昨天，以一封“昵称肖像侵权”举报邮件引发的盗号案在朋友圈发酵。

看似举报，实为骗局。对方通过在“投诉描述”中加入钓鱼网站地址，使得“胡辛束”、“医学界”、“深圳大件事”等不同地区的诸多账号遭遇盗号。账号被推送含有外链的乌龙信息。其中，“深圳潮生活”等部分账号甚至一连收到三条举报信息。

新榜在昨天推送的《明明是申诉，怎就被盗号？多地微信号同时遭遇盗号骗局》一文中，对情形做了详细阐述。盗号的过程基本分为四步，请继续遇到类似情况的运营者多加小心：

1.  收到以“昵称肖像侵权”为名的举报信息；

2.  投诉描述处有处理举报的链接，实为钓鱼网站；

3.  复制该链接打开网站，扫码无效，只能选择登陆；

4.  登陆不成功，不久后收到投诉撤销信息，然而账号。

也就是说，收到类似消息，暂且不必理会；假如已不幸被盗号，记得尽快修改账号密码并删除乌龙信息。通过昨天在新榜“中国微信500强”群中的奔走相告，很多躺枪的运营者都修改了账号密码，并开启了后台风险保护。

微信官方也注意到这一情况。不仅于昨天下午通过官方公号“微信派”发文，提出几条防盗措施。而且在发文不久后，对所有收到侵权投诉的账户采取了强制登陆保护措施。

但事情并未就此结束，截至今天，收到举报信息甚至被盗号的现象仍在扩散。“ONE文艺生活”、“简易心理学”等许多账号躺枪。其中，“ONE文艺生活”被盗号后一连推出三条消息。

更麻烦的是，由于主动或被强制采取登陆保护措施，很多运营者在登陆时，都收到需要管理员扫码验证才能登陆的消息。这对不少运营者来说无形中还是增添了不少麻烦。

“我的管理员账号是很早以前绑定的一个没设置短ID的原始帐号，一直想更换也无法重置，今天登陆保护突然被开了，需要用管理员ID扫描才能登陆，导致登陆不上自己的账号了……现在内容都发不出去了，怎么破啊好忧伤。”

不少类似的运营者都在新榜交流群诉苦，管理员账号无法找回，则无法登陆，相当于“变相封号”。不过，对此疑问有微信工作人员在群聊中有过回应，表示不必担心“变相封号”的发生。

● ● ●

早在今年1月“官场**”盗号事件发生后，微信官方就曾建议所有公众号运营者开启风险操作保护，并表示会优先给被盗账号进行安全升级。而如此大规模强制开启登陆保护，还是头一回。

微信官方自然是出于好意，但这样的做法是否简单粗暴了些，没能照顾很多运营者的实际情况？对于这次的“变相封号”事件，运营者们最关注的问题有两点：

1.  管理员ID无法找回，导致无法验证登陆；

 “主要是有些微信丢失了，ID也想不起来了……而且这些基本都是很早的运营者才会出的问题，以前不重视。”

“现在睡不着觉的问题是，如果没管理员，万一被人用这漏洞投诉一下，登陆保护就自动开启了，等于被判死刑。”

“扫描登录进去之后又得去安全中心关掉，然后被投诉的话是不是又被开启保护？”

2.  更换管理员只能通过原管理员扫码，或者得知管理员ID后再加上身份信息，目前主体没有申诉渠道，是否能掌握主控权还是未知，不少运营者都因管理员手握升级订阅号成服务号等权限而担忧不已。

“忘记ID以后作为主体都无法通过其它渠道修改管理员，非常不合理。”

“主动权应该在运营者手上才对。主体应该有渠道申请修改管理员。”

“升级服务号也应该修改，不能谁登录都可以升级，也应该以主体为中心，例如和认证年审一样，需要提交公司资质才能升级服务号。”

实际上这些由管理者权限引发的问题由来已久。按照微信的规定，1个公众号能绑定1个管理员和4个运营者；管理员1个微信号只能绑定5个公众号（包括管理员微信号和运营者微信号）。

