这是一个只需要知道手机号和电子邮件账户就可以黑进邮箱的方法一起来看下：

我们将假设攻击者试图入侵一个名叫小花的受害者Gmail账户。小花使用手机号码注册了Gmail邮箱，因此当她不记得密码时谷歌会给她发送一条短信，其中包含一个援助验证码，凭借验证码她就可以访问自己的邮箱账户。这时，有一个坏人——我们暂时称他为大黑——迫切渴望进入小花的电子邮箱，但是大黑并不知道小花的邮箱密码。然而，他知道小花的电子邮箱及电话号码。于是，大黑访问了Gmail登录页面，输入了小花的电子邮箱地址。此时，因为他并不知道密码是什么，他仍然无法进入小花的邮箱。

然后他邪恶地点击了“需要帮助吗?”链接，通常使用者都是忘了他们的密码才进入这里。大黑在这里选择了“发送一条验证码到我手机上：[ x手x机x号x码x ]”,从而小花手机会收到一条包含六位数验证码的信息。

气氛开始变得诡异起来。此时，大黑冒充谷歌发送了一条短信，内容是这样的：“谷歌发现你的账户存在不正常的活动。请将收到的验证信息发送过来，用以阻止未经授权的活动。”高潮来了：对此信以为真的小花将谷歌发送来的验证码发给了大黑。(真是令人发指!)黑成功获得验证码之后，便可重设一个临时密码从而进入了小花邮箱。

如果大黑继续查看小花的电子邮件，同时在可以预见的未来不引起她的怀疑，小花邮箱会收到一个密码已重置的邮件，但邮箱已在小黑的控制之下。此时小黑发送短信给小花，内容如下：“感谢你验证了你的谷歌账户。你的临时密码是(临时密码)。”即使小花迟些时候再次修改了自己的邮箱密码，大黑仍然可以收到她的邮件，除非小花仔细查看了自己的账户设置。(直觉告诉我，她不会。。。。。。)

骗子没有看上去那么笨简而言之，这是一个社会工程学手段。聪明如你可能不会中招，但是你不能保证你身边的朋友不会落入陷阱。我们常常奇怪，为什么手机常常收到那些拙劣的诈骗短信，骗子为什么固执于这么愚蠢的方式行骗?你需要明白这个成功的概率不可能等于0，而且可能比0.01%更高，骗子唯一需要做的就是竭尽所能地扩充基数，而诈骗成本却并不会因此而飙升。

那么，这个问题该怎么解决呢?最简单的建议就是慎重对待可疑短信，特别是询问你验证码信息的(如果你并没有发送验证请求)。我仍然好奇有多少人在面对这一貌似从谷歌或者雅虎发出的消息时，他们会不顾后果地立刻采取行动。毕竟，在这样的一个时代，很多人最大的担忧之一就是他们的邮件安全了。

QQ邮箱并不受此影响

鉴于大多数人有使用QQ邮箱的习惯，所以我们测试了一下QQ邮箱的忘记密码功能。结果发现QQ邮箱竟然智慧地要求用户自主发送特定短信到指定号码，避免了前文的种种情况。

而另一个热门163邮箱，则没能幸免，使用还是很容易被模仿的短信验证码。