不知道大家有没有在微信群里看到过这样的消息,一条婚礼邀请函的链接,乍一看还以为是哪个同学结婚了呢
点进去之后是这样“某某公司上市发红包”,“某某明星结婚发红包”
很多朋友看到这个熟悉的开红包的按钮,再加上不断滚动的有人抢到红包消息刺激下,就会迫不及待去点击开红包,然后就进入了这样一个页面
看似是一个进一步需要答题才能领红包的门槛,其实选择任何一个答案都会进入下面这样一个页面
诱导大家去分享这个领红包页面,分享完就能领到红包,把大家的智商踩在脚下无情的摩擦。
这就结束了吗?naive!
当你第一次分享到微信群之后,是这样
为了钱,继续分享,继续打扰朋友们
还差2个群,继续分享
到了这一步提示,有的朋友会疑惑:我明明没有分享到相同的群啊,难道是刚刚点错了,重新分享一下吧,然后就是这样
这一步,我能想象到很多朋友内心会是这样想的:卧槽,还要分享到朋友圈,好丢人,不过都已经到这步了,就丢人一次吧,毕竟有这么大红包呢,就继续分享了
分享完朋友圈回来之后又疑惑了,我明明没有分组啊,为啥说要公开分享啊,那我尝试重新分享一下吧
到了这一步的朋友以为,终于好了,等24小时,天上就可以掉红包了,智商已经被放到水泥地上摩擦地冒烟了!
殊不知,接下来才是重点,当你点好的,或者返回按钮的时候,神操作来了,见下图:
不好意思,如果你和平时习惯一样不点击左上角退出网页而是点击返回按钮返回微信主界面,那么你就永远会在这些污秽不堪的内容里循环,你永远返不回了。到处是各种各样小黄文,二维码引导关注
当你一时荷尔蒙爆发盯着污秽的小黄文津津有味的看下去之后,会发现到关键地方你看不了了,你得关注公众号,每次出现的公众号还不同,关注了公众号之后会让你继续看一部分,看着看着又不能继续看了,又需要关注另一个公众号或者充值再能看了....
这时不知不觉2个小时过去了,当时为啥进来看来着,哦同学发了个结婚邀请函。。。。
看到这里,想必大家都知道了,那个邀请函就是吸引点击的,毕竟同学朋友发出来的结婚邀请函,看到的人点击进去的可能性是很大的,而进去之后则是用一个看似合理的理由吸引大家抢红包,比如上文所说的“明星结婚发红包”,“企业上市发红包”。
再然后就是利用醒目的颜色和字体标注大额的红包,诱导用户多次分享到群和朋友圈,造成二次扩散!这样带来的访问量是极其巨大的,而背后的真实意图则是那些永远无法返回到微信主界面每次点击返回按钮都给你一个污秽的小黄文或者其他擦边的内容,那些内容诱导你去付费,诱导你去关注一个又一个的公众号,诱导你去下单,这些才是他们的真正目的。
毫无疑问,这类网页是游走在法律的边缘的,很多正义感爆棚的朋友也会去举报,我想说的是这个时候的人肉举报,就算你能找到真的举报入口,充其量也就是螳臂当车!微信为何不去封禁这类网页呢?作为一个24k纯硅程序员,我带大家来从技术角度拆解一下这类网页为防微信封禁而做出的“努力”。
····· 大家好我是分隔符····
1.
我们看发到微信朋友圈里面的那个婚礼邀请函的链接,可以说这是整个流程最重要的关键点
https://j.youzan.com/███████
最后的黑条是手动马赛克的部分字符,我们很明显能观察到,这个链接其实是上市公司有赞官方域名下面的一个子域名,只不过本身毫无恶意的这个域名,被别有用心的人利用之后,经过一定的组装,带上马赛克的那部分字符,就成为了一个作恶的入口!
这种官方大域名,微信很难去封禁,因为这样的域名下面有大量合法运营的业务,而被利用的这个链接,只是其中一粒老鼠屎,但是对于背后的作恶人来说,这就是他们的保护伞,因为他们利用这种大入口的跳转,有效减少了自己的域名被直接封禁的可能,即便现在微信是可以按照链接来封禁的,但这个链接被封禁之后,他们马上就可以组装一个新的链接,依然在这个官方域名的子域下面(这个过程完全可以是自动化的,为啥前面说举报是螳臂当车,就是此理)。
同样经常被利用的,还有那些短网址服务。网络上,这类提供公开或半公开跳转服务,甚至提供子域下可执行内容自定义的服务,数不胜数,下面我会讲到。
2.
