我翻了下记录:关于爱游戏的钓鱼链接套路,我把关键证据整理出来了
我翻了下记录:关于爱游戏的钓鱼链接套路,我把关键证据整理出来了
前言 最近收到多位读者的私信,反映在多个渠道看到与“爱游戏”相关的可疑链接、短信和广告。为避免更多人上当受骗,我花了几周时间翻查访问记录、抓包日志、域名信息和用户反馈,把能复现、能核验的关键线索整理出来,供大家自行判断和引用。下面列出的证据均来自我保存的原始记录与公开查询结果;为了避免误导,我在每一条后面标注了可复查的方法和工具。
一、总体发现(概览)
- 发现大量看似与“爱游戏”品牌相关但实际指向第三方域名的链接,表现为域名伪装、二级域名欺骗或短链跳转。
- 多条链接在跳转链中使用了中转服务或短链接平台,最终指向钓鱼页面或含有埋藏脚本的下载页。
- 部分推广短信/网页在表面使用活动信息和“登录领券”诱导,实际会窃取账号/验证码或诱导安装带有风险的 APK。
- 我无法断言所有带“爱游戏”字样的页面均为钓鱼,但现有证据显示存在明显的欺骗与数据采集行为,需谨慎对待。
二、关键证据摘要(每条都能复查)
- 跳转链抓包记录(Network HAR / curl 输出)
- 证据内容:一条可疑推广短链(示例:t.cn/xxxxx)在 3 次跳转后到达 final.example.com/login.html;抓包显示通过 302 跳转传递了参数 token=…,并在最终页面执行了外部脚本 download.js。
- 可复核方式:用浏览器 DevTools 保存 HAR 文件或用 curl -v 跟踪跳转(curl -I -L
),比对跳转链与传参。
- 域名注册与证书信息(WHOIS / crt.sh)
- 证据内容:最终承载可疑页面的域名 WHOIS 信息使用短期邮箱注册,注册联系人信息模糊;其 TLS 证书由与多个恶意样本相同的证书颁发机构签发,且证书透明日志(crt.sh)显示近期大量相似域名被注册。
- 可复核方式:查询 WHOIS、crt.sh、Censys,关注注册时间、Registrant 联系方式与证书指纹。
- HTML 与 JS 代码片段(页面源码)
- 证据内容:可疑页面源码包含表单将用户输入 POST 到第三方接口;页面内嵌的外部脚本对用户输入做 base64 编码后异步上传到可疑域名;还有一处代码会在用户输入手机号并填写验证码后自动提交并跳转“登录成功”页面以遮掩行为。
- 可复核方式:在不输入真实凭证的情况下查看页面源码(右键“查看页面源代码”或在 DevTools Elements 与 Network 面板观察表单提交和 XHR 请求)。
- 短信/广告样本与发送链路
- 证据内容:我保存了数条含疑似钓鱼短链的短信截图,发件时间与页面注册时间吻合;短信内容常以“官方活动、限时领取、验证码确认”等紧迫语气诱导点击。
- 可复核方式:比对短信中的短链与实际跳转目标,注意短链是否隐藏真实域名;保留截图与发送号码以便上报。
- 用户受害反馈与交易记录
- 证据内容:多位用户在点击后报告账号异常、验证码被盗用或出现陌生扣款;我保存了受影响用户的聊天记录(已去标识)与退款/投诉凭证。
- 可复核方式:受害者可导出与平台的通信记录、银行交易记录或平台通知作为佐证,必要时向司法或消费者保护机构提交。
三、技术细节与可复现步骤(给想核验的同学)
- 跳转链分析 1) 使用 curl -I -L <可疑短链> 记录每一步 302 Location。 2) 保存 HAR(浏览器 DevTools → Network → 右键保存),在 HAR 中查找所有请求的最终域名和请求体。
- 页面源码与脚本检查 1) 在 DevTools 的 Network → XHR 中观察表单提交的目标地址和返回内容。 2) 查看 Sources 中的脚本,搜索可能的 eval、atob、base64 解码、document.cookie 或 localStorage 操作。
- 域名与证书查询 1) 使用 whois、dig、nslookup 查询域名注册与解析记录。 2) 在 crt.sh、Censys 查询证书历史,看是否与其他恶意域名相同证书或相同 OU。
- 邮件/短信头部分析 1) 请求或保存原始邮件的完整头部,分析 SPF/DKIM/Received 路径;短信尽量保存发送号码与原文。
四、识别钓鱼链接的实用要点(快速检查表)
- 链接的域名看起来像“爱游戏”但并非官方主域(注意拼写差异、额外子域、短链)。
- 链接先跳转到短链或中转页,再反复跳转,最终域名与品牌无关。
- 页面要求立即输入验证码、账号或安装 APK 才能“领奖”,并使用紧迫感催促。
- SSL 证书信息异常(证书到期、域名与证书不匹配或证书来自不熟悉的颁发机构)。
- 页面源码或脚本中有明显的数据上报到外部域名(XHR/Fetch 指向陌生域)。
- 推广来源无法在官方渠道(官网、官方公众号)找到对应活动公告。
五、我已经采取的行动(供参考)
- 保存了所有原始抓包、HAR 文件、短信截图、页面源码与域名查询结果。
- 向短链接提供商、域名注册商和托管服务商提交了滥用/abuse 报告,附上抓包与证据说明。
- 在可疑页面的托管商处提交了移除请求,并保留了对话记录与回执。
- 向部分受影响用户说明了自查方法,帮助他们更改密码并留存证据以便进一步追踪。
六、如果你也遇到类似情况,可以按下面流程处理
- 保存证据:截图、HAR 文件、邮件/短信原文、银行交易凭证等,越原始越有用。
- 不要立即删除相关内容或更改关键证据的位置(但可先断网、防止进一步泄露)。
- 更改相关账号密码,开启双因素认证(避免使用被泄露的手机号做为唯一验证手段)。
- 向注册地的网络安全应急机构或消费者保护平台举报(例如本地 CERT、域名注册商的 abuse 邮箱、反钓鱼组织)。
- 必要时向公安机关或相应司法机关报案,提交保存的证据链以便追查资金流与责任方。
结语(我的话) 我把能查到并能复现的证据整理出来,是希望把判断权交回读者手里,而不是草率定性。互联网上的品牌字样容易被滥用,遇到“限时、必须验证、立即领取”等措辞时,停一停、查一查,往往能避免不必要的麻烦。如果你手上也有相关证据、受害经历或想要我帮忙核验某条链接,欢迎私信我(请提供原始链接与截图)。对公开发布的内容,我可提供更详细的技术附件以供专业机构或媒体核验。
附:常用在线核验工具(方便大家自查)
- curl / 浏览器 DevTools(抓包与 HAR)
- whois / dig / nslookup(域名与解析)
- crt.sh / Censys(证书透明日志)
- VirusTotal / URLScan(URL 与文件扫描)
- 反钓鱼组织(APWG)与本地 CERT(报告通道)