# 起因

昨晚，一个 N 年前的老同事突然打电话给我，她跟我说她遇到一件很糟心的事，可能要赔别人好几万块钱，她知道我懂一点点中老年人上网冲浪的技术，所以特地来询问我一些网络问题

我让她先慢慢把事情经过告诉我，她说她老公有个朋友，昨天发了个图片给他，让他照着图片的号码去别人那里下几注六 HE 彩，他老公就照做了，开码后他老公对了一下号码是没有中码的，就打算跟他朋友要回帮他下码的钱，但是他朋友却告诉她老公说自己中码了，不信打开图片看一下，然后她老公就打开图片对了一下，发现真的有这个号码，但是他清楚的记得当时是没有这个号码存在的，因为下完单后他还认真地对了好几次

所以她想问我的是，对方有没有可能在后台修改图片的内容

# 分析

我听完她的描述后，我说我可以非常肯定的说，对方决对不可能修改这个图片上的内容，如果要修改，只能在发出图片的两分钟内，将该图片撤回，然后重新发送，首先微信发送出去的文字、语音、图片都是发送方先发送到服务器，然后服务器再转发给接收方，如果要修改已发送的内容，必须经过服务器，这个只有腾讯内部管理员才会有这个权限，如果什么阿猫阿狗都可以随意修改的话，那么腾讯明天就可以关门停业了

但是她说可以很肯定图片之前是没有这个号码的，我说你先把这个图片发我看看吧

看到她发我的图片后，我点击打开就笑了，这哪是图片啊，这分明是一个外部链接啊，通过浏览器访问发现域名是 wx.wsmfood.cn ，顺便看了一下 Wappalyzer 的信息

尝试一下 SQL 注入，发现有 WAF 拦截

因为已经知道这个骗术原理了，继续对这个网站搜集信息的意义并不大，所以后面我就不尝试了

我直接告诉她，她老公是被别人骗了，对方发给你的其实并不是一张图片，而是一条指向外部图片的链接，看上去你点击打开的是一张图片，但是这张图片是在对方服务器上的，他可以随意更改或替换该图片内容

# 演示

我直接跟她说这些，她好像无法理解，不太相信，我只好演示一遍给她看

首先我在自己的服务器搭建好 Web 服务，因为是演示我就简单弄了，直接在我的网站根目录目录放上一张我是谁的图片，然后通过微信生成外链发给她

在她看完这个图片后，我再把这个图片替换掉，让她重新打开看看图片的内容是不是变了

然后她就惊呆了，她说没有想过还有这样的骗术，我说这种骗术也只能骗骗电脑小白，稍微有学过点中老年人冲浪技巧都可以看出这个图片不正常

最后她问我现在要怎么做，我说首先千万不要给他钱，然后跟他说你已经知道他这个骗局了，你再打开这条图片链接点击举报，举报成功后微信会把这条链接屏蔽，到时在微信上打开这张图片就会有提示该网站是诈骗网站之类的信息，到这里他应该不敢再跟你要钱了，如果他脸皮厚就直接报警吧

最后，还是提醒一下身边的所有朋友，千万千万不要碰赌博！！！