这种“短链跳转”最常见的套路:先让你悄悄读取通讯录,再一步步把你拉进坑里;立刻检查这三个设置
一条短链看起来很无害——一个活动、一个优惠、或者一个“你的好友给你发来一份礼物”的提示。实际情况往往不是这样:短链的本质就是把真实目标隐藏在多重跳转之后,带你到一个既能骗权限也能骗你动手的页面。下面把常见套路拆开来,让你看清每一步,并立刻检查三个关键设置,把被拉进坑的几率降到最低。
短链跳转常见套路(逐步拆解)
- 第一步:先诱导你打开短链。标题会让你有强烈点开动机(奖品、隐私泄露提示、好友信息)。短链掩盖最终目标域名,让你看不出危险。
- 第二步:利用浏览器弹出或页面脚本,要求允许“读取通讯录/联系人”或扫描二维码来领取奖励。页面给出的理由看似合理:“同步联系人以查找好友领取资格”“我们需要你的通讯录来确认邀请人”。
- 第三步:一旦你允许,后台就会读取联系人、发起邀请短信或邮件、或者把含有恶意链接的信息自动发送给你的人脉,从而扩大感染范围,形成链式传播。
- 第四步:目标页面进一步引导你安装某个“必需的”应用、输入验证码、或授权第三方登录(OAuth)。此时攻击者可以借权限做更多事情,比如替你发送消息、窃取账号、自动操作等。
- 第五步:借助“无感”授权(Accessibility、短信权限、系统弹窗权限等),实现自动化传播和深度控制,受害者往往在不知不觉中成为传播节点。
这类攻击的核心就是:先取得信任(或制造紧迫感),再悄悄拿到关键权限,用受害者的账号和人脉做传播,最终把更多人拉进同一个坑。
立刻检查这三个设置(逐项给出可操作步骤) 1) 应用权限:通讯录、短信、辅助功能、安装未知应用 为什么要检查:很多攻击需要“联系人”、“短信”或“辅助功能”权限来读取通讯录、自动发送消息或模拟点击。把这些权限只留给你信任的应用。 怎么检查(安卓、iPhone 要分开):
- Android(代表流程,机型界面可能略有不同):
- 设置 > 应用与通知(或 应用管理)> 选择某个应用 > 权限。查看“通讯录”“短信”“电话”“存储”等权限,关闭不必要的权限。
- 设置 > 特殊应用访问(或 高级权限)> 辨别“在其他应用上层显示”“可在未知来源安装应用”“无障碍服务”等,撤销对陌生应用的授权。
- iPhone:
- 设置 > 隐私与安全 > 联系人:关闭不需要的应用访问。
- 设置 > 隐私与安全 > 辅助功能(Accessibility 一般不可被第三方直接滥用,但留意安装的配置文件或企业证书),尤其对不熟悉的企业应用警惕。 建议:把通讯录、短信类权限设置为“需要时才启用”,并在授予后立刻评估应用是否真的需要这类权限,若无必要立即撤销。
2) 浏览器与链接打开行为:阻止短链直接跳转到可疑应用、开启安全浏览 为什么要检查:短链常常在跳转里把你自动导入到某个应用商店页面、第三方应用或恶意页面。把浏览器的“安全浏览”打开,并让系统在打开外部应用或深度链接时询问你,能多一层防护。 怎么检查:
- Chrome(Android):
- 打开 Chrome > 设置 > 隐私与安全 > 安全浏览(选择“增强保护”或“标准保护”)。
- 设置 > 网站设置 > 弹出窗口和重定向:禁止弹出和重定向。
- 设置 > 应用 > 默认应用 > 打开链接:对已安装应用选择“始终询问”或“不要在该应用打开”。
- Android 系统设置(默认应用):
- 设置 > 应用 > 默认应用 > 打开链接(或 应用内打开)> 对重要应用选择“始终询问”或关闭“自动打开支持的链接”。
- iPhone(Safari):
- 设置 > Safari:开启“欺诈网站警告”、阻止弹出窗口、关闭“自动填充敏感信息”对不熟悉网站更谨慎。
- 通用建议:在点击短链时,先用在线解短服务或 URL 检查器(见下文工具)查看真实地址;不要直接在弹窗中同意让某个应用打开或安装。
3) 账户与消息防护:第三方应用访问权限、短信与消息过滤、两步验证 为什么要检查:攻击者往往通过第三方 OAuth 或已获取的权限访问你的联系人、日程和邮件,也会利用短信进行二次传播。限制第三方访问并开启防护,能降低损害。 怎么检查与操作:
- Google/Apple 账号第三方权限:
- Google:myaccount.google.com > 安全 > 第三方应用访问(或“应用可访问您的帐户”),移除不认识或不再使用的应用权限,尤其是可以访问联系人/邮件的应用。
- Apple ID:设置 > [你的姓名] > 密码与安全性 > 检查授权应用/网站,撤销可疑权限。
- 短信/消息过滤:
- iPhone:设置 > 信息 > 滤除未知发件人,开启“过滤未知发件人”并开启短信报告垃圾(适用地区)。
- Android(Messages):开启“垃圾短信保护”;安装官方或信誉良好的短信/安全应用进行过滤。
- 两步验证(2FA):
- 核实重要账号都已开启两步验证,优先使用认证器或安全密钥,避免把短信作为唯一二步验证手段(短信更容易被劫持或拦截)。
点击疑似短链后立刻该怎么办(简明清单)
- 立刻不要授权任何权限,关闭网页或标签页;若已经授权,马上撤销对应权限并卸载可疑应用。
- 检查是否有未授权的发送记录(短信、邮件)并通知可能收到恶意信息的联系人。
- 更改关键账号密码并检查登录活动/最近设备;必要时撤销第三方应用访问。
- 在电脑上用 VirusTotal、URLScan、OnIONLink 等工具检测短链真实目标;在手机上使用厂商安全产品或信誉良好反恶意软件扫描。
- 若个人通讯录被泄露或大量好友收到恶意信息,向运营商、平台或警方报案并保留证据截图。
常用网址与工具(用来预览/检测短链)
- URL 解短网站(unshorten.it、CheckShortURL 等)
- VirusTotal(上传 URL 检测是否被标记)
- URLScan(查看跳转链路和最终域名) 使用这些工具可以在真实点击前,先查看短链会跳到哪里,是否关联到已知恶意域名。
结语(简短建议) 短链本身不是坏事,但短链正被不法分子滥用,用熟练的社会工程学和权限链把你和你的联系人卷进去。把权限收紧、让浏览器多问一句、定期清理第三方访问,这三步能把风险降到最低。遇到可疑短链,先查后点,稳妥比省事更划算。
