问题：以下哪种行为，可能导致个人网购账户密码被盗？

本题选项：

A．使用面部认证

B．使用指纹认证

C．随意点击不明链接

正确答案：随意点击不明链接

出题单位：阿里安全中心

答题路径：支付宝APP - 【答答星球】小程序

答案解析：点击不明链接可能导致账户密码被盗，用户可通过对应软件的安全中心进行账号保护相关设置。

（1）点开链接，自动或引导下载软件

这种情况一般是页面里编写的下载apk的代码，我们下载到手机，并启动该软件，就会触发恶意代码，手机内信息被泄露。

这种不法手段随着智能手机的流行而泛滥，随着各手机厂商对安全问题的重视，现在安装未知途径的安装包被默认禁止，并且在安装前会对安装包文件进行内容检测，可以发现常规的木马病毒。

现在手机厂商能保证一个软件从下载、安装到授权都需要进行人为确认。但是使用盗版手机或对手机进行root和越狱等操作，会增加未知的风险，以及违法分子通过社会工程学包装的内容下，诱导人们从安装到点击应用进行授权，同样会导致信息泄露。

（2）Web钓鱼网站，诱导用户填入隐私信息

Web钓鱼网站的技术日新月异，无论通过哪种技术，钓鱼界面做得和官方界面完全一致，钓鱼网站最重要的是利用社会工程学，通过对用户的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行欺骗。

钓鱼网站一般伪装为银行官网或者公司活动官网，通过短信或邮件发送给受害者，内容充分利用社会工程学，比如中奖和个人有违规记录请查看等信息，点入之后，就是逼真的界面加几个文本框，让受害者输入登录信息或者身份信息。输入之后信息就完全暴露给违法人员，极大增加了盗号和余额被转出的风险。

（3）点击链接，泄露位置信息

对比上两种情况，这种只要点击就会泄露IP信息，从而通过IP地址获取真实位置信息，是这三种危害性最低的。下面简单举例几种查询IP的方式，从黑客的角度了解怎么泄露的IP信息，第一种就是邮件查询法。这种方法需要对方给你发一封电子邮件，通过查看该邮件的属性来获得邮件发送者所在计算机的IP地址。

第二种是第三方链接，只要用户点击，第三方链接就能获取点击人的IP地址。现在的网络诈骗分子，会通过生成短链接将三方链接进行伪装，增加欺骗性。第三种通过QQ微信等软件，利用防火墙日志或windows内置命令查询获取有聊天记录的信息，读取IP地址。

除此之外，黑客会通过浏览器或第三方软件的BUG，点击链接可以不用通过授权就自动下载木马病毒，或者对应用数据进行读取。比如四月份的微信BUG，点击一个二维码图片，导致微信崩溃闪退，有网友解释闪退的原因是OCR识别系统出现了内存崩溃导致的。这个情况的出现，表示没有绝对的安全，不过我们通过加强个人的防范意识可以极大降低事故的发生，首先就是了解社会工程学，不要轻易点击来历不明的链接，不泄露个人信息等。