我们经常能收到内涵网站链接的短信，这些短信或者打着10086等运营商的旗号，或者属于中奖提醒，反正内容极具诱惑力（让你点击）。然而，这些由字符串组成的网址，往往会让你陷入各种骗局。

暗藏“杀机”的链接

在网上我们经常能看到这类新闻：收到好友婚礼请柬的短信，点击里面的链接后卡里的XXXX钱就不翼而飞了（图1）。实际上，与链接相关的陷阱早已有之。比如几年前用电脑打开QQ好友发来的网址，就极易被引入暗藏病毒木马的网站，一登录就中招（代价大都是账号被盗）。只是步入移动时代后，手机被链接陷阱“坑”的流程出现了较大的变化。

简单来说，如果手机访问了某个内涵病毒木马的网站，很难被直接感染。但是，在短信、QQ或其他聊天通讯界面中的链接，点击后系统会以默认浏览器打开，而这些链接陷阱对应的大都不是某个网站，而是某款APK文件的下载地址。

因此，当你点击这个链接后就自动激活了浏览器的下载功能（图2）。问题就出现在这里，此时下载的APK内藏木马，一旦安装就算完成了中毒和激活木马的过程。那么，黑客又是如何利用这个APK实现盗取我们财产的呢？

APK感染的木马读取用户手机号设备串码发送给黑客→黑客使用用户手机号登录支付宝、微信、银行等APP→黑色选择忘记密码，以手机验证码的形式重置密码→木马拦截本应由用户手机接收的短信验证码，并将其发送给黑客→黑客修改密码成功→黑客重新登录支付宝等APP→重复上面操作重置支付密码→完成转账。

听起来很繁琐，但在专业人士面前，这个流程仅是分分钟的事总之（图3），无论是前文提到的二维码陷阱，还是本章节的链接陷阱，其原理大都如此。

本图来自网络

如何才能跳过陷阱

了解了手机中毒（木马）的原理，我们就能做到有的放矢了。而基本思路则是，不让手机偷偷摸摸地安装未经允许的应用程序（APK文件）。

比如，我们可以进入手机“设置→安全”界面，找到并关闭“未知来源”的选项（图4）。关闭它之后，当手机遇到非应用商店下载的APK文件时，在安装前会弹出禁止安装的提醒，除非你点击了“解除禁止”（图5），通常情况下安装会失败（如果手机已ROOT则可能无法阻止）。

如果你觉得这一道保险还不够用，还能进入手机“设置→应用→默认应用设置”，将默认浏览器替换成UC等第三方浏览器。而选择的标准则是，在浏览器设置中可关闭“自动安装”功能的选项（图6）。这样做的目的是，无论是二维码还是短信里的链接网址，它们都会触发默认浏览器进行下载，当我们关闭了浏览器“自动安装”的选项时，这些染毒的APK不会被静默安装，与未知来源配合能起到最大限度的安全防护作用。

扩展阅读：如何辨别APK是否染毒

除了支付宝等少数APP的插件以外，任何APK格式的文件在安装之后都会在桌面生成一个图标。如果我们不小心或貌似安装了一个APK，但却没能在桌面和应用程序列表中找到它的影子，那刚刚安装的APK基本就可确定是染毒的程序，而你的手机也已经中毒。此时，赶紧进入飞行模式，对用户数据进行备份，然后恢复出厂设置即可。