楼主中午也就是刚刚，一个好伖被盗号然后又利用好友微信给楼主发来了盗号链接，于是我就研究了下原理准备讲解，先吃饭。

先上个盗号真相一般人看这个鏈接是完全没有问题的，楼主也完全相信它但是真实情况并非如此，等我细细道来

由于楼主本身对信息安全比较关注之前也爆料过淘寶店铺骗局：

小小跑题下，刚好lz坐在电脑前所以没有直接打开链接，而是去搜那个QQ好没发现什么特别的，于是就点开那个链接于是絀现了下面的仿QZone的登录界面：

看到这么丑的界面，本能的就怀疑这个页面的真实性于是利用微信的分享功能，把链接复制出来是：r4d2g*game**qq*com/60/?id=okqq?qqdrsign=03666 【链接打码了】看到这个显然这是一次盗号的钓鱼攻击。如果界面做好一点专业一点，可能很多人就输入帐号密码等着被盗了

各位看官此时心里一定有疑问，那个链接确实是QZone的链接没错啊！！

嗯，没错看上去确实是QZone的链接，楼主一开始也是这样想的但是这个打开确實不是真的链接，这里涉及到微信的架构问题了我简单说下原理。

下面的原理是根据我正在开发的公众帐号功能猜测的但是利用原理昰测试成功的。

微信消息交互都是以xml形式通过http协议来传递消息支持链接，图片文本等形式。

为了支持这些形式的消息微信把某些代碼放到白名单里，但没有对外公布骗子测试出了这个名单里的代码并加以利用，可以伪造一个看上去是正常实际链接到骗子网站的链接，于是有了上述的结果

上述情况已报给腾讯处理，虽然楼主已经测试成功为了大家的安全，暂不详细描述实现的技术细节等微信修复继续爆真相。

3-22 和腾讯沟通过不公开细节，但是目前还没有好的策略调整所以大家在一段时间内多留心，对于需要登录的链接都要認清楚打开链接后，微信右上角有个箭头点击后出现分享的框框，选择复制链接或者在浏览器打开辨清地址后再确认能不能登录

关於盗号注意事项，欢迎提问看到会解答

点一下推荐，可以帮助更多人谢谢。