我以为是入口,其实是陷阱,我把这种“短链跳转”的链路追完了:你以为删了APP就安全,其实账号还在被试;立刻检查这三个设置
前几天删掉了一个可疑的手机应用,松了一口气——谁还会在意一个已经从手机上消失的图标?结果没多久,邮箱收到几条异常验证码通知、社交平台出现未知登录记录。我跟着一条短链,一层层追出一张精心编织的“跳转网”:入口看起来是一次普通的广告点击,结果它把你的账号认证、验证码和设备指纹都当做实验对象来试探。要知道,删掉APP并不等于把攻击者赶出你的账号圈套——他们还可能在用一些你看不到的“凭证”继续试探或维持访问。
下面把我追查到的链路拆开讲清楚,并给出你立刻能做的三项检查与应对步骤。读完这篇,你能把眼前的隐患关掉七八成。
一、短链跳转为什么危险?他们到底做了什么
- 短链的本质是隐藏真实落地页。攻击者把最终URL分成多段重定向:短链服务 -> 中转广告/统计页 -> 恶意登录页 / OAuth 授权页 -> 伪造回调。通过多层跳转,他们躲过直接拦截、掩盖真实客户端和域名。
- 利用OAuth或第三方授权请求获取持续权限:很多网页会触发一次“同意授权”的流程,一旦用户在中间页误点同意,恶意客户端就能获得访问令牌(access token)或刷新令牌(refresh token)。这些令牌可能在你删掉APP后仍然有效。
- 验证码/重置链路被“试探”:攻击者用短链从不同IP、设备指纹或国家发起密码重置或验证码请求,判断哪个账号有响应,从而筛选活跃目标。这些行为在你不注意时已经可以在后台反复进行。
- 邮件/转发规则、授权委托被设置后,删除APP并不能撤消这些后门(例如邮箱转发、邮箱委托、APP专用密码、长期OAuth令牌)。
二、我如何追完这条短链链路(核心方法,供参考)
- 不要直接在手机浏览器点开可疑短链。先用“展开短链”工具或命令行查看重定向链:
- 在线工具:CheckShortURL、Unshorten.it、wheregoes.com、URL X-ray
- 命令行:curl -I -L "短链地址"(查看每一步Location头);或 curl -vL 查看更详细redirect信息
- 检查落地页面的URL参数:如果看到 clientid、redirecturi、state、responsetype=code 等,说明是OAuth相关流程。记下clientid与最终域名。
- 在你的账户安全日志里找线索:登录活动、授权事件、第三方应用授权、最近的设备与IP。比如 Google 的“最近的安全事件”和“第三方应用访问权限”会列出被授权的应用名与时间。
- 对可疑客户端与令牌逐个下手:撤销授权、使刷新令牌失效、登出所有设备、重置密码并强制使所有旧会话失效(很多服务会在密码变更时使会话/token失效)。
- 最后把落地页(若为钓鱼页)存档作为证据,向短链服务、托管方或相关平台举报。
三、立刻检查这三个设置(按顺序做,能最快降低风险) 1) 第三方应用与网站的访问权限(OAuth / App 权限)
- 为什么看:恶意短链常常诱导你授权一个看似无害的客户端。一旦授权,删除手机APP不能自动撤销这个权限。
- 怎么查(常见平台路径):
- Google:进入 myaccount.google.com -> 安全 -> 第三方应用有权访问的帐户数据(Third-party apps with account access),撤销不熟悉或不再需要的应用。
- Apple:设置 -> 密码与安全性 -> 使用 Apple ID 登录的 App(Apps Using Apple ID),撤销可疑项。
- Facebook:设置与隐私 -> 应用和网站(Apps and Websites),移除不认识的应用。
- 微信/QQ 类:检查“设置 -> 权限管理 / 账号保护 -> 授权管理”。
- 立即操作:逐一撤销可疑应用,特别是标注“具有对账户或邮箱完全访问权限”的项目;如果能看到“最近活动/颁发时间”,特别注意近期新增的客户端。
2) 邮箱的转发、委托与过滤规则
- 为什么看:邮件转发和委托可以在你不知情下把重要验证邮件(验证码、重置链接)转发给攻击者,从而让他们持续“试验”你的账号。
- Gmail 操作指南:
- 设置 -> 所有设置 -> 转发和 POP/IMAP:查看是否有陌生的转发地址。
- 设置 -> 过滤器和屏蔽的地址:检查是否有自动标为已读、删除或转发的过滤器。
- 设置 -> 账户和导入 -> 授权他人访问你的帐户(查看是否被授权代理)。
- 其他邮箱也有类似“授权委托/转发/过滤”设置,一一核查并删除异常条目。
3) 登录设备、会话和多因素认证(2FA)设置
- 为什么看:即使删除了APP,旧会话或长期有效的“应用密码”与refresh token 仍能让攻击者在后台试探;短信/语音转移(SIM-swap)也可能被滥用。
- 要做的事:
- 在账户安全页面查看并登出所有未知设备、结束所有会话(Google:myaccount.google.com -> 安全 -> 你的设备 -> 管理设备 -> 注销)。
- 撤销与应用专用密码相关的条目(若你曾为某些应用生成过“应用密码/授权码”,全部撤销并重新生成必要的)。
- 把基于短信的二步验证升级为认证器应用(Google Authenticator、Authy)或更安全的硬件安全密钥(YubiKey、Titan Key等)。如果担心SIM被劫持,联系运营商并启用SIM锁或添加额外PIN。
- 检查浏览器或密码管理器中是否保存有异常登录凭证,删除未知条目并把主密码换掉。
四、一份快速应急清单(5分钟内能做的)
- 立刻改密码(密码管理器生成强密码),同时在变更时选择“登出所有设备/撤销所有会话”选项。
- 撤销第三方应用访问权限(见上第1条)。
- 在邮箱中检查并删除所有转发地址、委托和可疑过滤器(第2条)。
- 在账户安全页面登出所有未知设备并查看最近的安全事件(第3条)。
- 在不确定的短链上不要点击,先用CheckShortURL或curl查看跳转链,若为钓鱼页,截图并向服务商/平台举报。
- 扫描你的手机与常用电脑是否有恶意软件或可疑授权(尤其是有Root/Jailbreak 的设备)。
五、如何长期防范这种“短链实验”
- 养成不随意授权第三方应用的习惯,真正需要时优先选信誉良好的应用并限定权限。
- 使用密码管理器与强二步验证(优选硬件密钥或认证器App),把短信作为最后手段。
- 定期检查第三方应用与邮箱转发规则,把“自动化/委托”入口关掉或最小化。
- 对可疑链接采取“先展开再点开”的策略;企业或团队内部建立URL安全预检流程。
