揭秘！为何手机支付宝莫名领取红包？

从2017年下半年开始，支付宝推出了这样一个活动——“发红包赚赏金”，参加活动的方法很简单：支付宝用户在界面中点击分享赚赏金按钮，将二维码或者吱口令分享给其他用户，对方在APP中领取红包再消费，您就可以获得相应的赏金。所以有一阵子，同事见面都是拿着手机让我扫码，好尴尬啊！

但是不知道各位值友有没有遇到过这种情况，有时候自己明明没有扫过码，复制过口令，打开支付宝APP却老是弹出领取红包的提示。

对此我做了一番不专业的研究。首先，我想到的是不是遭遇了DNS劫持？

首先来看看一个正常的DNS域名解析的过程。

地址栏输入smzdm.com

访问本机的hosts文件，查找 smzdm.com 所对应的 IP，若找到，则访问该IP

若未找到，则进行这一步，去（远程的）DNS服务器上面找smzdm.com 的IP，访问该IP

由于恶意攻击者控制了你的网关，当你发送了一个查找IP的请求的时候，中间人拦截住，并返回给你一个恶意网址的IP,你的浏览器就会把这个IP当做你想要访问的域名的IP!这个IP是攻击者搭建的一个模仿了目标网站前端界面的界面，当你在该界面输入用户名密码或者付款操作的时候，就会中招。

当然这种攻击一般都是小范围的，而且我在支付宝上操作也并没有发现异常的登录网站，所以应该不是这种情况。但是！这里还是要提醒各位值友留意这种钓鱼方式。使用SSL（HTTPS）进行登录，攻击者可以得到公钥，但是并不能够得到服务器的私钥，所以当浏览器提示出现证书问题的时候，要确定你所在的网络环境是安全的，该网站是可信的再去访问。

所以我判断，对方肯定是通过将分享代码注入到我的剪贴板内，因此我在打开支付宝时出现了领取红包的提示。这种方法也不足为奇了，想必各位值友就收到过类似的短信。这种情况一般是有人在附近建立移动基站，向周边手机用户发送垃圾短信，用户一旦复制代码，他们就可以获利。更有甚者，短信中的链接可能是一个钓鱼网站，可以进一步诱使用户输入账号名密码从而盗取用户的钱财！

以前就曾看到过媒体报道曾有人借助此方法非法获利百万余元。

但是，我并没有收到过并点击类似的短信内容，那么我猜想，可能有人通过APP或者浏览器广告完成了这一操作。不过，我使用的是IPhone手机，环境相对还是比较封闭的，上面安装的应用也都是通过苹果商店认证的，所以理论上来APP应该问题不大。但是，这里也要提醒各位值友，尽量不要在IPhone上安装未受信任的APP。

那么，就是很有可能是网站广告造成的这种情况。为此，我做了一番模拟实验。这里要感谢知乎上的一篇文章，原文链接在这里。模拟的环境是WordPress，免费而且搭建方法非常简单。

在wordpress网站上新建一个页面用于测试，界面无所谓。

然后加入两个Code Block

分别输入代码

然后发布，最后在电脑上的效果是这样的。其实很简单，页面上只有一张随意上传的战地1的图片。

下面就是验证一下手机上的效果了。

再次之前，先要在iPhone上安装监视剪贴板的应用。苹果商店里有很多可以实现这一功能的应用程序，我这里下载安装的是Copied和iPaste。但是，iOS系统中对于此类程序是有限制的，只有在后台开启的情况下才能监视手机的剪贴板。

在手机上打开之前创建的WordPress页面，然后点击文字链接“大妈三宝”或者战地1的图片链接。当然是没有什么反应的，因为在代码中没有设置网页的跳转。

但是打开手机上Copied或者IPaste应用程序，发现剪贴板内增加了这样一条代码组合7W0NwT33jk。这段代码就是之前在第二串代码中value的值。

随后再打开支付宝程序，果然出现了领取红包的提示

知道了原理，就可以很容易查找到底是哪个网站在剪贴板内复制了红包代码了，手机浏览器打开网站，然后查看Copied或者IPaste中的剪贴板历史信息。比如这个网站。

它就是利用用户误点页面下方的“性感美女作陪”等露骨广告信息，向用户手机的剪贴板注入红包代码信息而从中牟利。诸位值友上网时还是要注意这样的陷阱，网络安全不能忘啊。