我们从婚礼邀请函点进去之后,通过分析,我发现整个经过4次跳转,我们才来到了红包页面,这4次跳转的过程中,又发现两家上市公司的网页内容被利用或者网站存在漏洞被利用,它们名字分别是微盟和同程
红包页的域名,是第一个他们自己的域名,不过,大概率也是开启了隐私保护或者一些查不到真实注册人信息的域名,我查了下域名归属信息,其实还是有一些信息的,如果深挖下去,通过社工域名注册商客服等手段,找到背后的人,并不是没有可能,只不过这并不是本文的意向所在。
3.
红包页面领红包的过程中,它会让我们多次分享到微信群和朋友圈,如上文描述的过程中还穿插着提示不要重复分享到一个群和朋友圈不要分组可见。
事实上,仅单方分享的情况下,它无法知道你是否分享到了同一个群,更不知道你朋友圈是否分组可见,甚至,即便你点开了分享之后并没有发送而是取消了分享,它也是不知道的。
这是微信官方sdk为保护用户防范诱导分享的一个机制,不过大部分人并不知道。这个过程中提示不要重复分享到一个群和朋友圈不要分组可见,就是为了恐吓和欺骗用户,让用户按照它的指令操作,帮它传播,也是在把用户的智商踩在脚下摩擦。
4.
在上面这一波骚操作之后,就来到了重点,跳转到又一个垃圾域名下,内容则是污秽不堪的小黄文之类的擦边内容,关键是如上文所说每次点击返回按钮,无法退出网页回到微信主界面,而是在不同的小黄文网页中来回循环,它是怎么实现的呢?
其实原理很简单,就是不断的把新的小黄文地址放到浏览器浏览历史中,当然这其中也是有一些细节操作的,我截取部分关键代码放到这边,供大家参考
window.onhashchange =function(){if(inUrl("xxxx") || inUrl("yyyy")) {temp_url ='xxx';window.location.href = temp_url; }if(inUrl("zzz")) { loadBack(); }};window.history.pushState(null,"message","#"+newDate().getTime());
另外,不断循环的小黄文内容其实是异步从某云服务上直接下载的网页内容,关键代码如下:
ad_link ='//███████.aliyuncs.com/███████?t='+ (newDate).getTime();varxhr =newXMLHttpRequest()xhr.open('GET', ad_link,true)xhr.onreadystatechange =function(){if(xhr.readyState ==4){if(xhr.status ==200){vardoc =document.open('replace','html/text')setTimeout(function(){ doc.write(xhr.responseText)},200) doc.close() } }}xhr.send()
5.
这一波分析之后,想必大家都对这个灰色产业链有所了解,不过事实上,我今天拆出来的内容,只是冰山一角,当你跟着不断跳转的内容看下去,各种公众号的诱导关注,各种擦边内容的付费阅读,各种擦边服务或商品的购买,那些才是掏光你微信钱包的精神鸦片。
6.
截止完稿前,我发现微信已经封禁了这个有赞子域的欺诈链接,但悲哀的现实是,任凭微信多努力,此类内容是封禁不完的,那些真正的欺诈内容页,依然潇洒活着,道高一尺魔高一丈。
为何这么说呢?我在这次分析跟踪的过程中,发现被利用的大公司都是基于微信生态的上市公司,有赞,微盟,同程旅游,更可怕的是他们3家大公司旗下某些服务都存在严重的xss注入漏洞此次被利用(如果这3家公司有负责网络安全这一块的朋友请后台联系我,自证身份之后我会给你发漏洞详情)。
同时某些PaaS平台和云服务商某些服务也被利用来作为内容托管或者自定义子域被利用来防封。只有整个微信生态的这些服务商,这些上市公司,完全没有漏洞可用,才能杜绝此类事件的发生,然而这是一件不可能的事情。
7.
那么我们普通人能做什么?
永远永远永远永远永远不要相信天上掉馅饼的事情,即使会掉,掉下的也肯定不是馅饼,99.9999%是个陷阱
不要为了蝇头小利去打扰你的朋友圈,每一次这样的行为,都在使你的信用减分
本文意在警示用户不要上当受骗,呼吁微信生态服务商注重网络安全,减少被灰黑产利用的可能。
全文完。