越来越多的分享类视频，UP主会要求“三连后自取”，然后在评论区放一个b23链接

不三连就点开，会有提醒
[图片上传中...(29548-cjqtakvszul)]

三连后提示验证通过，跳转到真正的落地页

这是一个叫做“陌陌游戏站”的网站
[图片上传中...(01279-bfkpjgikpr9)]

我们输入手机号登录一下，收到验证码
[图片上传中...(92452-48kzrf0xlwi)]

等等

你反应过来了吗

这个验证码他不对——他是陌陌APP的验证码，骗子直接用这个验证码去登录你的陌陌账号

骗子精心做了伪装：

1、页面多处地方、弹窗都提醒它叫做陌陌资源站，对用户进行暗示

2、专钓不认识陌陌的用户

2、收到的短信标题写着“陌陌”，结合前面两点，会让用户觉得一切都很合理

妙啊！所以下次就会有“哔哩哔哩会员活动”、“小黑盒联名活动”——他们不需要伪装域名，直接说跟XXX官方合作，光明正大地跟你要登录验证码

没想到，“黑客跟你要验证码”gif这种曾经的梗，如今成了最高效的盗号手段

是的，我确信他正在流行起来，咸鱼的1分钱会员实则收验证码盗号的案例已经数不胜数了

说完了盗号的思路后，我们再来扣技术细节

真的能检测三连吗

不能，技术上不能实现，只有up主能看到你是否真的三连了。这种链接形式的不可能检测到

这个三连实际上是假的，第二次点进去就自动跳过了，相关分析会穿插到下文图中

---

同一个链接，在B站内打开是诈骗页面，在浏览器打开却是正规电商商品页，怎么做到的？

如果你访问过这些诈骗链接，就会发现：

从手机浏览器或电脑浏览器打开，看到的是正规电商页面

但从B站App内打开，显示的却是诈骗页面

这是咋做到的呢？

其实，这有点像钻了漏洞

访问b23推广链接，正常情况经过一次302就直接到落地页
[图片上传中...(07836-xqg88x71tg)]

但实际上，这个投放的落地页通过代码又进行了一次跳转

跳转到真正的骗子域名后，根据不同终端，展示不同页面

方法很简单：不需要额外参数，请求默认都会携带UA标识

比如edge的UA是：

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/148.0.0.0 Safari/537.36 Edg/148.0.0.0

重点在Edg/148.0.0.0这个标识

而B站APP的UA是：

Mozilla/5.0 (Linux; Android 13; 2112123AC Build/TKQ1.220829.002; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/147.0.7727.137 Mobile Safari/537.36 os/android model/2112123AC build/8230200 osVer/13 sdkInt/33 network/2 BiliApp/823020

重点在BiliApp/823020这个标识

如果检测到UA是哔哩哔哩APP，则显示诈骗页

实际检测三连也是假的，从技术上无法实现

如果不是，则显示电商页

为啥诈骗链接很多都是B站官方b23短链？

之前可以任意将外链转成b23链接，后来被官方限制了。那现在的b23诈骗链接又是怎么做到的？

我们来看一个b23链接

解码后如下图，b23后面带mall不是普通的b23短链，而是b站合法的推广链接

这种链接应该是在“三连推广系统”（B站自家的推广系统）中配置生成的——普通用户无法生成，只有合作方有权限创建

类似的还有b23后带cm的，也是合规链接

也就是说，有内鬼

这种链接创建后，提交审核一般都会通过

因为审核员用电脑在后台看到的落地页始终是正常的

这些链接的源头是什么？

根据域名whois、备案、业务反查，可以得到

引流到快手、抖音助力的大部分属于个人诈骗行为（部分域名有备案，性质为个人）

引流办理业务的属于分销团体的流氓行为（域名有备案，性质为公司）

我为啥说是流氓而不是诈骗，因为我不想惹祸上身

盗号的属于黑产（域名无备案，服务器在境外）

但这些来自五湖四海的骗子，不约而同选择了假三连检测作为前置条件。着实让人感叹

如果大家有刷到此类视频，希望不吝啬献出你的三连

附录