“去看看你的QQ号码，你的号码被偷了！”

一觉醒来，发现自己的QQ给父母、同学甚至暗恋对象发了一堆黄色的照片，以至于被举报、封存、挂起QQ空间，这样的社会死亡场景，可能是很多人昨天早上正在经历的绝望。

更严重的是，还要在一身清白的情况下，手里拿着身份证拍照，写下评论，告诉腾讯：“再也不敢发色图盗号了，请把号码还给我。”

就连前段时间因信息泄露社死于学习通，也被拉出来鞭打一轮尸体，又死了一次。

也只有那些经历过大风大浪的网友，才能在这样艰难的环境中保持自我，保持网络社区的和谐氛围。

也许是大家的猜测越来越离谱，甚至有人怀疑企鹅监守自盗，眼看火要烧到自己的屁股，QQ终于坐不住了。

昨天中午，QQ回应说，被盗号码的主要原因是“扫描假游戏登录二维码授权登录”。

根据网上网友的爆料，这被盗网友大多在网吧登录QQ二维码账号相关体验。

不是吧阿sir，以前人们都说不要在网吧里输入账号密码，因为这样容易记录下来。

但是现在你告诉我最安全的扫描二维码也会被偷，我真的会感谢。

这个。。在陌生的地方，我还能愉快地登录账号吗？人与人之间的信任呢？

啊，什么也别说。让我们来研究一下这个二维码中招的原理。

在谈这个之前，我想先和大家谈谈，在你扫描之前，QQ二维码，你会经历什么。

打开软件，拿起手机App扫描二维码，点击确定登录，这个过程很简单吗？

但实际上，这涉及到两层身份认证。

扫描二维码时，相当于告诉服务器:我是谁；点击确认后，与服务器确认，我真的是我。

为了安全起见，如果这两个步骤中的任何一个延迟太长，系统会判断你在欺骗它，使二维码失效，你必须再次证明自己才能完成登录。

但是现在有一个漏洞，那就是如果黑客实时覆盖了你电脑上的二维码。

所以你以为你扫描的是网吧电脑登录二维码，其实你扫描的是黑客电脑登录二维码。

你找到了吗？中间有一个时差。只要黑客在登录二维码时没有失败，他就会给你发送二维码。扫描后，你没有仔细观察，而是点击确认。

然后黑客直接登录你的账号。

直接在黑客的电脑上裸奔▼

还有网友分析，你登录的二维码可能就是你。QQ手表端的登录二维码，而不是电脑，QQ。

一个知乎程序员被盗的血泪史▼

因为QQ手表可以与电脑和手机平行在线。一旦黑客登录到你的QQ手表，可以更方便黑客长期控制。

我们还亲自做了一个实验，并在一部新手机上安装了它QQ手表的APP之后，将登录二维码发送给他人。

在此界面中，没有提示新设备登录的警告，只有一个登录出现在顶部QQ真的很容易忽略手表的提示。

一旦您点击允许登录，另一方可以在QQ手表端为所欲为。

QQ登录后的界面▼

当然，QQ还为您提供了许多帐号保护工具，如设备锁、人脸识别等。

但是有网友反馈，即使开了所有功能，账号还是被盗。

除了祈祷，我们还能做什么QQ除了做好风险控制，我们只能多加注意，小心各种坑，保持自己“身家清白”了。

尤其是这种情况下受灾最严重的地区，主要出现在网吧。毕竟很多网吧都使用盗版系统，没有人知道里面加了什么材料。

事实上，在这次腾讯回复之前，网友们也有很多猜测。其中认可度较高，是非常经典的链接偷家操作。

这个操作中可能有很多朋友。它实际上使用了一种叫做CSRF(跨站请求伪造)漏洞。

简单地说，这种攻击不会让你输入敏感信息，也不会直接获得你的帐户密码，但在你点击连接后，攻击者可以模仿你cookie，让平台认为他就是你自己。

基本上你登录后能做什么，攻击者都能做到。

只是在18年的时候，谷歌、阿里这些大厂开始解决，现在这个操作几乎是时代的眼泪。

保护措施正在升级，但黑客也在升级。

从最初通过记录用户键盘的输入信息，到放入插件、贴标签、隐形木马。总有一天会不小心被抓住。

有网友说，QQ防止被盗的第一种方法是用二维码扫描，每个人都能看到结果。

确实，QQ登录不像微信那样反人类，在新手机上登录时需要手机验证码、二维码、消息提醒，有各种路障。

但谁能想到，黑客在开发新技术后，想偷你的号码，一个二维码就可以轻松搞定。

在享受二维码登录便利的同时，黑客也享受同样的待遇。

特别是我们没有小心二维码登录的意识，很多人看不到登录确认页面的内容，直接点击确认。

现在的黑客，在登录你的账户后，不再像以前一样，想着直接放手QQ占为己有。

而是专门利用冻结账号前的时间群发广告诈骗信息进行钓鱼。

而且他们实现这个目的的犯罪成本极低，根本不需要知道你的密码！

人们写一个脚本，自动发消息，只要钓到一条鱼，他们就会赢。

因此，不要在陌生方登录自己的账号，似乎是切断一切被盗的终极秘法。

最后，对于那些想要解封的朋友来说，如果他们不是特别焦虑，可怜的评论家认为他们可以等待一波官方自动解封，至少可以避免持有身份证的第二次俱乐部死亡。