气得我睡不着，我把这种“官网镜像页”的链路追完了：它专挑深夜推送，因为你更冲动

时间：2026-03-16作者：V5IfhMOK8g分类：万里长征合集页浏览：89评论：0

深夜两点半，手机震了几下，屏幕弹出一条看起来像“官网”发来的推送：限时优惠、库存告急、错过今天后悔一年。那句话戳中我：深夜下单更冲动。我一气之下没下单，改成拆解——把这类“官网镜像页”的链路从前端看到后端，一层层剥开。把过程写下来，希望你下次半夜被“官网”叫醒时能少上当，也能发现背后那些公司的灰色玩法。

什么是“官网镜像页”？

表面看像原厂官网的落地页（logo、文案、配图都很像），但并非品牌方的正式域名。它可能是营销联盟、刷单团队、灰色交易方建立的“镜像”，用于骗取信任、收集流量、诱导点推送或下单。
常见目的：推送订阅（浏览器通知）、收集手机号/邮箱、引导到高佣金的电商链接、做评价套现、或者直接欺诈。

为什么偏爱深夜推送？

行为学告诉我们：疲惫、情绪波动、抑制力下降时决策更冲动。深夜更容易产生“现在不买就错过”的情绪。
技术上能根据时区、访问时间、localStorage或cookie判断用户活跃时间段，再选择最容易触发转化的时点推送。
推送可精细化投放：A/B测试、分流到不同文案、不同落地页，以找到“命中率”最高的组合。

我怎么追链路的（给普通用户也能操作的步骤） 1) 别慌着点通知，先看域名

推送通知点开后，长按或查看来源域名。真正官网通常是品牌域名；镜像页常用看似相近但不是同一域名的地址（例如 brand-official.com vs brand-offical.co）。 2) 用浏览器开发者工具看网络请求
打开开发者工具（F12）→ Network，刷新页面看重定向链和第三方请求。注意以“connect”、“fetch”、“service-worker”为关键词的请求。 3) 查证证书和WHOIS
点击地址栏的锁形图标查看证书颁发域名；用命令行：openssl s_client -connect domain:443 -servername domain 查看证书细节；dig domain 或 whois 可看注册信息和注册时间（新域名更可疑）。 4) 查找推送相关代码
搜索页面源码中 Notification.requestPermission、serviceWorker.register、pushManager.subscribe、vapid 公钥等能确认页面是不是在请求推送权限或注册 service worker。 5) 跟踪重定向与追踪参数
留意 URL 上的 affiliate、utm_source、clickid、sub 等参数；这些是钱流和归属链的证据。用 curl -I -L "url" 可以看到服务器端的 3xx 重定向链。 6) 继续往后查第三方服务
很多镜像页会调用第三方推送服务或追踪域（push.xxx, track.xxx）。把这些域名放到公共威胁情报或 VirusTotal 上查一查历史。 7) 清理与阻断（当下急救）
浏览器设置里撤销该站点的通知权限；删除 service worker（Application → Service Workers）；清除站点数据（cookies/localStorage）；安装 uBlock Origin 并启用拦截脚本。

我发现的常见技术手段（简短说明）