今早收到一個朋友分享的大潤發二十週年慶海報,好奇心驅使我點了進去
(爲安全着想,本文所有二維碼經過模糊處理)
不曾想,掃碼後的跳轉卻令我感到一絲異樣。並不如平日掃描二維碼一般直接跳轉到活動界面。而是有兩個無關緊要的頁面一閃而過後,才進入了領取購物卡的界面。當時並沒有多想,而是習慣性的按對方的要求進行了三次分享。老老實實分享完成後,卻直接通知三日內發送卡號密碼給我的微信,如圖:
一百元無門檻購物卡,無須抽獎無須註冊便會直接發到消費者手裏,真是好大的手筆。至此,並沒有任何繳費或賬號泄露的過程,我幾乎都要相信這次活動,回家坐等卡號的時候,它終於露出了狐狸尾巴:
一款明目張膽寫着猜大小輕鬆賺的海報自動跳了出來。理所當然不能放過,繼續掃碼進入。卻是一個分流頁面:
分流?分什麼流?
靜靜等候了一下,一個×××映入眼簾:
嘗試點擊大/小選項,便會直接跳轉至付款界面
至此,整個騙局浮出水面。顯然是該組織趁雙十一之際,僞造活動頁面,經過一系列繁瑣的擴散宣傳行爲後,將消費者領向了一個×××,至於遊戲的真實性,想必無須多言,只怕是傾家蕩產,也在隨手之間。
揭露完整個騙局,讓我們從技術層面來分析一下整個過程究竟是怎麼做到的。
首先,將二維碼圖片通過掃碼工具獲取到它的信息
這顯然是一個網址,那我們進入這個網址。
這正是之前一閃而過的畫面,但好像與抽獎頁面沒有任何關係,頓時“跨站腳本***(xss)”的名稱浮上心頭,直接查看網頁源碼,果然讓我發現了一些蛛絲馬跡。
在網頁源碼中有這樣一句:
顯而易見,這個短鏈接指向了幕後真兇,在網頁中打開短鏈接,得到的卻是這樣一個頁面:
可以看出,頁面中是一段判斷是否爲通過微信頁碼打開的代碼,
我們直接複製其中關於跳轉頁面的地址。
又是一個毫不相干的頁面,這次我們駕輕就熟的打開源碼,找到目的地址:
這次打開後卻是一大段未知的編碼:
顯而易見的,通過URL解碼我們得到:
熟悉的短鏈接,我們終於找到了活動頁面,如願以償的繞過了對PC與WX判斷進入,然後在網頁源碼中找到了
這是分享成功後跳轉的頁面地址,我們打開這個地址,赫然是猜大小輕鬆賺的海報。
再次嘗試對該海報掃碼讀取得到URL並打開鏈接,進入分流界面:
分流結束後,卻出乎意料,並沒有出現×××,反倒出現了一張鮮紅的五星紅旗
令我不禁大呼,原來如此!分流是又一次對登錄方式進行判斷,以防有人通過電腦順藤摸瓜,尋到罪魁禍首。
當然,這並不能難倒我,通過僞造微信登錄包頭即可繞過判斷。
寫稿期間筆者曾登錄發現該界面已被封禁,但結稿前又一次登錄發現,分享後的指向被變更:
淘口令卻是真實無誤的,複製進入手淘,也只是正常的購物券領取,應該是對方發現了問題,進行了一定程度的混淆。防止被摸到老巢。
事實上整個騙局雖然看上去頗爲複雜,但只要各位擦亮眼睛,騙局中漏洞還是頗多的,相信只要抱着不佔小便宜,天上不會掉餡餅的心理,再高明的行騙者也只能徒呼奈何了。