早晨起床看微信群里讨论有人被钓鱼盗号，如果是普通的论坛被盗号找管理员申诉一下就能解决，可是STEEM上被盗号，一方面申诉(账户恢复)极其麻烦，另一方面可能会损失账户内的资产。

（注：据说STEEMIT的账户恢复功能现在已经暂停工作）

![image.png](https://cdn.steemitimages.com/DQmbCtWCb4fbPHyQu9x5BRtgVN3rfPjpXe95qxYCNmmMgFB/image.png)
(图源 ：[pixabay](https://pixabay.com/))

# 钓鱼操作

看了一下这次钓鱼的情形，与以往没有什么大不同。

基本思路是在别人帖子底下回复一个链接，内容可能可能是会吸引用户好奇的并且伪装成STEEMIT官网，然后贴主或者其它用户点进去，就会被提示重新登录等等，登录后黑客就掌控了你的账户&密码。

以前我曾经以身试险，孤身深入钓鱼网站，测试了每一个步骤，感兴趣的话，可以看我以前的帖子：
>[实战：来扒扒骗子(钓鱼者)是怎么骗人/钓鱼的？ / anti-phishing](https://steemit.com/anti-phishing/@oflyhigh/531ssp-anti-phishing)

这里一个有意思的事情是，原本用其它链接伪造STEEMIT链接，会被标红的，也就是说，类似如下代码：
>`[steemit.com/@oflyhigh](http://a.com)`

实际显示效果：
>![image.png](https://cdn.steemitimages.com/DQmbHVHaNust8oosjfXDxKc4a5oPRyxaZKUAokAR4x9iRdW/image.png)

这样一定程度上就会提醒用户注意防范，可是这次却没显示红色，我仔细分析了一下钓鱼链接的代码，原来是在`https://steemit .com`的`steemit`和`.com`之间加了个空格。不仔细观察，根本发现不了，真是人才啊。
>![image.png](https://cdn.steemitimages.com/DQmce6X4KGBFyAaAu31WRL6wdURQKKueiGoMRaTesm1FcPf/image.png)

为了避免大家不小心点进去，我就不贴钓鱼链接了。

# 如何防范

最简单的防范方法是***不要太有好奇心***以及***保持警惕***。

别一看到标题夸张超有吸引力的链接就八卦之火熊熊燃烧，迫不及待地点进去，让登录就登录，黑客就喜欢你这样的菜。

如果打开网址后，我们肯看一眼地址栏链接，那么中招的概率会低很多：
>![image.png](https://cdn.steemitimages.com/DQmS6y8MYc78zHQ73i7PMp2UBREzkmm1JyPgFneuVvYYWCt/image.png)

不过上边都属于被动防范，如果要想账户安全，主动防御也必不可少。如何主动防御呢？

我在很久以前的一个帖子中[《关于密码安全，别心存侥幸 (宜未雨而绸缪,毋临渴而掘井)！》](https://steemit.com/cn/@oflyhigh/67dmsd)写过的几点建议似乎还应该有用：
*  导出Posting Key 以及Active Key，平时使用这个两个私钥发帖和转账。
*  将主密码离线保存到移动介质上，并保存两份以上COPY，放置到安全的地方。
*  无论在什么网站和程序上，***都不要提供主密码***，除非你需要修改密码。

（注：Posting KEY被盗，黑客可能拿去点赞/点踩，或者被人拿去发钓鱼贴，但至少财产不受损失。）

# 更进一步的安全

上述内容主要用于防范钓鱼盗号，钓鱼盗号一般都是搭建个类似STEEMIT的网站来实现钓鱼的。

那么你有没有考虑，如果有一天STEEMIT.COM被黑客黑掉，然后直接用来收集账户密码，可咋办？上述使用Posting key的方式可以杜绝大部分风险，然而涉及修改密码等操作，总要登录这个网站呀？

好多天前一个朋友和我在微信上的讨论我觉得很有意义，他为了避免上述情况发生，做重要操作时，都使用客户端，比如使用Python脚本就是一个很好的选择。

比如以下两个Python库：
>https://github.com/steemit/steem-python
>https://github.com/holgern/beem

我不敢说这俩库当前100%安全或者以后100%安全，但是至少我之前下的***steem-python早期版本的代码***，我Review了一遍，没看出啥隐患来。

另外，命令行钱包似乎也是一个选择，然而我一直不会用，尴尬了，哈哈。


![image.png](https://cdn.steemitimages.com/DQmfCHKGPGWEz1J4JHAHUMdd3JSnfTVA1VJubM5WAMR8P4a/image.png)
(图源 ：[pixabay](https://pixabay.com/))

希望大家都保护好自己的密码，保护好自己的财产安全。

# 相关链接
* [实战：来扒扒骗子(钓鱼者)是怎么骗人/钓鱼的？ / anti-phishing](https://steemit.com/anti-phishing/@oflyhigh/531ssp-anti-phishing)
* [关于密码安全，别心存侥幸 (宜未雨而绸缪,毋临渴而掘井)！](https://steemit.com/cn/@oflyhigh/67dmsd)
* [再次提醒大家防范钓鱼信息，就在昨晚CN区一个声望分67级的账户被盗！！！](https://steemit.com/cn/@oflyhigh/cn-67)

----
<center><strong>Vote For Me As Witness</strong>
https://steemit.com/~witnesses type in **`oflyhigh`** and click ***`VOTE`***
[![](https://cdn.steemitimages.com/DQmX5NysqT44FBa3bhuWqQ69nAbseu8Nt5YQPn2pYejPVxA/image.png)](https://steemit.com/~witnesses)
[Vote @oflyhigh via Steemconnect](https://steemconnect.com/sign/account-witness-vote?witness=oflyhigh&approve=1)
<strong>Thank you!</strong></center>