我顺着短链追到了源头，你以为是活动，其实是“收割入口”：立刻检查这三个设置

2026-03-08 12:48:01 热门专题 135

上周随手点开一条短链，本以为是某个优惠活动的落地页，结果一路跟踪下来发现那不是活动页，而是专门用来“收割”信息与权限的入口。短链本身看不出端倪，点击后会经历多次重定向，最终把你拉到一个伪装得很像正规页面的表单或授权页——一旦你输手机号、允许登录或授权，后台就开始收集可以变现的数据或滥用权限。

这种套路现在很常见，不少看似正常的推广、抽奖、加群链接都可能藏着收割机制。别慌，先别一顿乱授权，先检查下面这三个设置，能把风险降到最低。

1) 链接展开与重定向链（不要直接点就信任）为什么要查：短链的危险往往藏在多次跳转中。第一跳看起来无害，后续可能带上埋点、参数，最终转到恶意域名或带有恶意脚本的页面。

如何检查（快速且实用）：

在电脑上：把短链粘到 URL 展开服务或安全扫描网站（比如 urlscan.io、VirusTotal 的 URL 检查），这些服务会显示重定向链和最终目标。
命令行用户：用 curl -I -L <短链>（跟随跳转并显示每一步 Location），或 curl -s -S -o /dev/null -w "%{url_effective}\n" <短链> 查看最终地址。
手机上：长按短链复制到记事本，再把链接粘到上述网页服务；不要直接在短信、微信或任意App里点开短链。
快速判断线索：跳转链里出现多个短域名、可疑词（如 free-win、claim、verify）、或是明显与宣传主体不一致的域名时，极可能是收割入口。

2) 浏览器与设备的“自动打开/自动填充/剪贴板访问”设置为什么要查：某些恶意页面会借助浏览器自动填充、剪贴板读取或被默认打开的权限，偷偷抓取账号、手机号、验证码或直接唤起你设备的其他应用完成授权。

需要检查并调整的地方：

自动填充（Autofill）：关闭浏览器对敏感字段（密码、信用卡号、地址、手机号）的自动填充，或至少在不熟悉的网站上禁用。
Chrome：设置 → 自动填充 → 密码/支付方式/地址，关闭或管理保存的条目。
Safari：设置 → 自动填充，关闭不需要的选项。
剪贴板读取（尤其是手机）：iOS 16+ 会提示剪贴板读取，遇到不明页面看到频繁读取提示时别允许；Android 则要注意安装的 App 是否有剪贴板权限并在设置中撤销。
从外部调用打开（deep link / universal link）：有些短链会尝试直接打开第三方应用并传参，检查你的常用App是否允许被外部链接无提示调用（部分App在隐私设置里可限制）。
验证码自动读取：一些浏览器或短信应用会自动把验证码填入网页，若不信任页面，可暂时关闭自动读取功能或手动输入。

3) 第三方应用与账号授权（OAuth）以及分享/公开设置为什么要查：许多“收割入口”最终目标是让你用社交账号或手机号登录、授权某个第三方应用。授权一次，攻击者可能获取公开信息、好友列表、邮箱，甚至长期的访问令牌。

如何处理（逐项排查）：

检查账号授权记录：打开你的 Google/Apple/Facebook/微信/微博等账号的“已授权应用”或“第三方访问”页面，逐个审查并撤销不明或不再使用的应用权限。
Google：我的账户 → 安全 → 第三方应用具有账户访问权限，管理第三方访问。
Apple ID：设置 → Apple ID → 密码与安全性 → 访问应用（查看第三方登录）。
Facebook/微博/微信：设置 → 安全/授权管理。
授权时要看清权限范围：很多页面会用“登录更方便”或“获取联系方式”等话术，但授权页面会列出具体权限（读取公开信息、访问好友列表、发布权限等）。不熟悉就拒绝或选择“仅允许基础信息”。
社交分享与公开设置：检查个人资料、朋友圈/动态的公开范围，避免手机号、邮箱或工作信息被公开展示给未知第三方，减少被自动爬取的可能。

快速自检清单（3分钟版本）