想必大家都注意到了，近几个月黑产不断侵蚀B站，片哥片姐通过私信、评论、专栏、关注、点赞等方式无孔不入

但其中涉及的很多技术，对大众来说并不透明。大家都只会告诉你“二维码不要扫，链接不要点”，却没人告诉你他们是怎么实现的，又是怎么诈骗的

所以就有了本期内容

---

评论区一张图，点击却是二维码

我们来看一张图，如果你浏览器当前处于黑夜模式（页面非白色），你会看到企鹅睁开眼。
如果不是，则看到的是闭眼的企鹅

这种“预览图和点开查看的图片不一致”的图片技术，在国内被称为“幻影坦克”
严谨来说，这属于图片隐写术的一种
举个例子：小黑盒的文章内容、评论区显示的图片，默认背景为白色
而点开图片后，默认背景为黑色
因此，我们可以通过调整Alpha通道值来合并两张图片，效果如上所示

需要注意的是，幻影坦克的实现算法有很多种，不局限于调整Alpha值

另外大家不要在B站评论区测试二维码，我试了一下被封号了（悲）

至于说二维码内容、链接内容，是如何逃避审查的，这个说起来太长要单开一期，先过

---

评论区看似无害的链接，暗藏玄机

现在给你5秒钟时间，判断下图中链接是否为哔哩哔哩的官方链接

上面这个链接，访问的是百度

其实，这是上古互联网的技术，都快要被遗忘了

在盘古开天辟地之时，登录一个网站是这样的格式：https://账户:密码@网址

随着互联网的发展，安全性要求越来越高，这种方式已被弃用，但浏览器上依然可以使用

也就是说，只要网址后面带有@，浏览器就会访问@后面的网址

例如：访问bilibili#com@baidu#com（#替换为.），浏览器会直接打开百度

注意，这不是重定向，整个过程由浏览器本地处理，不经过哔哩哔哩服务器。

---

插个题外话，广受欢迎的极客浏览器Via无法处理这种情况（不知是否设计如此）。

因此，当你在Via浏览器中访问时，地址栏显示的是哔哩哔哩，页面显示的却是百度内容，这可能会让一些同学摸不着头脑

---

使用哔哩哔哩APP打开假冒网站

哔哩哔哩APP内置了一个协议：bilibili://，通常用于从网页跳转到B站APP

实际上，黑产可以在网站上放置一个假冒的B站视频页，然后跳转到APP，在APP内展示虚假的登录页，骗取用户的账户密码

例如，当你访问黑产制造的假冒页面时，页面会请求拉起B站APP：

bilibili://brower?url=www.bilibili.com@abc.cn/wsgi/fakebili

这个fakebili页面即是假冒的登录页。由于是在B站APP内打开的，因此仍具有一定的迷惑性

遗憾的是，测试时两部手机都成功了，但还没来得及录屏就被封禁了。为此，我如实提供测试结果。类似的deeplink漏洞在3月份也有人提交过，后续情况不清楚

---

评论区蓝字链接跳转视频完全不同

下面这个BV号链接，5秒内告诉我，你打开时看到的是视频是BV1xmPhzxEsg，还是BV15d4y1T7nZ

www#bilibili#com/video/BV1xmPhzxEsg/../BV15d4y1T7nZ

你以为访问的是：

www#bilibili#com/video/BV1xmPhzxEsg

其实访问的是：

www#bilibili#com/video/BV15d4y1T7nZ

为什么会这样呢？是路径穿越漏洞吗？——并不是。

在浏览器的地址栏中，有一个标准的文件路径处理功能

当你访问：

https://www#demo#.com/abc/../def

按下回车后实际请求的是：

https://www#demo#com/def

B站内置了浏览器，你访问bilibili#com/video/bv1/../bv2，自然也会跳转到bv2

---

会有人上当吗？

总是有好奇宝宝，获取信息的渠道十分狭隘，逮住机会就上去观看

先是免费浏览，然后充值解锁高清视频，紧接着付费试图取得线下联系

结局如图

---

怎么防范呢？

1、黑产会想尽办法让你注意到它，给你疯狂点赞、私信、关注、评论、发专栏、发视频甚至他的头像签名都包含了信息。提供各类服务（审核不过此处省略），等等等等。

有没有你心动的项目？你信它不如信我是秦始皇

2、扫码、访问链接都不会让你被盗号，但你不要陷进去，你要是真注册了，用的还是手机号和常用密码，这不直接交代了？

极少数情况，在零点击漏洞加持下，访问链接会导致数据泄露的问题，我会在合适的时机做演示，目前来说你只需要认为你不登陆就是安全的