微信安全 wechat 微信分享

今早收到一個朋友分享的大潤發二十周年慶海報，好奇心驅使我點了進去
　

(為安全著想，本文所有二維碼經過模糊處理)
　
　　不曾想，掃碼後的跳轉卻令我感到一絲異樣。並不如平日掃描二維碼一般直接跳轉到活動界面。而是有兩個無關緊要的頁面一閃而過後，才進入了領取購物卡的界面。當時並沒有多想，而是習慣性的按對方的要求進行了三次分享。老老實實分享完成後，卻直接通知三日內發送卡號密碼給我的微信，如圖：
　

　
　　一百元無門檻購物卡，無須抽獎無須註冊便會直接發到消費者手裏，真是好大的手筆。至此，並沒有任何繳費或賬號泄露的過程，我幾乎都要相信這次活動，回家坐等卡號的時候，它終於露出了狐貍尾巴：
　

　
　　一款明目張膽寫著猜大小輕松賺的海報自動跳了出來。理所當然不能放過，繼續掃碼進入。卻是一個分流頁面：
　

　
　　分流？分什麽流？
　　靜靜等候了一下，一個×××映入眼簾：
　

　
　　嘗試點擊大/小選項，便會直接跳轉至付款界面
　　至此，整個騙局浮出水面。顯然是該組織趁雙十一之際，偽造活動頁面，經過一系列繁瑣的擴散宣傳行為後，將消費者領向了一個×××，至於遊戲的真實性，想必無須多言，只怕是傾家蕩產，也在隨手之間。
　


　
　　揭露完整個騙局，讓我們從技術層面來分析一下整個過程究竟是怎麽做到的。
　　首先，將二維碼圖片通過掃碼工具獲取到它的信息
　

　
　　這顯然是一個網址，那我們進入這個網址。
　

　
　　這正是之前一閃而過的畫面，但好像與抽獎頁面沒有任何關系，頓時“跨站腳本攻擊（xss）”的名稱浮上心頭，直接查看網頁源碼，果然讓我發現了一些蛛絲馬跡。
　　在網頁源碼中有這樣一句：
　

　
　　顯而易見，這個短鏈接指向了幕後真兇，在網頁中打開短鏈接，得到的卻是這樣一個頁面：
　　可以看出，頁面中是一段判斷是否為通過微信頁碼打開的代碼，
我們直接復制其中關於跳轉頁面的地址。
　

　
　　又是一個毫不相幹的頁面，這次我們駕輕就熟的打開源碼，找到目的地址：
　

　
　　這次打開後卻是一大段未知的編碼：
　

　
　　顯而易見的，通過URL解碼我們得到：
　

　
　　熟悉的短鏈接，我們終於找到了活動頁面，如願以償的繞過了對PC與WX判斷進入，然後在網頁源碼中找到了
這是分享成功後跳轉的頁面地址，我們打開這個地址，赫然是猜大小輕松賺的海報。
　　再次嘗試對該海報掃碼讀取得到URL並打開鏈接，進入分流界面：
　

　
　　分流結束後，卻出乎意料，並沒有出現×××，反倒出現了一張鮮紅的五星紅旗
　

　
　　令我不禁大呼，原來如此！分流是又一次對登錄方式進行判斷，以防有人通過電腦順藤摸瓜，尋到罪魁禍首。
當然，這並不能難倒我，通過偽造微信登錄包頭即可繞過判斷。
　　寫稿期間筆者曾登錄發現該界面已被封禁，但結稿前又一次登錄發現，分享後的指向被變更：
　


　
　　淘口令卻是真實無誤的，復制進入手淘，也只是正常的購物券領取，應該是對方發現了問題，進行了一定程度的混淆。防止被摸到老巢。
　　事實上整個騙局雖然看上去頗為復雜，但只要各位擦亮眼睛，騙局中漏洞還是頗多的，相信只要抱著不占小便宜，天上不會掉餡餅的心理，再高明的行騙者也只能徒呼奈何了。

揭秘微信分享背後的陷阱