在X/Twitter 上，如果網站已經按照開發者規範要求在網頁原始碼中添加了標頭等數據，則這個網站的任何地址發佈到X 上時，都會額外顯示網站域名以及圖片等數據。要實現此功能X 的爬蟲需要在用戶發佈內容時第一時間對目標鏈接進行抓取，如果抓取無法那就可以顯示完整信息，並且後續變更後已經被抓取的數據也不會變更。

於是這就產生了一個安全問題：有詐騙者在X 上冒充知名新聞網站福布斯發布加密貨幣相關的內容，吸引幣圈用戶加入他們的社群，然後操作一些垃圾幣來收割。

從下圖中我們可以看到這種惡意利用的流程：

詐騙者在伺服器上進行了HTTP 302 暫時重定向，當偵測到不同的UserAgent 時，可以傳回不同的臨時重定向位址。

其中第一個測試截圖是不使用任何瀏覽器UA 的情況下，模擬X 爬蟲系統進行抓取(實際上X 有爬蟲，叫做TwitterBot，但沒有其他UA 信息，見結尾附註1)，此時詐騙網站沒有偵測到有效的瀏覽器UA，於是返回了福布斯網站的一個連結。

於是X 會在推文發布後將其標註為來自福布斯網站。

第二個測試截圖在附帶瀏覽器UA 的情況下，可以看到這個詐騙網站回傳了他們的目標地址，那就是那個社群。

而用戶正常點擊連結那肯定是附帶瀏覽器UA 資訊的，所以實際上點擊都是返回社群地址，第一種情況只是用來迷惑X 的爬蟲。

值得注意的是，這種情況並不是現在才發生的，至少從去年8 月開始已經有詐騙者使用這種方法進行釣魚，不過至今X 也沒有解決這類問題。

附註1：

X/Twitter 爬蟲的完整資訊：TwitterBot/1.0