保卫钱包

病毒、钓鱼网站、P2P投资陷阱等针对网友钱包的恶意攻击层出不穷，且时不时换个花样忽悠。本栏目专门扒皮，教大家保卫自己的钱包！微博求助：http://weib*.c*m/cdx1983。

免费试用的套路是“自动扣费”

  免费试用是许多APP送的一项福利，不过如果体验姿势不对，福利就变成陷阱了，有苦说不出哟！这到底是怎么回事？其实，说白了就是用免费试用福利吸引人使用APP ，等福利期一过就开始自动扣费，有读者就被套路了。

  读者“鹤舞翯”下载了一个阅读APP，该APP可以免费阅读10本VIP书，但要享受这项福利需要绑定了支付宝账号，没有犹豫他就按照提示进行了绑定，并顺利看到了网上要收费的VIP书，免费看哟！不过等到下一月，他突然发现自己变成了APP的付费会员，支付宝自动扣12元钱，整个扣费过程用户毫不知情。在新浪微博和百度中搜索，可以看到大量类似的案例，主要涉及的阅读类APP、学习类APP、外挂类APP、视频类等。

  为什么不经过用户允许就可以自动扣费呢?这就要从支付宝、微信等的免密小额支付功能说起了，顾名思义就是不用输入密码即可完成支付，当然支付的金额有上限，最高不能超过1000元，主流的默认标准是200元，用可以自行调整这个标准，以支付宝为例，点击“财富”→“ 设置” →“ 支付设置” →“ 小额免密支付”，可以看到200元、300元、500元、800元和1000元五档可以选择。

  这个功能的初衷是好的，平时也经常用得到，例如通过滴滴打车、通过美团叫外卖等，金额不大都可以自动扣费，非常省事。只不过一些APP动了歪脑筋，通过的擦边球方式忽悠了用户，侵害了用户对支付途径有知情权，因此解决方法就是取消不必要的免密小额授权，具体操作如下所示：

  微信：点击“我”，再点击 “钱包”，之后点击右上角图标，选择“支付管理”，就可以看到“自动扣费”了，点击进入后选择不需要的项目，再点击“停止扣费”即可。

  支付宝：点击“我的”，再点击“设置”，选择“支付设置”，就可以看到“免密支付/自动扣款”， 点击进入后选择不需要的项目解除授权即可。

  QQ：点击QQ头像，选择“QQ钱包”，再选择“设置”，就可以看的“自动扣费管理”，跟之前的操作一样，取消不必要的扣费项目即可。

在支付宝和微信中对不需要的自动扣款服务进行解约

@董师傅：其实免费试用这个套路是电信运营商玩剩下的，电信运营商喜欢弄的“续费大礼包”中暗藏玄机，有的流量包送一个月或者三个月之后就是自动扣费购买的。

攻防实验室

这里有最新的黑客研究成果,这里有黑客的最新“黑科技”，这里有权威解读，正所谓知己知彼方能百战不殆。要想全面抵御黑客的攻击，就必须知道黑客的最新动态。欢迎志同道合的朋友来投稿，投稿邮箱：285845949@qq.com。

木马想“吃鸡” QQ邮箱躺枪

  《绝地求生：大逃杀》是当前非常火爆的网络游戏之一，许多用户纷纷下载游戏体验“吃鸡”，不过《绝地求生：大逃杀》不是免费的，需要在Steam商城花费98元购买一个账号才可以，于是黑客盯上了Steam账号，通过大规模盗取并售卖Steam账号进而牟利。经过研究，黑客发现大多数用户的Steam账号是跟QQ邮箱绑定在一起的，那么只要盗取了QQ邮箱就有很大概率获得Steam账号信息（许多人的Steam密码就是QQ邮箱密码），于是黑客将目光转移到QQ邮箱了。

  可想直接盗取QQ邮箱的账号和密码并不容易，那就相当于盗取QQ的账号和密码，难呀！大名鼎鼎的那些QQ木马早已销声匿迹，难道就真的没有办法吗？最近，黑客发现了一条新思路，腾讯为了方便用户在登录的QQ电脑中可以使用“快速登录”的进入QQ邮箱、QQ空间以及其他腾讯旗下的产品，如此一来就不需要用户输入QQ账号和密码了，在这个过程中，QQ会自动生成一个密钥，它就相当于QQ用户的一个身份证，如果拦截到或者复制到这个密钥，不就可以远程假冒用户登录QQ邮箱了嘛，进一步可以盗取与QQ邮箱有绑定关系的Steam账号以及相关财产。

  于是，冒充变声器、外挂、加速器实则是为了窃取Qqkey的盗号木马大量冒出，疯狂攻击《绝地求生：大逃杀》用户。盗号木马的攻击流程如下：通过访问http://localhost.ptlogin2.qq.com:4300/获取用户登录QQ的key ，将Set-Cookie中的clientKey发送到黑客指定的服务器中，服务器通过qqkey.php以Get的方式接收QQ号码、QQ名称和Qqkey等数据。

  目前一些变种，还可以实现全自动进入QQ邮箱盗号、管理获取的QQkey等，功能非常高级。此外，一套完整的盗号木马在黑市开价1500元，就连用于登录QQKey的登录器单卖也要400元。

QQkey登录邮箱工具

安全周报

  这段时间，互联网上依然出现大量漏洞、被病毒感染的电脑和被黑客攻击的网站。本周比较受关注的是亚马逊智能音箱Alexa 的漏洞, 该漏洞可以让黑客窃听并记录 Alexa用户的隐私数据,并可以远程上传用户跟Alexa的对话记录，这个漏洞由于危害巨大第一时间就得到了修补，但黑客针对智能音箱的攻击加剧值得高度警惕。

数据来自国家互联网应急中心

本周，全球黑客攻击保持高频状态，影响较大的有：

  1. 大多数酒店如今都使用了基于 RFID 技术的智能房卡，有黑客研究发现通过专门的硬件和特殊的黑客工具，可以获取智能房卡的密钥，从而打开任何一间房的房门。

  2.白帽黑客偶然发现了一个 MongoDB 数据库，其中包含了25000 名Bezop（加密货币）的投资者的个人信息，涉及姓名、家庭住址、电子邮件地址、加密密码、钱包信息以及扫描的护照、驾驶执照等数据。

  3. 韩国第二大移动通信运营商遭黑客攻击，其用户的一半约870万手机用户信息被窃取，涉及用户姓名、手机号码、家庭住址等敏感数据。

本周，依然有不少P2P理财平台出现问题，有的平台网站还可以打开，投资时要睁大眼睛，不要走错门了。

数据来自网贷之家

  本周，我们接到1097个读者举报，涉及网银钓鱼网站、社交钓鱼网站、游戏钓鱼网站、挂马网站、非法赌博网站和传播病毒的网站等，下面是我们精选的有代表性的高危网站。