疫情的原因宅在家不出门，正聊天的时候看见学弟往群里发送了一则小广告。

过了几分钟，学弟好像终于把控制权夺回来了，在QQ空间里发布了道歉的说说。

可怜的学弟

没错，这已经是一个星期内他的QQ第二次被盗了，并且他丝毫没有头绪。要是只往群里发送些小广告还好，如果要是被盗后给女神发些不该发的东西，那岂不是要疯狂掉印象分？！

严重的后果

为了防止再次被盗，学弟可怜巴巴的向我求助。知其然必要知其所以然，今天我们就来扒一扒，你的QQ是如何被盗走的，相信大家看完后都会学习到如何保护好自己的QQ，远离小广告。

看似神秘实则很low的手段

如果有人在你的QQ空间中这样留言，你会不会点击链接呢？

诱导性链接

这样的链接或者恶意二维码可能通过各种手段来到你的面前，比如邮件、群聊、论坛留言，其往往伴随有诱导性的语言，让你想一探究竟。

而你点击后是这样的：

伪装成QQ空间的恶意页面

乍一看是QQ空间的登录页面，而实际上，它却是来自于恶意网站的一个页面，只不过，它的样式和真正的QQ空间登录页面完全一样。

下拉后看到真实访问的域名（非真实钓鱼页面，仅演示）

仗着在QQ和微信中浏览网页时无法看到网站具体的链接，让真实性大大增加了。其实只要你输入了账号和密码，就会被它记录下来，然后跳转到真正的QQ空间登录页面，你的QQ账号也就离家出走了。

可能你觉得，这么初级的攻击手段会有人信吗？真的！虽然已经2020年了，可还是有不少人傻乎乎的将QQ密码输进去。这就是钓鱼攻击，鱼饵撒好，愿者上钩，不求命中率高，钓的多了，总会有人中招。

其实也有几分防不胜防

有些朋友可能会疑惑，我根本没有向奇怪的页面输入过QQ账号密码啊，为什么依然被盗了呢？这里就不提到另外一种手段：撞库攻击。

相信有不少人安全意识很强，设置过好几个密码。然而，就像笔者这样的专业信息安全从业者，也难以做到注册每个网站时都使用不同的密码，完全记不住啊亲！

这就会出现多个网站使用同一个密码的情况：比如，你的QQ密码、微信密码、支付宝登录密码、某论坛的登录密码是一样的。那么这四者中，某论坛的安全性是较差的，可能被人恶意攻击，然后拿到了它的所有数据，这时你的登录密码就被泄露了。

接着，攻击者会拿着你已经泄露的手机号、密码去尝试登录QQ、微信、微博等常用平台，有能登录成功的，也有无法登录的，这就是所谓的撞库攻击了。这也就是为什么有时候你什么也没做，QQ就莫名其妙被盗的原因。

本来，我们的密码是不允许直接储存在网站的，而是储存一个对应的加salt的哈希值作为替代。当登录时，网站会通过这个哈希值来判断我们输入的密码是否正确。这也就意味着，即使网站所有的数据泄露，攻击者依然拿不到我们的真实密码。

可惜的是，以笔者的信息安全从业经验来看，现在还是有小半的网站明文储存密码，或者不加salt（导致哈希值可被彩虹表破解），那么在把重要的密码交给这些网站的时候，你的信息安全也就由不得你掌控了，可谓防不胜防。

摸清了这些惯用的盗号套路，我们也就能对症下药了。

首先，不要随便点击奇怪的链接或随便扫描二维码，尤其是涉及到登录的时候，一定要看清访问的链接是不是对应的网站。QQ和微信可以通过轻轻下拉页面看到访问链接的真正域名。

只需点住页面轻轻下拉即可

像上图中明明要登录QQ空间，却显示了一个没见过的网站的域名时，你大概率就遇见了钓鱼攻击。及时悬崖勒马，放心不会有损失的。

其次，设置密码时，建议QQ密码、微信密码、支付宝密码等涉及到钱财、社交关系的密码单独设置，与其他网站的密码严格区分。因为这些产品本身的安全性是有保障的，除上面提到的钓鱼和撞库攻击外，密码几乎不可能被盗取。

最后就是在QQ中点击你的头像->左下角设置->账号安全，然后打开登录保护和安全登录检查两项设置。此两者能够有效保证即使在QQ密码泄露的情况下，盗号者也难以登录你的QQ。

从此，妈妈也在不用担心你的QQ！

我是楼上楼下快结婚吧，一个信息安全领域从业者。关注我，带你走进中国红客的世界。