## 时间线
- **5.18 晚(上周六)被骗**。拷贝闲鱼卖家提供的短链接并在手机浏览器打开(当时无站外交易风险提示),自动被跳转到联通官网链接(如
https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx ) ,接着自动跳转支付宝联通免密支付&自动充协议开通弹窗([截图](
https://imgur.com/a/xb4xHm9)示意)。以为是预授权,遂确认。开通后被 A 省联通立即扣除话费 498.5 ,充值号码未知。搜索后发现相同经历诈骗案例中,受害者都是被联通扣费。当晚发帖分享。
- **5.19 (上周日)开始怀疑联通 APP**
联通 10010 投诉。A 省客服机械性重复“联通没有委托任何单位或者个人开展话费充值业务”,让找卖家、支付宝或报警。不服气,开始找证据证明联通有问题。非技术背景,用笨办法,一个个查 🤦
- **发现不符合联通自动充协议**:研究了下联通自动充协议,发现被跳过了前面必须的本人申请开通自动充的过程,也就是谁申请、谁签约(民事合同强调当事人的同一性、一致性)。
- **测试联通自动充申请开通过程,排除支付宝、微信可能性**。联通自动充理论上只有 3 个 APP 可以申请(微信、支付宝、联通 APP ;联通官网无自动充入口),测试后排除微信、支付宝([见](
https://www.v2ex.com/t/1041916#reply30) 18 楼)。
- **排除支付宝自动充的嫌疑**。搜了个公开的 A 省联通手机号码,支付宝手机话费自动充里测试,发现会在当前页面完成协议开通,且支付二次确认弹窗里会显示被充值手机号码 👍
- **排除微信自动充值的嫌疑**:微信自动充只允许微信支付。
- **排除联通 APP 产品设计/前端问题**。找本地 B 省联通营业厅工作人员帮忙测试,发现联通号码用户须使用主号才能登录联通 APP ,申请自动充并完成自动充设置后(有熟悉的 1.5 支付宝红包),会拉起支付宝 APP 联通免密支付弹窗。功能设计上,APP 登录申请后无法转发让他人签约支付。后端出什么问题了?
- 具体操作:需要同一台手机上,先登录联通 APP ,在里面申请开通话费自动充、设置要充值的手机号码、充值条件(低额充;阈值最低 20 ,充值金额最高 500 )、支付方式选择(支付宝;首次使用支付宝付款会有 1.5 元红包),然后才会自动拉起支付宝该弹窗。
- 当晚发现博主当天下午提示联通 APP 漏洞(《[我看刑,运营商高危在野业务漏洞被利用到网络诈骗](
https://mp.weixin.qq.com/s/IxEuLeLSxguWpMnnm2PBpg)》)。- **5.20 周一 复现、抓包**
- 发现非联通号码可以登录联通 APP ,随获取更多联通官网跳转链接,在好心人的帮助下,使用 stream 抓包、录屏。
- 对比联通官网链接 VS 联通 APP 各自拉起支付宝签约弹窗时的接口数据,发现关键在于联通官网 GET 请求 /cu-swcss-business-front/v1/sign/confirm/xxx 里少了非常多的信息。
- 查看支付宝文档(《[APP 支付快速接入](
https://opendocs.alipay.com/open/204/01dcc0)》、[截图示例](
https://imgur.com/a/Dbhznpv);写的好 👍),对联通服务端产生了困惑。服务器密钥泄露?后门? APP 伪造登录?懂得老哥出来讲两句。
- **5.21 周二** **官网链接 bug 被修复,但不修支付宝二维码 bug**
- [博主](
https://mp.weixin.qq.com/s/dso3szNeRtdFN8xtagBBsQ)报告联通修复官网链接 bug
- 受害人数仍在增加,方式变成了支付宝扫码
- 找更多卖家、拿到二维码继续抓包复现、录屏