冷门但关键的真相，我把这种“二维码海报”的链路追完了：最离谱的是，页面还会装作“正规”；先做这件事再说

一张看似普通的二维码海报，可能是链条里最短也最危险的一环。线下场景里，它们看起来“正规”：有logo、有联系人、有精美的落地页页面；但一旦你按页面提示“先做这件事再说”，就会被拉进一个长长的跳转链，暴露手机号、验证码、甚至支付信息。作为职业写手和“链路猎人”，我把这种海报的完整路径追查到底，把方法与可行的防护措施放在下面，既适合普通读者也适合想深入排查的运营/安全同学。

发生了什么

场景：你在地铁站、商场、路边看到一个招聘、抢券或抽奖的二维码海报，扫码后跳转到一个看似官方的页面，页面提示“先填写手机号/先扫码关注/先领取验证码再说”，往往还带有“合法公司名”和“企业微信”截图，给人信任感。
真相：这个页面只是一个中转站。它会先收集你的手机号或让你授权（通知、打开相册、允许下载），然后通过一连串短链接、跳转和混淆的脚本，把你导向真正的目标：钓鱼登录页、付费订阅页、骗取验证码的后端、或者将你的手机号加到垃圾营销库里。

我如何把链路追完（实战步骤） 1) 初始扫码与截图

扫码后不要立刻按页面上的按钮，先用手机截屏并复制跳转的URL。
若页面通过短链或跳转隐藏真实地址，用浏览器地址栏查看完整URL（复制后粘到记事本里观察）。

2) 跟踪跳转（桌面更方便）

在电脑上用curl跟踪：curl -I -L -v "完整URL"，看每一步的Location和Server header。
使用浏览器开发者工具（Network）观察每个请求、响应头和第三方域名请求。
如果要更深入，使用Burp/Charles抓包，可以看到POST数据和脚本执行的过程。

3) 检查域名与证书

打开每个中转域名，查看SSL证书信息（浏览器点击锁形图标），证书主体常常和页面声称的公司名不符。
whois/dig查询域名注册时间和DNS情况：新注册域名、隐私保护注册或托管在境外弱信誉DNS的域名值得怀疑。

4) 分析页面脚本

在浏览器中查看源代码，搜索关键字如 "eval(", "atob(", "decodeURIComponent", "setTimeout" 等，很多恶意跳转通过脚本延时或解密URL再跳转。
找到脚本里被base64编码的字符串，解码后可以看到真实跳转地址或接口路径。

5) 反向查找后端

观察页面提交的数据（手机号、验证码发起请求的API），把接口粘贴到curl里模拟请求，看看返回的JSON或跳转要求。
有时会发现API返回token、session id，这些可能会被后端用于短信劫持或绑定服务。

典型套路与你需要警惕的信号

“先填手机号，随后验证码领取”——通过收集手机号，向你推送骚扰/诈骗短信，或诱导你输入验证码以完成“快捷登录/绑定”。
“先关注或先扫码进群再领取”——进群后马上有管理员要求转账/付费或点击钓鱼链接。
页面看着官方但域名不对——用了企业名、logo和合法证书但域名是短链或拼写错误的相似域名。
页面要求授权权限（通知/下载/安装）——一旦授权，可能被推送恶意PWA或订阅付费服务。
延时跳转或弹出二次确认——先给你一个看似正常的页面，几秒后自动跳向收费或危险页面。

一个真实的（匿名化）链路示例

海报二维码 -> short.ly/abc123
short.ly -> redirector.xyz/r?to=eyJkIjoi….（base64编码）
redirector.xyz -> login-official[hyphen]shop.com/?token=…
login-official-shop.com 显示“领取优惠券，先输入手机号” -> 提交后又跳到 payservice.net/confirm（伪装支付页）

为什么页面看起来“正规”？