登錄了你的賬号。

直接在黑客的電腦上進行一波裸奔 ▼

還有網友分析，你登錄的二維碼有可能是你 QQ 手表端的登錄二維碼，而并不是電腦 QQ 。

一名知乎程序員的被盜血淚史 ▼

因為 QQ 手表是能和電腦端、手機端并行在線的，一旦黑客登錄了你的 QQ 手表，能更方便黑客長時間的操控。

我們也親身實驗了一下，在一台新手機上安裝了 QQ 手表的 APP 後，把登錄二維碼發給了其他人。

在這個界面裡，并沒有提示新設備登錄的警告，隻會在頂部出現一個登錄 QQ 手表的提示，确實很容易忽略。

一旦點擊了允許登錄，那對方就可以拿着你的号在 QQ 手表端為所欲為了。

QQ 手表登錄後的界面 ▼

當然， QQ 也給大家提供了不少的賬号防護工具，比如設備鎖，人臉識别等等。

但有網友反饋，就算開所有功能，賬号依舊被盜了。

我們能做的可能除了祈禱 QQ 的風控做好外，隻能多留個心眼，小心各種坑，保住自己的 “ 身家清白 ” 了。

尤其是這種情況的重災區，主要出現在網吧裡。畢竟不少網吧用的都是盜版系統，裡面被人加了什麼料，誰都說不清楚。

其實在這次騰訊回複之前，網友們也有不少猜測。其中認同度比較高的，是十分經典的鍊接偷家操作。

這個操作可能有不少差友都中過。它實際上是利用了一種叫 CSRF （ 跨站請求僞造 ）的漏洞。

簡單來說，這種攻擊不會讓你輸入敏感信息，也不會直接獲取你的賬号密碼，但在你點擊連接之後，攻擊者能夠仿造你的 cookie ，讓平台以為他就是你本人。

基本上你登錄了之後能做的事，攻擊者都能做到。

隻不過在 18 年的時候谷歌、阿裡這些大廠就開始着手解決了，現在這個操作差不多是時代的眼淚了。

防護手段在升級，但黑客也在升級。

從最初的通過記錄用戶鍵盤的輸入信息，到放入插件，貼牌，還有隐形木馬。總有一不小心會中招的時候。

曾經有網友說， QQ 防止被盜的頭号方法就是用二維碼掃描，而結果大家也都看到了。

确實， QQ 登錄不像微信那麼反人類，在新手機上登錄的時候需要手機驗證碼、二維碼，消息提醒，有各種路障。

但是誰能想到，黑客在研發了新的技術後，想盜你的号，一個二維碼輕松搞定。

我們在享受到二維碼登錄便利的同時，黑客也享受到了相同的待遇。

尤其大家沒有過小心二維碼登錄的意識，很多人看都不看登錄确認頁面的内容，直接手快點擊确認。

現在的黑客，在登錄了你的賬後以後，也不再像以前一樣，想着直接把 QQ 占為己有。

而是專門利用凍結賬号前的時間群發廣告詐騙信息來釣魚。

而他們實現這一目的的犯罪成本極低，根本不需要知道你的密碼！

人家寫個腳本，自動發完消息，隻要釣上來一隻魚，他們就算赢了。

所以不要在陌生地方登錄自己的賬号，貌似是斷絕一切被盜的終極秘法。

最後，對于那些想解封的差友們，如果不是特别着急的話，差評君覺得可以等一波官方自動解封，至少可以逃避手持身份證拍照的二次社死。