一位网安工程师的提醒:这种“短链跳转”用“解压密码”要你付费,你点一下,它能记住你的设备指纹
前言 最近出现一种常见的钓鱼/诈骗套路:攻击者把真实链接压缩成短链,跳转到一个页面,声称下载链接被“加密/压缩”,要求输入或购买“解压密码”才能继续。很多人一看麻烦就点了,或者直接付费获得密码。问题不只是钱:这些页面通常会在你点开的一瞬间收集大量设备信息——也就是“设备指纹”,能在没有 cookie 的情况下识别和追踪你的设备,并用于后续诈骗或针对性投放。
这类骗局是怎么运作的
- 通过短信、社交媒体或邮件发送短链,制造紧迫感(例如“快看你的快递”)。
- 点击短链被重定向多次,最终落到一个精心伪装的中间页,页面提示需要“解压密码”或付费才能查看内容。
- 页面通过 JavaScript、图片探针或第三方埋点收集设备特征,并把这些信息回传给攻击方。
- 一旦攻击方把指纹和来源/付款信息关联起来,他们就能针对性地继续攻击或出售信息。
设备指纹具体能收集什么
- 浏览器/系统信息:User-Agent、语言、时区、屏幕分辨率、像素比例、平台。
- 硬件和性能特性:deviceMemory、hardwareConcurrency、GPU 信息(WebGL)、音频 API 指纹。
- 字体和渲染差异:通过 Canvas、WebGL、字体探测等方法测量文本或图像渲染差别。
- 可用 API 状态:是否支持触摸、电池状态 API、媒体设备列表等。
- 存储和持久化手段:Cookies、localStorage、IndexedDB、service workers、ETag、缓存和“evercookie”技巧。
- 网络级别信息:公网 IP、请求头、Referer、TLS 指纹等。
为什么不要付费买“解压密码”
- 大多数情况下并没有真正需要解压的文件或受保护的资源,所谓密码只是圈钱或诱导你进一步输入信息。
- 付款可能带来更多危害:将你的付款信息暴露给诈骗者,或者触发后续勒索/敲诈。
- 一旦你用账号或手机号付款,攻击者能把这条线索和设备指纹结合,便于对你进行更精确的钓鱼或社工攻击。
点击后可能出现的后果
- 长期或跨站点追踪:即使清除 cookies,也可能凭指纹识别你。
- 定向诈骗:结合手机号、支付记录、历史行为发起更可信的钓鱼。
- 数据泄露或账号被盗(若你输入了登录凭证或下载了恶意程序)。
- 财产损失(直接付费或被诱导提供卡号、验证码等)。
如果你已经点击或付款,建议的紧急处理步骤 1) 立刻停止与该页面互动,不输入任何额外信息。 2) 如果已付款,立即联系银行或支付平台申请止付/撤销交易,并报告欺诈。 3) 更改与你可能暴露的账号相关的密码,并为重要服务开启双因素认证(短信+应急码/应用授权更稳妥)。 4) 在受影响设备上清理浏览器数据(Cookies、localStorage、IndexedDB),并考虑重置浏览器配置或新建浏览器配置文件。 5) 若设备出现异常(未知应用安装、弹窗、流量激增),使用杀毒/反恶意软件扫描,必要时向企业 IT 报告或考虑恢复出厂设置。 6) 保存证据(截图、短链、付款记录),向平台/运营商/执法机关举报。
实用的预防措施(落地可执行)
- 不要直接点击来路不明的短链。先向发送者核实,电话或其他渠道确认。
- 使用短链预览/解短服务:例如 urlscan.io、CheckShortURL、unshorten.it(把短链粘进去先看最终目标)。
- 在不确定时禁止 JavaScript 或用无插件/隐私浏览器打开页面(Firefox 隐身或 Tor Browser 更能阻止指纹化)。
- 安装内容拦截器与防跟踪插件:uBlock Origin、Privacy Badger、NoScript、Canvas Blocker 等。
- 使用独立的浏览器/配置查看可疑链接(工作/个人设备分开,或使用临时虚拟机)。
- 对企业用户:将可疑短链和页面上报给安全团队,统一进行阻断与溯源。
- 对短信/社交平台的短链提高警惕,谨慎点击特别是涉及快递、发票、退款、工作文档等诱导性信息。
如何举报与求助
- 向发送短链的平台(WhatsApp、微信、短信运营商、邮件服务商)举报该账号和链接。
- 向短链服务提供商报告滥用(bit.ly、t.cn 等多数都有滥用投诉通道)。
- 若造成财产损失,及时向银行和当地执法机关报案,并保留证据。
结语 这种以“解压密码”或“付费获取密码”诱导用户的短链跳转并非新花样,但结合现代指纹技术,它变得更危险:你不仅可能失钱,还可能被持久识别和针对。保持怀疑、先预览再打开、在可疑情况下关闭脚本或使用隔离环境,是最直接有效的防线。把这篇文章转给身边经常收到短链的同事或亲友,让更多人少掉一个坑。
