一位网安工程师的提醒,我把这种“伪装成小说阅读”的链路追完了:你点一下,它能记住你的设备指纹
前言 作为一名长期做网络安全的工程师,我经常会遇到各种“看起来很普通、点一下就好的”链接。最近追踪到一类以“小说阅读”“连载更新”为幌子传播的链路,表面上是阅读页面,实际上会在你不知情的情况下采集并持久化设备指纹。一开始只是怀疑,跟着链路一路追下去,发现这套流程相当成熟:能在清除 cookie 后仍将设备与之前的行为关联起来。把我梳理出的发现与应对建议放在下面,供大家参考和转发。
这条链路长什么样(高层描述)
- 诱饵入口:在社交平台、群聊或短链接中流传一条“最新章节”“免费阅读全文”的链接。目标是尽量降低戒心,让你点开。
- 首站页面:看似是小说阅读器,加载正文片段并拼接广告或“继续阅读请完成验证”的提示。页面会马上注入一段 JavaScript。
- 指纹采集脚本:脚本采集多个浏览器/设备特征(浏览器版本、User-Agent、屏幕分辨率、时区、字体列表、WebGL 指纹、Canvas 指纹、插件/扩展信息、音频特征、语言偏好、联网信息等),形成一个高熵的“指纹向量”。
- 标识生成与持久化:指纹被哈希成一个短 ID,随后写入多种存储位置以提高持久性:cookie、localStorage、IndexedDB,甚至通过 service worker 或缓存策略实现更难删除的持久化(例如通过缓存并在后续页面恢复标识)。
- 第三方链路与重定向:页面往往会包含多个第三方域名(广告网络、分析服务、短链重定向服务),这些第三方也记录该标识,形成跨域追踪能力。有时还会利用 CNAME 隐匿或域名伪装,混淆来源。
- 后续利用:指纹可以用于精准广告推送、画像关联、跨平台追踪,极端情况下用于社工/钓鱼定向、欺诈行为(例如识别曾经登录过特定服务的设备)。
为什么这会伤害到你
- 清除 cookie 不再等于重置:传统清理 cookie 的方式对抗不了同时写入多种存储和指纹化的追踪。
- 跨域关联用户行为:同一个标识被多个服务共享或出售后,你的不同网络行为可以被拼接成完整画像。
- 更精准的社工与骚扰:攻击者可以用已知设备指纹判断你是否点击过某些链接,进一步设计更有针对性的钓鱼或骗术。
- 隐私与安全风险:当指纹与真实账号(邮箱、手机号、登录痕迹)被关联时,匿名性大幅下降,可能被用于账号入侵等。
如何识别这类伪装页面(用户可见信号)
- 链接来源模糊:来历是短链、群聊转发或陌生公众号推送,且无法验证原始作者。
- 页面有大量第三方资源请求:打开开发者工具(或使用隐私扩展)看到页面向多个不同域发起请求,尤其是陌生的广告/analytics 域名。
- 弹窗/权限请求:页面立即弹出“允许通知”“安装应用”“允许访问摄像头/麦克风”等权限请求。
- 页面要求进行多步验证或填写“手机号验证”,但并不是真正的登录入口。
- 浏览器变慢、电量消耗异常或频繁重定向到其他站点。
如果你已经点了,建议的处理步骤(从容易到深入) 1) 先撤离:关闭该标签页,避免继续交互或允许任何权限。 2) 清理站点数据(浏览器层面)
- 在设置→隐私或站点设置中,找到目标站点,清除其 cookie 和存储数据(包括 localStorage、IndexedDB)。 3) 移除 Service Worker、PWA、站点权限
- 在浏览器的站点设置里撤销该站点的通知、后台运行、安装应用等权限;在开发者工具的 Application/Storage 中检查并删除 service worker。 4) 清空浏览器缓存并重启浏览器。 5) 检查是否有不明扩展或新安装的应用:有时恶意链路会诱导安装带有持久跟踪能力的扩展或 PWA。 6) 扫描设备:用可信的反恶意软件工具进行扫描,尤其是手机端如果提示下载 APK 或安装未知应用,要重点检查。 7) 如怀疑账号关联或泄露:修改重要账号密码并开启双因素认证,监测异常登录通知。 8) 如需彻底断绝指纹重新关联:除了上面措施外,可以使用全新浏览器配置/新的浏览器用户资料或重装浏览器;在极端追踪情况下,更换网络(如使用不同的公网 IP)能打断一部分关联。
长期防护策略(日常可执行)
- 浏览器设置与隐私扩展
- 安装可信的广告拦截/隐私扩展(例如能屏蔽第三方脚本的扩展),对不信任的页面默认禁用 JavaScript。
- 使用浏览器的“阻止第三方 cookie”和“抗追踪”功能。部分浏览器(例如 Firefox、Brave)对抗指纹采集有专门策略。
- 限制权限与行为
- 不随意允许网站的通知、位置、摄像头/麦克风权限;先评估来源再决定是否允许。
- 对可疑链接采取“预览”或复制到纯文本浏览器/工具中查看,不要直接在常用浏览器打开。
- 隔离与分区
- 使用不同容器/Profile(例如 Firefox Multi-Account Containers 或 Chrome 的不同用户资料)把社交浏览与常规工作分开,减少跨域追踪的效果。
- 最小化浏览器指纹差异
- 虽然彻底防止指纹采集很难,但使用主流浏览器并开启反指纹设置能提高成本,使得追踪变得不划算。
- 网络与系统保护
- 使用可信 VPN 可在一定程度上隐藏真实公网 IP,减少联邦级别的关联风险;系统和浏览器保持更新,防止已知漏洞被利用。
给家人/朋友的简单提示(可直接复制发送)
- 不要乱点群里或公众号里不明来的“免费小说/免费资源”链接。
- 若页面要求你允许“通知”“安装应用”或“验证手机号”,先停一下想想,并与信息发出者核实。
- 遇到奇怪跳转或让你先做“完成人机验证”的页面,直接关闭更安全。
