技术拆解|深度分析伪装闲鱼官方的钓鱼跳转链接,套路全程扒光
登录

技术拆解|深度分析伪装闲鱼官方的钓鱼跳转链接,套路全程扒光

程潇
程潇
5月7日发布
0 1 0

大家日常在社交平台、私聊里,经常会收到各类「闲鱼宝贝详情」分享链接。
看着域名是闲鱼官方、页面标题也标注闲鱼宝贝详情,很多人都会毫无防备直接点开。
今天拿一条真实流传的假冒闲鱼跳转链接,从链路结构、跳转逻辑、诈骗套路三层做完整技术拆解,零基础也能看懂、学会避坑。

实现在调整闲鱼APP打开第三方网页图片演示:
mous2d0d.png

mous2ky0.png

一、本次拆解原链接

原始完整链接
URL 编码说明
链接中 title=%E9%97%B2%E9%B1%BC%E5%AE%9D%E8%B4%9D%E8%AF%A6%E6%83%85&webviewUrl=https%3A%2F%2Fccffrr.top%2Flinuxxianyu%2Fappjl3.php%3Fte%3D153%26ClickID%3D8018
看着像乱码,实际是标准 URL 编码(百分号编码)。
浏览器、APP 为避免中文、&、/、? 等特殊字符破坏链接结构,会自动转为 %xx 格式。
解码后真实地址
webviewUrl 解码后真面目:
webviewUrl=https://ccffrr.top/linuxxianyu/appjl3.php?te=153&ClickID=8018
常见编码规则速查
%3A → :(冒号)
%2F → /(斜杠)
%3F → ?(问号)
链接编码的真实目的
语法防冲突
原始链接自带 &、? 符号,直接裸露会被系统误判为外层参数分隔符,造成链接解析失效;编码后系统只会识别为参数内容,不会打乱结构。

二、整理解码后完整链接

https://h5.m.goofish.com/sharexy?url=https://g.alicdn.com/idleFish-open-isv/goosefish-isv-34618619-online/1.32.2/index.html#/pages-main/webview/webview?title=闲鱼宝贝详情 & webviewUrl=https://ccffrr.top/linuxxianyu/appjl3.php?te=153&ClickID=8018
三、表层伪装:官方域名迷惑大众
第一眼查看域名 h5.m.goofish.com,是闲鱼官方 H5 域名,本身完全正规无漏洞。
骗子正是利用这一点,把恶意跳转全程包裹在闲鱼官方域名外壳里。
普通人只看开头是闲鱼官方地址,立刻放下警惕,完全察觉不到内层藏有陷阱。

四、链路逐层拆解 看懂完整跳转套路

  1. 中间缓冲中转层
    链接中段 g.alicdn.com 是阿里云官方 CDN 静态资源域名,归属闲鱼开放 ISV 正规服务地址。
    作用:充当中转缓冲层,让整条链接看起来更规整、更像官方正常分享链接,进一步降低用户防备心。
  2. 核心路由:Webview 内嵌伪装容器
    关键路由片段:
    pages-main/webview/webview?title=闲鱼宝贝详情
    通俗技术解读:
    pages-main:APP 主业务模块页面
    webview:手机 APP 内置浏览器内嵌容器,专门用来嵌套加载外部网页
    title = 闲鱼宝贝详情:纯视觉伪装参数
    仅强行给页面挂上「闲鱼宝贝详情」标题,用来欺骗视觉,无任何实际业务作用,删掉该参数也不影响恶意跳转逻辑。
    简单概括:
    利用闲鱼 APP 内置浏览器,伪造商品详情标题,营造官方页面假象。

  3. 恶意核心:第三方钓鱼落地页
    webviewUrl= 后面拼接的地址,才是整条链接真正的最终目的地:
    https://ccffrr.top/linuxxianyu/appjl3.php?te=153&ClickID=8018
    ccffrr.top:和闲鱼、阿里无任何关联的陌生第三方域名
    .php 动态页面:骗子手动搭建的高仿站点
    te、ClickID:渠道追踪参数,用于统计引流来源、标记用户,方便定向实施诈骗
    整套诈骗链路总结
    闲鱼官方域名做外壳 → 阿里 CDN 做中转伪装
    → Webview 内嵌挂假标题迷惑用户 → 最终跳转骗子自建高仿闲鱼钓鱼页面

    五、此类伪装链接的诈骗目的

    搭建高仿闲鱼登录页,诱导输入账号、密码、短信验证码,直接盗号;
    伪造虚假商品交易页,诱导私下转账、扫码付款,得手后直接失联;
    套取手机号、个人身份信息,为后续精准电信诈骗做铺垫;
    诱导下载未知来路 APP,植入木马窃取手机隐私、银行卡资金。

    六、普通用户终极避坑指南

    闲鱼分享链接中只要带有 webviewUrl= 嵌套陌生第三方域名,直接判定为钓鱼链接;
    切勿只看开头域名是否官方,重点检查链接尾部是否跳转非阿里系陌生域名;
    私聊发来的闲鱼链接一律不直接点开,优先打开闲鱼 APP 站内搜索查商品;
    绝不在外嵌网页输入闲鱼账号、密码、验证码,拒绝任何私下扫码转账;
    刻意标注「闲鱼宝贝详情」但页面跳转异常、排版违和的页面,立刻关闭。

    结尾

    Webview 嵌套官方域名伪装,已是目前网络诈骗的高频套路。
    技术门槛低、伪装性极强,利用大众只看域名不看内层链接的习惯实施诈骗。
    看懂这条链接的拆解逻辑,就能举一反三识别同类骗局,建议转发给家人朋友,一起避坑防骗。

技术文章
喜欢就支持一下吧
点赞 0 分享 收藏
本站资源多为网络收集,如涉及版权问题请及时与站长联系,我们会在第一时间内删除资源。
本站用户发帖仅代表本站用户个人观点,并不代表本站赞同其观点和对其真实性负责。
本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报。
本站资源大多存储在云盘,如发现链接失效,请及时与站长联系,我们会第一时间更新。
转载本网站任何内容,请按照转载方式正确书写本站原文地址。
版权属于:程潇
本文链接:http://8008808.xyz/archives/1903.html
作品采用署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权
评论 抢沙发
OωO
取消