你以为删了就完事，其实还没结束，我把所谓“每日大赛”的链路追完了：一旦授权，后面全是连环套；我把自救步骤写清楚了

你以为删了就完事，其实还没结束——我把所谓“每日大赛”的链路追完了：一旦授权，后面全是连环套；我把自救步骤写清楚了

导语 很多人以为把手机里那个“每日大赛”之类的应用删了就没事了。但我亲自把整个授权链路从前端一路追到后台，发现只要一同意授权，后面往往是一连串可以长期滥用你账号的操作。下面把我拆解出的链路、常见后果和最关键的自救步骤讲清楚，按着做能把风险降到最低。

一、链路怎么走（简明拆解）

• 第一步：用户在活动页或APP上点击“用 Google 登录”或同意授权，授权页会列出权限（例如：读取邮件、联系人、云端硬盘、管理日历等）。
• 第二步：应用拿到的是 OAuth access token 和 refresh token。access token 有时会短期过期，refresh token 可以长期换取新的 access token。
• 第三步：后端服务器保存 refresh token，就能在用户不在场、APP已被删的情况下反复访问你的数据，甚至继续做写入行为（发邮件、建文件、修改联系人等）。
• 第四步：后端还可能用已有权限对外扩散（给联系人发钓鱼邮件、向社交关系推送邀请、向其他服务发起链接授权请求），形成连环套。
• 第五步：用户发现异常删除了APP，但不去 Google 帐号里撤销授权。结果：后台依旧在悄悄动。

二、被滥用常见迹象（快速识别）

• 你的联系人人收到你账号发出的怪异邀请或含链接的邮件；
• Gmail 有未记得发送的邮件或草稿被篡改；
• Drive 出现你没创建或分享给陌生人的文件；
• 日历里多出陌生事件和会议链接；
• 第三方服务（例如群组、论坛）出现你账号关联的异常活动；
• 登录或安全提醒显示来自不认识的设备或地区。

三、紧急自救（立刻做的 10 个步骤） 立即按顺序操作，越早越好：

1) 先签出所有设备并改密码

• 登录 Google 帐号（myaccount.google.com）→ 安全 → 你的设备 → 管理设备 → 对可疑设备选择“退出登录”或“移除”。
• 立即更改 Google 密码。新密码与其他站点不同，用随机、长密码。

2) 撤销第三方应用权限（关键一步）

• myaccount.google.com → 安全 → 第三方应用与帐号存取（Third-party apps with account access）→ 管理第三方访问 → 找到可疑应用，选择“移除访问权限”或“撤销”。
• 这一步会让后端保存的 refresh token 失效（绝大多数情况下可阻断持续访问）。

3) 关闭委派与转发

• Gmail → 设置 → 查看所有设置 → 帐户与导入（Accounts and Import）→ 检查“授予其他人访问权限”（Grant access to your account），移除所有不认识的委托。
• Gmail → 设置 → 转发和 POP/IMAP → 关闭任何陌生的自动转发。

4) 检查并删除可疑过滤器、自动化规则

• Gmail → 设置 → 过滤器和封锁的地址（Filters and Blocked Addresses）→ 删除非你设置的过滤规则（这些规则常被用来隐藏被盗邮件的痕迹）。

5) 检查 Gmail 发件箱与草稿

• 搜索“from:me”或查看最近的已发送邮件与草稿，确认没有被篡改或发送过钓鱼邮件。

6) 查看 Google Drive、日历、联系人

• Drive → 检查“与我共享”和最近活动；删除不认识的文件并撤销分享权限。
• 日历 → 检查最近事件，拒绝并删除陌生邀请。
• 联系人 → 检查有无新增的联系人或被修改的信息。

7) 开启两步验证（2FA）

• myaccount.google.com → 安全 → 2 步验证（2-Step Verification）→ 开启并使用认证器或安全密钥，避免仅用短信。

8) 检查最近的安全事件与登录历史

• myaccount.google.com → 安全 → 最近的安全事件（Recent security events）与“查看最近设备活动”，逐条核对，标记并处理异常项。

9) 检查其他第三方登录（不只 Google）

• 去 Facebook、Apple、Twitter/X 等其他曾用“登录/授权”的账号里同样撤销可疑应用权限。

10) 告知联系人与报告

• 给可能收到可疑邮件的朋友/同事发简短通知，提醒他们不要点击可疑链接，如果已经点了请直接删除并检查。
• 在 Gmail 中将可疑邮件标记为“报告网络钓鱼”; 如有财务损失或个人重大信息被泄露，考虑报警并联系相关金融机构。

四、如果后台还在继续动作（进阶处理）

• 在撤销权限后若仍有异常，可能是被盗后在别处再次取得凭证或某些服务的 API 不是通过 Google 授权而是保存了明文凭证。需要：
• 检查并更换与 Google 邮箱关联的所有网站密码（使用邮件找回的站点最先处理）。
• 检查本地设备是否中毒（用杀毒软件/重装系统视情况）。
• 若怀疑 refresh token 被复制，联系 Google 支持并提供事件细节请求进一步处理和日志分析（尤其是企业 Google Workspace 帐号）。

五、防范指南（如何避免下次中招）

• 授权前先看权限：任何请求“读取/写入邮箱”“管理驱动器”“管理联系人”的应用，先三思。
• 尽量用“只读”或最小权限的选项；若无必要，不授权写权限、转发权限、委托权限。
• 使用独立邮箱注册可疑活动（不把主邮箱用于随意授权）。
• 定期在 Google 帐号安全页面清理不常用的第三方应用。
• 对重要操作使用硬件安全密钥或认证器应用。

六、给被波及的人的模板（可以直接复制）

• 给联系人（短信/邮件）： “提醒：刚发现我的邮箱可能被滥用，若你收到来自我但内容可疑或含链接的邮件，请不要点击并直接删除。我正在处理，抱歉带来不便。”
• 给朋友/同事（更正式）： “我确认账号曾被第三方应用滥用。我已撤销权限并重置密码。如果你收到了来自我账号的异常信息，请忽略并告知我。”

标签： 我把 以为 完事