@p____h 已经很好地回答了帐户被黑客入侵时发生的大部分情况，但我想补充一下最近对 Gmail 帐户的黑客攻击，这很有趣！

这是最近的 Cloudflare 攻击。

这简直太神奇了，攻击者在各种服务中使用了 4 个漏洞，而不仅仅是 Cloudflare 的：

1. AT&T 被骗将我的语音邮件重定向到欺诈性语音信箱
2. Google 的帐户恢复过程被欺诈性语音信箱欺骗，并留下一个帐户恢复 PIN 码，允许我的个人 Gmail 帐户被重置
3. 谷歌企业应用程序帐户恢复过程中的一个缺陷允许黑客绕过我的 CloudFlare.com 地址上的两因素身份验证；和
4. CloudFlare 将交易电子邮件密送至某些管理帐户后，一旦黑客获得了对管理电子邮件帐户的访问权限，黑客就可以重置客户的密码。

我强烈建议您查看博客文章，如果您赶时间，请阅读显示事件顺序的信息图。这次袭击值得一部短片！

有很多方法可以用来入侵您的帐户。

首先，很多人在任何地方都使用相同的密码进行注册。如果您在易受攻击的网站上创建帐户，那么有人可能会侵入该网站并获取您的凭据（存储在数据库中）。然后攻击者拥有您的电子邮件和密码，如果该密码与您的邮箱密码相同，那么他就可以访问您的电子邮件。

其次，接下来可能是一个非常常见的密码。如果您使用类似123456or的密码，qwerty那么您的帐户被黑客入侵的可能性非常大。互联网上有很多僵尸程序/爬虫，它们收集电子邮件并尝试使用常用密码登录被抓取的帐户。当然，他们只是尝试了几次（准备暴力攻击将被 CAPTCHA 阻止）。

此外，网络钓鱼是敲诈您的电子邮件和密码的好方法。有很多方法可以欺骗用户在虚假网站上输入他们的凭据。他们中的一些人使用社会工程学，其余的人：更多的技术技巧，比如tabnapping。

我们不应该忘记恶意软件。键盘记录器（甚至是虚拟键盘的鼠标记录器）拦截输入的密码并将其发送给攻击者。

创建一个秘密问题（以帮助我们恢复电子邮件）也可能是一个问题。这不是一种用于大量窃取电子邮件的方法，但它对特定的人非常有效。像 (或) 这样明显的秘密问题很容易被社会工程学方法猜到或敲诈。what's my namemy favourite color

这就是所有这些。我在你提到的一家大公司工作。我得到了一个很好的由内而外的观点，每天都有用户帐户受到损害。

网络钓鱼和社会工程的结合是背后的一个主要原因，那里有大量的网络钓鱼网站，用户会收到向他们索取虚假电子邮件的信息。

其次是恶意软件和弱密码。恶意软件在像 facebook 这样的网站上效果最好，因为它们的架构具有开放平台的性质，可以集成其他网站和应用程序。我已经看到巨大的字典攻击持续了数月和数年，以获取使用弱密码的帐户的访问权限。破坏系统本身的频率较低。

有些攻击是两种或两种以上的组合，一次攻击的输出用于下一次攻击是一连串的攻击。这些攻击不仅针对用户名和密码，还针对获取扩展信息和个人身份信息 (PII) 信息。

只是为了扩展 p____h 提到的内容 - 恶意软件需要一种传递机制。大多数用户现在已经足够聪明，不会运行从互联网上自发下载的 .exe，大多数 Microsoft 操作系统用户将运行某种防病毒软件，但是 javascript 提供了一系列出色的工具来访问互联网并利用内置的身份验证机制浏览器。它可能在阻止本地文件访问的沙箱内运行 - 但是当您的数据资产存储在互联网上而不是文件系统上时，它有什么用？仅使用 javascript 可以做的事情仍然存在限制 - 但它可能比您想象的要多得多。

Adobe Acrobat 和 Flash 以及许多 activeX 对象中存在一系列问题，这些问题允许 javascript 将二进制恶意软件注入沙箱外的系统中。

我仍然看到来自浏览器的大量流量，用户使用狡猾的搜索工具栏“增强”了这些流量——一旦有人的代码在您的浏览器 chrome 中，他们就可以完全控制您的浏览器。