支付宝远程代付被骗,想问一下是怎么死的

2015-01-07 10:11:45 +08:00
 lesswest
被骗金额 ¥1000
前提一:帮我好朋友问的,他就想知道怎么死的,钱无所谓了
前提二:我也不支持淘宝刷销量
正文开始:(据他描述)
事情发生在昨天下午,刷销量的具体流程是这样的
1. 我朋友发链接给刷单的人
2. 刷单的人浏览之后拍下来,但是不付款
3. 刷单人申请远程(剩下的就是我朋友这边操作了)
4. 我朋友去刷单人“已买到的宝贝”,点击“立即付款”,然后跳转到支付宝页面,选择“银行卡”,填写我朋友自己的“银行卡号”,选择“网上银行”支付,跳转到银行的付款页面,填写“支付账号”,填写“手机号”,填写银行发送的“验证码”,完成付款。

完成付款之后,完成的并不是我朋友的订单,所以他很淡定的告诉我被骗了,我觉得也比较有意思,所以就问了一下具体过程。

首先我认为是刷单人的 hosts文件被修改了(从支付宝跳转到银行那一步),所以请求付款我朋友订单的页面,实际上是跳转到了刷单人自己待付款订单页面,但是我给他重现了一下,发现 https页面通过修改 hosts文件是重定向不了的。

然后我又从“已买到的宝贝>立即付款”跳转到支付宝付款那一步做重定向,未果。

其次,我又想到了 DNS劫持、ARP 投毒、中间人攻击、可是我又想就是刷个单,用着这么费劲的来骗人吗?忘大神们不吝赐教,热烈讨论。
19033 次点击
所在节点    分享发现
115 条回复
typcn
2015-01-07 13:09:29 +08:00
HTTPS 也是可以轻易劫持的,他只需要在本机生成一个淘宝各种域名的证书,然后自己信任,就完了。

甚至 Fiddler 有自动签发并信任证书,自动替换封包为指定内容的功能。

淘宝不买带绿色地址栏的证书,没办法,小白去哪看出来。
lesswest
2015-01-07 13:14:00 +08:00
@cjjia 这样太明显了
@imn1 这样只会损失一次,没有后续影响
@woyao 没有
@typcn 这个我还不会,没法重现了
mjar
2015-01-07 13:24:43 +08:00
瞎想:骗子有淘宝店,发布一件标题和主图跟你朋友的一模一样的,然后拍,你朋友没注意看卖家不是自己就付款了。
感觉这样实现简单些。
lesswest
2015-01-07 13:28:36 +08:00
@mjar 不是这样的啦,我朋友会仔细看的
bugeye
2015-01-07 13:38:13 +08:00
@lesswest 不需要写插件,只要往淘宝的页面里插段JS就可以了。至于怎么插,可以是路由器上插,可以是本地代理插,JS脚本只要改掉订单号,你朋友基本上就不可能识别出来。
mjar
2015-01-07 13:58:51 +08:00
@lesswest 但“已买到的”那个页面的文本是可以随意更改的啊
aiwha
2015-01-07 14:03:40 +08:00
淘宝的水好深。。。。
jmu
2015-01-07 14:17:54 +08:00
这哪是骗, 明显是送吧。
远程付款 想都不敢想
woyao
2015-01-07 14:25:34 +08:00
@lesswest 看明白了。是你的朋友,远程到刷单人的机器上付款。实际上刷单人的机器上存在劫持木马。
sunocean
2015-01-07 14:33:32 +08:00
@alp 怎么取消分享了?像刀一样心术正的人看了以后学会防备用来自卫,心术不正的人拿去为恶。我相信世界上还是善良的占大多数。任何骗术有效公开以后,结果都是骗术失效,而不是被骗的增加。
lesswest
2015-01-07 14:42:21 +08:00
@woyao yep
ooxxcc
2015-01-07 14:46:01 +08:00
其实对方申请退款,钱不就到对方账户了
7
2015-01-07 14:56:39 +08:00
我也是这样被骗了啊 对方的电脑很卡 我操作很费劲 据说是对方故意整的那么卡 好方便快速切屏,具体没有研究了 ,吃一堑长一智吧。
lcxz
2015-01-07 14:59:21 +08:00
有没有卡一下的情况出现
lesswest
2015-01-07 15:07:30 +08:00
@7 额,原来有先人

@lcxz 没有的
knightlhs
2015-01-07 15:16:50 +08:00
机器在对方手里 基本没有任何可信内容 这种上当的场景太小儿科了……
别说你看到的只是远程的截图 就算接触到物理机器 做点小手脚也是很容易的事情

第一、对方的设备是不可信的,你不知道是否做了手脚
第二、远程操作不可信,你并不知道你是不是操作的对方电脑 还是点击的图片
第三、内容不可信,你看到的内容是基于第二(远程得来的)

以上 风险概率 99.9% 还能认可付款 那只有付学习成本了
fuxkcsdn
2015-01-07 15:34:09 +08:00
@lesswest
下载 Fiddler,然后打开HTTPS调试,会出现UAC提示,确定后,随便浏览任何的HTTPS网站,Fiddler 都会自动帮你生成假证书...最后关闭 Fiddler 就得了

有了假证书还怕 HTTPS 搞不定?

以后自己要用的话,只要打开 certmgr.msc 删除掉 Fiddler 的证书就行了,颁发者名称“DO_NOT_TRUST_FiddlerRoot”

P.S. Fiddler 这个功能是为了调试 HTTPS 网页用的,可不是让人用来骗人的啊
lesswest
2015-01-07 15:39:53 +08:00
@fuxkcsdn 我知道有这么一个功能的,我也知道这样可以的,但是刷单那个人应该是别的方法,因为用这种发发的话还是要判断哪个银行的哪个订单的
manhere
2015-01-07 15:41:26 +08:00
没经验就别学人家刷单了。真正的刷单平台,如果出了这事,你是可以举报给平台,然后这个欺诈买家所在的一整条利益链都会被惩罚。自己组织来路不明的人刷单,自跳火坑。刷单界每10个人就有9个骗子。
楼上个位分析一堆,其实这个很简单:买家自己开个店铺上架相同的商品拍下,F12编辑下卖家名就行了,没经验的刷单卖家直接点付款,根本不会去看支付宝那个页面的信息。
fuxkcsdn
2015-01-07 15:43:54 +08:00
@lesswest 对方只需要弄假的淘宝、支付宝证书就得了啊...
银行根本就不需要,银行页面之会显示你这次的消费金额和交易流水号...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/159891

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX