一个小设置就能自救,我把打着“万里长征小说”旗号的链接的链路追完了:真正的钩子其实在第二次跳转;先做这件事再说

前言 上周有人在群里发了一个看似普通的“万里长征小说”链接,标题吸引人、落地页看起来也还行——但出于职业习惯我没有直接点开,而是把链接的跳转链路追了个底朝天。结论很简单也很值得每个人记住:表面上的“第一页”往往只是诱饵,真正的钩子藏在第二次或后续的跳转里。遇到可疑链接,先做一件非常小的事,就能避免大概率的风险。
我怎么发现的(简要过程)
- 链接看起来像是导向小说阅读页,第一跳到的是一个看似正常的中转页(带着品牌词、静态描述)。
- 我没有在浏览器里直接打开,而是用两种方式快速查看跳转链:浏览器开发者工具的 Network 面板(勾选 Preserve log)和命令行的 curl(curl -s -D - -o /dev/null -L "链接")。
- Network 中可以看到 HTTP 302/301 的 Location 跳转;curl 的输出则把每一段响应头都打印出来,能一眼看到每次跳转目标。
- 第二次跳转把请求导向一个看似广告投放平台的短域名,并在 URL 里追加了一堆参数(subid、aff、clickid、referer、base64 编码字段等)。那个短域名随即在接下来的第三跳把用户抛向一个挂载了广告脚本和可疑重定向器的站点,页面立刻尝试注入第三方脚本并触发自动跳转或下载行为。
为什么“第二次跳转”是关键
- 第一跳通常用于“软化”用户:以熟悉的名称或品牌做掩护,让用户放松警惕。
- 第二跳开始植入追踪/广告/参数,往往会把原始 referer、用户ID 或群发信息等附带上去,并把流量导入广告网络或流量变现平台——这一步最常包含恶意重定向、伪造下载或钓鱼落地页。
- 从技术上讲,浏览器在第一次跳转后往往继续执行下一步的所有脚本或 meta-refresh,如果没有阻止自动跳转,用户几乎看不到第二次跳转的真实 URL,就直接被送到“陷阱”里。
先做这件事再说(最关键、最易操作的一步) 遇到可疑链接,先不要点 —— 先把链接复制下来,用一个“URL 展开/检测工具”查看跳转链。两个非常简单、人人都能做的方法:
1) 在线一键查看(最推荐,适合非技术用户)
- 打开:https://urlscan.io 或 https://urlex.org 或 https://www.virustotal.com(URL 扫描)
- 粘贴链接,发起扫描或展开。服务会显示每一次重定向的目标 URL、域名信息、页面截图和加载的外部脚本。几分钟内你就能看到第二跳到底指向哪里,是否含有可疑参数或外部恶意脚本。
2) 本地快速查看(技术用户)
- 在终端执行: curl -s -D - -o /dev/null -L "https://example.com/xxx" 这条命令会把每次响应头打印出来,包括每个 Location,按顺序显示跳转链。查看 Location 中的域名和参数,特别留意短域名、base64 字段、aff/subid 等。
- 或者在浏览器里打开 DevTools(F12)→ Network,勾选 Preserve log,然后点击链接(或在新标签粘贴后按回车)。Network 会把每次 3xx 跳转展示出来。
为什么先做这一步能“自救”
- 不点开、不执行页面脚本、不触发 JavaScript 和自动下载,绝大多数钓鱼、广告劫持和恶意安装都因此失效。
- 你能在“被动”状态下看到跳转链,判断是否安全,再决定是否继续。
- 这是零成本、即时见效的防护动作:复制→粘贴→检测,完事儿。
另外一个小设置:在浏览器里做这两个简单改动(建议) 如果想把防护再提升一个层级,两个小设置既容易又有效: 1) 安装广告/脚本屏蔽器(推荐 uBlock Origin)
- 对普通用户:在 Chrome/Edge/Firefox 商店安装 uBlock Origin 并默认启用即可,它能阻止恶意脚本、第三方重定向器和大量广告网络。
- 对进阶用户:在 uBlock 的“高级用户”模式里,可以选择屏蔽第三方脚本或动态过滤特定域名的子请求,直接阻断那些第二跳会用到的广告中转域。
2) 阻止自动重定向或自动刷新(针对 meta refresh/JS 重定向)
- Firefox 用户:在地址栏输入 about:config,搜索 accessibility.blockautorefresh,把它改为 true。这样能阻止 meta refresh 导致的自动跳转。
- Chrome/Edge 没有内置等价设置,但可以安装扩展(例如 NoRedirect、Skip Redirect)来实现相同效果,或借助 uBlock 的规则屏蔽 meta refresh 的脚本来源。
实战检查清单(收到群链接时按这个流程走) 1) 不要直接点击,复制链接。 2) 先用 urlscan.io 或 VirusTotal 展开/扫描链接,查看跳转链的第 2、3 跳目标。 3) 若你会用 curl,可以用上面的命令检查每步响应头;若不会也没关系,线上工具足够用了。 4) 若第二跳是短域名、广告/流量平台或包含大量参数(subid、aff、campaign、base64),不要访问。 5) 安装 uBlock Origin 并保持更新;在电脑上启用“阻止第三方 Cookie/跟踪”设置。 6) 对于来历不明的压缩包、弹窗或下载提示绝不允许,直接关掉标签。
如何判断“钩子”是否危险(快速辨别术)
- 第二跳域名是否与第一跳品牌或内容无关(比如小说名 → 短域名/流量平台)。
- URL 带大量看不懂的参数、base64 字段或单字符短键(这是传递用户标识或嵌入脚本常见做法)。
- 跳转后的页面立即尝试加载大量第三方脚本、iframe 或触发下载。
- 页面弹窗要求安装某类“阅读器”或“更新插件”,或用模糊语言诱导交互。
结语与心态 网络钓鱼和流量变现套路在不断迭代,但绝大多数都离不开“诱导点击→中转埋点→投放/下载”这三步。把“复制链接→在线展开/扫描”当成一个习惯,把浏览器装上靠谱的屏蔽扩展,并学会用开发者工具或 curl 看一眼响应链,就能把风险降到很低。下次群里再有人发“热门小说/福利链接”,先别慌着点,先做这件小事再说——效率高,风险低,值得每个人掌握。