越想越生气,我把这种“伪装成活动页面”的链路追完了:你以为关掉就完事,其实还没结束
最近在朋友圈看到一个“免费抽奖/限时报名/晚宴名额”页面,点进去感觉熟悉:看起来像平台活动页,形式正规,输入手机号就能参与。我随手点了几个链接,测试它到底是什么套路——结果一追踪,发现这条链路比想象复杂得多,关掉页面并不能真正“断掉”它。把我这次的侦查过程和应对办法写出来,给遇到类似情况的人一点实操参考。
一、这是怎么回事——伪装成活动页的常见套路
- 入口是看上去很“官方”的落地页,往往用极简设计、倒计时、社交证明(截图、人数)降低戒备。
- 要求填写手机号或邮箱后,会把信息同步给第三方营销平台、推送服务、短链/追踪域名,甚至卖到数据池。
- 用户关闭页面后,追踪不会立刻停止:常见手段包括Cookie/localStorage、第三方脚本、Service Worker、Push Notification订阅、后台异步接口调用(Webhook),以及短信/邮件自动触达。
- 更隐蔽的是:提交后页面跳转到另一个域名或嵌入iframe,真正的采集和分发逻辑在另一个域名或CDN上运行,追踪链条会跨域转发信息与参数(比如utm、ref、aff_id)。
二、我怎么追踪到整个链路(用到的浏览器工具和方法) 1) 打开开发者工具(F12)→ Network:过滤 XHR、Fetch,点击提交表单观察请求流向,注意请求头里的 Referer、Origin、Host、Cookie、Authorization。 2) Application(存储)面板:查看 Cookies、Local Storage、Session Storage、IndexedDB,找出是否有长期存储的ID或token。 3) Service Workers:检查是否有注册并激活的 service worker,有的话会长期在后台拦截/发起请求,注册后即便关掉页面也会继续运行。 4) Notifications/Permissions:检查是否有网站请求通知权限,允许后会持续收到推送。 5) Domain/WHOIS/证书:快速判断域名新旧、是否使用CDN或短域名(例如 bit.ly、t.cn),新域名+匿名注册的可信度极低。 6) 抓包工具(可选):用Fiddler、Charles或mitmproxy捕获并分析流量,能看到被跳转到的第三方域名和请求负载。
三、常见“关不掉”的后门与清除办法(实操)
- Push 通知:Chrome:设置 → 隐私与安全 → 网站设置 → 通知,移除可疑站点;Edge/Firefox类似。手机上去对应浏览器的站点权限里撤销。
- Service Worker:F12 → Application → Service Workers,点击 unregister(注销);如果不熟悉浏览器开发者面板,清除该站点的“存储数据”也能卸载。
- Cookies / localStorage:F12 → Application → Clear storage → 清空该站点数据;也可以直接在浏览器设置中清除特定站点的数据。
- 自动短信/电话骚扰:回复 STOP/TD(各国/运营商不同),或在手机上直接拦截该号码并举报垃圾短信;如果频繁,可向运营商投诉或使用拦截App。
- 邮件骚扰:标记为垃圾邮件并退订(退订链接有时是陷阱,需谨慎),更稳妥的方法是直接在邮箱规则里自动删除或屏蔽发件人,同时检查是否被添加到某个邮件列表或第三方服务(查看邮件头的 List-Unsubscribe、X-标签)。
- OAuth/第三方授权:检查 Google/Facebook/Apple/微博 等账号的“应用与网站”授权,撤销不认识的授权。
- PWA/主屏幕应用:有些活动会诱导把页面“添加到主屏幕”,这类PWA在后台行为更接近应用,删除主屏图标并清除浏览数据。
四、遇到活动页前的预防清单(实用且可马上用)
- 不随意填写真实手机号/邮箱:用一次性邮箱(例如 Gmail 的 +alias 或临时邮箱)、虚拟手机号或专门的接收码服务来隔离主账号。
- 先看域名和证书:地址栏有没有奇怪子域、短域或与宣传不匹配的域名;点锁形图标看证书信息。
- 用安全浏览器或扩展:uBlock Origin、Privacy Badger、ClearURLs、AdGuard;Firefox隐私强化模式或Brave能自动拦截多数跟踪脚本。
- DNS/网络层屏蔽:使用 NextDNS、AdGuard DNS 或 Pi-hole 能在网络层面阻断已知追踪与广告域名。
- 不用“退订”链接轻易确认:不放心时更建议直接标记垃圾邮件或在平台内投诉,而不是点击不明退订链接。
五、如果你已经填了个人信息,该怎么办 1) 立刻清理浏览器站点数据、取消该站点的通知权限、注销并删除任何PWA。 2) 修改可能被关联的账号密码,开启两步验证;如果手机号用于短信验证码,警惕账号被劫持的风险。 3) 邮件方面设置过滤规则、标记垃圾;电话/短信在本机拦截并向运营商投诉。 4) 查询是否有被第三方服务登录授权,逐一撤销。 5) 保留证据(短信、邮件、页面截图、请求记录),必要时向平台客服或相关监管机构投诉:数据被滥用、未经同意频繁骚扰和推送都有申诉途径。
