兩天前的一個晚上,有個老鄉忽然打電話給我,說他親戚可能被騙了,想請我幫忙看一下。
電話里面,聽他簡單的描述,說微信收到一張圖片,但是圖片里面的數字會被改。
電話這邊的我,聽到這話,甚是驚訝,一張圖片難道還會變化不成?
我問,真的是一張圖片嗎?你把圖片發給我看看。
老鄉說,是一條鏈接,但打開是一張圖片。
我大致明白了意思,加了微信,讓他把地址發給我。
打開這個網址的這一刻,我就明白了是怎么一回事。
三年前,我同事說,他有一個親戚被騙了,沒錯,就和這場景一模一樣,我甚至能想象出那些騙子是怎么套路別人的。
我們來看一下,那些騙子是如何進行詐騙的。
第一步,騙子會讓幫他買特碼,數字和金額通過寫在紙上發給你。
第二步,你查收的圖片會是這個樣子,打開會看到手寫的數字和金額寫在一張紙上。
第三步,當你按照騙子微信發的圖片買了特碼之后,特碼一開,問題就出來了,原來他發給你要買的數字是沒有特碼的,但特碼開后,發給你的數字里就會有一個數變成了特碼,隨后騙子會找你兌獎,你可能會困惑,明明他發給你的數字里面是沒有特碼的,可是當你再次打開微信里面的那種圖片看一下,里面的確有這一期的特碼。你會質疑自己是不是看錯了,然后給騙子兌現,騙局結束。
我們通過技術層面,來看一下,這張會變化的圖片,到底隱藏着什么秘密呢?
這個鏈接只能在微信打開,其他瀏覽器是打不開的,使用Burpsuite抓取手機的HTTPS數據,我們在響應包里面發現了隱藏在背后的一些秘密。
1、對瀏覽器的UserAgent進行正則匹配,只允許微信內置瀏覽器訪問,其他瀏覽器打不開。
2、這條鏈接真正的圖片源是一個jpg文件
於是,我們揭開了這個秘密:微信發送的鏈接不變,但只要更改圖片源,鏈接訪問的圖片源在變,所以,微信里面看到的數字也就發生了變化。
這里,它還做了一層機制,只允許微信內置瀏覽器打開,即使你復制了鏈接,在其他瀏覽器也是什么也看不到。
三年前,第一次從別人那里看到這個場景,我在想,就這怎么可能騙得了人?
我相信,凡是懂點計算機技術的,都知道這里面肯定是有貓膩的,正常來說,我們發送的圖片是jpg/png/gif等靜態文件,而這個卻是一條帶有參數的鏈接,意味着它可能是會變化的。
三年后,當這個場景在我身邊發生,是的,即使很簡單,但它還是會有人上當受騙。
我們總以為,這么簡單的事情,明白是理所當然的, 但在這個世界上的某些角落里,卻還有一些小把戲在愚弄他人。
聲明:本文純屬虛構,如有雷同純屬巧合。