「帮投票就被盗」黑客用这招偷走用户微信,你的网站提供第三方登入?小心被拖下水!
2025年3月14日
近期,媒体报导了多起微信账号被盗用的案例,不少受害者在通讯软件收到朋友传来「可以帮我的宠物投票吗」与投票连结,进入网页并登入微信 即可投票,没想到投票后几个小时,微信竟被盗用了!
原来朋友的通讯软件早就被骇,传来的连结竟是黑客制作的假投票网站,当你以为正在登入投票时,黑客已悄悄将账号密码偷走,登入到真正的 微信 中,并利用 微信 登入更多平台。你的网站也提供微信、抖音等第三方登入吗?其中风险不可不知!
第三方登入为什么不安全,背后隐藏着什么?
许多网站提供「快速登入」的选项,让使用者透过第三方平台,像是微信、抖音,甚至QQ账号来登入,省去每次都要输入繁琐密码的麻烦。不过,这也让黑客有更多可乘之机。
【风险一】用户第三方账号被盗,连累提供快速登入的网站
当平台提供第三方登入时,基本上是将会员账号的管理权交给了第三方平台。如果用户的微信账号或抖音账号遭到黑客入侵,那么可采用这些账号登入的其他网站,也都可能一并被盗用,甚至无需输入密码,就能直接进入用户的个人档案。
例如,黑客透过已经掌握的微信账号登入某个网购平台,不仅能窃取购物纪录、使用绑定的信用卡购物,或是盗用储值金,造成用户与平台的财务损失,甚至严重影响平台商誉。
【风险二】单一入口,成为攻击目标
使用第三方登入系统,相当于多个网站的入口集中在少数几个大型平台上,这让黑客可以更有针对性地发动攻击。当第三方平台出现漏洞,或者是黑客透过钓鱼信件诈骗,将可能导致一系列的网站被入侵,使用者及平台都将承受不可忽视的负面影响。
Veri FIDO – 不仰赖第三方,更方便、更安全的选择!
有没有既快速又安全的登入方式呢?HiTRUST Veri FIDO 采用国际 FIDO联盟最新FIDO2认证 技术,透过加密金钥与生物辨识 (如指纹、脸部辨识),让身份验证变得既安全又便利,尤其不用担心常见的网络钓鱼攻击拐走使用者账号及密码。导入 Veri FIDO 后,会员登入网站时除了不需要输入密码,更大幅降低第三方账号被盗用而衍生的风险,让账户管控掌握在网站手中,真正做到无密码、零风险!
| HIRUST Veri FIDO | 第三方登录(微信、抖音、QQ) | |
| 安全性 | 高 通过FIDO2认证,防钓鱼诈骗,中间人攻击 |
中等 OAuth无法阻止钓鱼诈骗,中间人攻击 |
| 用户体验 | 快速流程 不需记密码,App、网页都支持 |
不一致 部分浏览器无法跳转第三方App,用户仍需额外登入第三方账号 |
| 连带风险 | 低 账号独立,不被其他平台影响 |
高 若第三方账号被盗,绑定的服务都可能被连累 |
| 企业可控性 | 高 企业自行管理,不受第三方限制 |
低 受第三方政策影响,如API变更,资料存取限制 |
| 用户隐私保护 | 高 资料不对外分享 |
低 第三方平台可能收集并分析用户数据 |