越來越多的分享類視頻,UP主會要求“三連後自取”,然後在評論區放一個b23鏈接
不三連就點開,會有提醒
三連後提示驗證通過,跳轉到真正的落地頁
這是一個叫做“陌陌遊戲站”的網站
我們輸入手機號登錄一下,收到驗證碼
等等
你反應過來了嗎
這個驗證碼他不對——他是陌陌APP的驗證碼,騙子直接用這個驗證碼去登錄你的陌陌賬號
騙子精心做了僞裝:
1、頁面多處地方、彈窗都提醒它叫做陌陌資源站,對用戶進行暗示
2、專釣不認識陌陌的用戶
2、收到的短信標題寫着“陌陌”,結合前面兩點,會讓用戶覺得一切都很合理
妙啊!所以下次就會有“嗶哩嗶哩會員活動”、“小黑盒聯名活動”——他們不需要僞裝域名,直接說跟XXX官方合作,光明正大地跟你要登錄驗證碼
沒想到,“黑客跟你要驗證碼”gif這種曾經的梗,如今成了最高效的盜號手段
是的,我確信他正在流行起來,鹹魚的1分錢會員實則收驗證碼盜號的案例已經數不勝數了
鹹魚上騙子給的詐騙頁
說完了盜號的思路後,我們再來扣技術細節
同一個鏈接,在B站內打開是詐騙頁面,在瀏覽器打開卻是正規電商商品頁,怎麼做到的?
如果你訪問過這些詐騙鏈接,就會發現:
從手機瀏覽器或電腦瀏覽器打開,看到的是正規電商頁面
但從B站App內打開,顯示的卻是詐騙頁面
這是咋做到的呢?
其實,這有點像鑽了漏洞
訪問b23推廣鏈接,正常情況經過一次302就直接到落地頁
但實際上,這個投放的落地頁通過代碼又進行了一次跳轉
跳轉到真正的騙子域名後,根據不同終端,展示不同頁面
方法很簡單:不需要額外參數,請求默認都會攜帶UA標識
比如edge的UA是:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/148.0.0.0 Safari/537.36 Edg/148.0.0.0
重點在Edg/148.0.0.0這個標識
而B站APP的UA是:
Mozilla/5.0 (Linux; Android 13; 2112123AC Build/TKQ1.220829.002; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/147.0.7727.137 Mobile Safari/537.36 os/android model/2112123AC build/8230200 osVer/13 sdkInt/33 network/2 BiliApp/823020
重點在BiliApp/823020這個標識
如果檢測到UA是嗶哩嗶哩APP,則顯示詐騙頁
實際檢測三連也是假的,從技術上無法實現
如果不是,則顯示電商頁
爲啥詐騙鏈接很多都是B站官方b23短鏈?
之前可以任意將外鏈轉成b23鏈接,後來被官方限制了。那現在的b23詐騙鏈接又是怎麼做到的?
我們來看一個b23鏈接
解碼後如下圖,b23後面帶mall不是普通的b23短鏈,而是b站合法的推廣鏈接
這種鏈接應該是在“三連推廣系統”(B站自家的推廣系統)中配置生成的——普通用戶無法生成,只有合作方有權限創建
類似的還有b23後帶cm的,也是合規鏈接
也就是說,有內鬼
這種鏈接創建後,提交審覈一般都會通過
因爲審覈員用電腦在後臺看到的落地頁始終是正常的
這些鏈接的源頭是什麼?
根據域名whois、備案、業務反查,可以得到
引流到快手、抖音助力的大部分屬於個人詐騙行爲(部分域名有備案,性質爲個人)
李同學,年紀輕輕搞詐騙真的好嗎
引流辦理業務的屬於分銷團體的流氓行爲(域名有備案,性質爲公司)
我爲啥說是流氓而不是詐騙,因爲我不想惹禍上身
披着羊皮的狼?
盜號的屬於黑產(域名無備案,服務器在境外)
但這些來自五湖四海的騙子,不約而同選擇了假三連檢測作爲前置條件。着實讓人感嘆
如果大家有刷到此類視頻,希望不吝嗇獻出你的三連
本期解析就到這裏了,如果你喜歡此類文章,希望能收到你的點贊,這對我真的很重要
附錄
更多遊戲資訊請關註:電玩幫遊戲資訊專區
電玩幫圖文攻略 www.vgover.com