这对于拥有几十个甚至几百上千个公众号运营者来说，为账号开启后台风险保护，就意味着每次发布都需要特定的管理员扫码，实际上并不利于便捷操作。更多的账号会选择不开启保护，减少发布流程。

对于新媒体运营团队来说，人员的流动也会为管理者权限埋下隐患。由于在日常工作中，运营者也能正常发布，管理员账号的绑定可能会不被重视。

然而管理员却可以不经主体将账号升级为服务号，看上去有“管理员高于主体”的意味。这些都是风险的来源。

● ● ●

除了钓鱼网站以外，第三方平台接入、代认证等操作都会加大被盗号的可能性。到底如何才能降低风险，以及如何申诉，新榜提供了更详细的方案。

1.  防患在前，主动开启帐号保护

此次中招的多数公众号中，大部分运营者缺乏帐号保护意识，从未在“安全中心”页面设置管理者、运营者，以及开启风险操作保护等。以至于盗号者能在运营者毫无防范的情况下，登录公号并群发图文消息。

新榜建议，在团队运营公众号的情况下，会出现多人操作使用后台的情况，容易出现各种操作安全隐患，尽量主动设置并绑定管理员及主要运营人员的微信号。

▲管理员、运营者微信号绑定页面

绑定微信号之后，最重要的还是开启风险操作保护功能。在该页面上共有5项保护操作，分别为登录、群发消息、修改服务器配置、修改App Secret、查看App Secret。若个人运营公众号，新榜建议5项操作全部开启保护状态。

▲“安全中心”之风险操作保护页面

若是团队运营，多人操作同个公号，登录保护可以不开启，否则管理员会被打扰到，收到过多操作信息提醒。但后面4项保护，尤其是群发保护，还是一定要开。虽然这会使操作流程更加复杂，但也会大大提高账户的安全度。

2.  不使用非官方的网站登录微信公众帐号

近日的盗号事件，盗号者均是通过与微信官方域名相似钓鱼网站获取公众号的账号和密码，进而登录后台进行操作。其实，微信官方的域名的前缀都是“mp.weixin.qq.com”，不是这个前缀的页面，谨慎使用。

这次大家碰到的钓鱼网站域名有以下两种，与微信官方域名的确相似：

（1）http://mp.weixin.dy139.cn （目前已被投诉删除），该域名是通过域名服务商广东耐思尼克信息技术有限公司（原珠海耐思尼克信息技术有限公司）注册，域名所有人为孙一磊，邮箱privacyprotect@foxmail.com。

（2）http://mp.weixin.smart-top.cn/，通过域名服务商秦皇岛陆街商贸有限公司注册，网站负责人显示为孟凡涛，邮箱yaomaiyumingzhaowo@126.com。截至发稿前，该钓鱼网站仍可使用，页面文字显示“公众平台侵权投诉登录”。

▲钓鱼网站页面

如果有人不慎点入钓鱼网站，并输入了账号、密码，记得第一时间登录后台“安全中心”修改密码，设置的密码，不要过于简单，也不要和Email或其他平台密码相同。然后，记得要一并开启各种风险操作保护。

3.  被盗号和冒用后，如何申诉？

若运营的公众号已被盗号，并被使用进行相关操作，是否有申诉渠道可以使用？无论是企业还是个人，如果都可以进入微信官方网站“找回账号”页面去申诉。网址如下：https://mp.weixin.qq.com/acct/findacct?action=scan

▲微信公号基于主体确认身份找回账号的流程图

不少公号运营者，在实际操作中忘记公众号管理员的账号、密码，因此变得感到十分惶恐，认为“忘记管理员ID=封号”。其实不然，微信官方人员透露，“帐号一直是以主体为核心，并不是管理员核心，若有人强绑管理员帐号，不会导致公众号找不回或者变成僵尸号”。

只要公众号确认主体，个人或公司都可通过上文所提到“找回账号”页面确认身份并找回账号。目前有很多账号都已尝试过该方法，其中也有一些人收到了激活成功、等待审核结果的信息。

也有人遇到“暂不支持公众号找回”的情况，但原因暂不得而知，还要等微信官方统一发布说明。