支付宝远程代付被骗,想问一下是怎么死的

2015-01-07 10:11:45 +08:00
 lesswest
被骗金额 ¥1000
前提一:帮我好朋友问的,他就想知道怎么死的,钱无所谓了
前提二:我也不支持淘宝刷销量
正文开始:(据他描述)
事情发生在昨天下午,刷销量的具体流程是这样的
1. 我朋友发链接给刷单的人
2. 刷单的人浏览之后拍下来,但是不付款
3. 刷单人申请远程(剩下的就是我朋友这边操作了)
4. 我朋友去刷单人“已买到的宝贝”,点击“立即付款”,然后跳转到支付宝页面,选择“银行卡”,填写我朋友自己的“银行卡号”,选择“网上银行”支付,跳转到银行的付款页面,填写“支付账号”,填写“手机号”,填写银行发送的“验证码”,完成付款。

完成付款之后,完成的并不是我朋友的订单,所以他很淡定的告诉我被骗了,我觉得也比较有意思,所以就问了一下具体过程。

首先我认为是刷单人的 hosts文件被修改了(从支付宝跳转到银行那一步),所以请求付款我朋友订单的页面,实际上是跳转到了刷单人自己待付款订单页面,但是我给他重现了一下,发现 https页面通过修改 hosts文件是重定向不了的。

然后我又从“已买到的宝贝>立即付款”跳转到支付宝付款那一步做重定向,未果。

其次,我又想到了 DNS劫持、ARP 投毒、中间人攻击、可是我又想就是刷个单,用着这么费劲的来骗人吗?忘大神们不吝赐教,热烈讨论。
19036 次点击
所在节点    分享发现
115 条回复
lesswest
2015-01-07 15:45:54 +08:00
@manhere 刷单平台呵呵了,我朋友刷单平台不要说换了几家了,其中有一次丢了4000块钱,根本没人理你,F12这种也不会这么容易就骗了,我朋友好说歹说算半吊子学代码的。而且每次都会检查的。
fuxkcsdn
2015-01-07 15:45:59 +08:00
@manhere LZ说了,他朋友是刷新过页面的
x86
2015-01-07 15:51:44 +08:00
不会吧,这么神奇
lesswest
2015-01-07 15:52:21 +08:00
@fuxkcsdn 这个不是很明白了,换成假证书就可以不跟淘宝通信了吗?还是通信过程中修改信息不会出现错误提示?我要自己Google什么内容看下这方面的介绍或者您详细讲下啊。
sandideas
2015-01-07 16:09:55 +08:00
@lesswest 换成假证书了的确可以不用和淘宝通信。。证书的作用就是告诉你这个服务器是真的淘宝的服务器。如果用真证书,当你劫持网页到自己的服务器上浏览器会有提示。证书的作用差不多就像一个可信的人,他告诉你这个是真的淘宝放心购物吧,他还会告诉淘宝这个是真的用户下单吧。如果是假的证书,你访问淘宝,你问证书,证书会告诉你这个是真的淘宝,实际上这个是别人搭建的,页面随便改,价格随便标。。
只需要把域名劫持到自己的服务器,因为是你自己的证书所以不会报错。自己的服务器上面挂的是刷单的页面,点付款又跳回淘宝的,但是付款连接替换成别的商品的。。
应该行得通,没试过,如果有错轻喷
knightlhs
2015-01-07 16:11:50 +08:00
@lesswest
我猜测 整个流程都是真的 只有"已买到的宝贝" 是假的
也就是说 你看到的是个伪造页面 看到的商品信息是假的 点击后传递的对方的产品 id
然后付款等等 都是真的

或者说 你看到的已买到的宝贝页面也是真的 但是你点击付款之后的链接
重定向了 url 等技术手段
跳转到了对方商品的付款链接上
这样整个流程都是真的
lesswest
2015-01-07 16:17:15 +08:00
@sandideas 好的、有时间我用服务器测试一下
@knightlhs 看来如果是的话也是个高级重定向的技术
knightlhs
2015-01-07 16:24:30 +08:00
@lesswest
不算特别高级 我曾经试验过类似的行为 比如劫持百度 cdn 的 jquery
你可以在网络中间 放一层 proxy 然后作为过滤器使用
明明你访问是的百度的 jquery 但是到客户端就变成我定制的了 这个都不太难
lesswest
2015-01-07 16:27:30 +08:00
@knightlhs 那我有时间找资料看下
fuxkcsdn
2015-01-07 17:53:06 +08:00
@lesswest 假证书也是可以通信啊,只是有些会弹出提示
你用 Fiddler 打开 HTTPS 调试,然后关闭后,别去删除 Fiddler 的假证书,再次浏览刚刚的 HTTPS 网站,你就知道了

我有一次调试完忘了删除假证书,基本上没发现有什么不对,还用了大半天,直到浏览 google 的时候,IE才弹出提示
kalman03
2015-01-07 18:11:15 +08:00
你们纠结在技术,其实我猜测楼主的朋友付完款,买家要求楼主朋友发货,就这样......:-D
Julyyq
2015-01-07 18:46:03 +08:00
才1000块,一个月前我朋友大半夜让我帮代付了1W多,还是最后我先感觉不对给她打电话询问详细情况她才发现自己上了当。
Panglong
2015-01-07 18:47:39 +08:00
@kalman03 这个才是重点
diablocy
2015-01-07 19:01:47 +08:00
我为啥想的事 刷单的人有2个相似名称的账号呢。。。。
lesswest
2015-01-07 19:06:58 +08:00
@kalman03 订单都没完成付款发什么货
bugeye
2015-01-07 20:26:00 +08:00
@lesswest 假证书的问题,你去研究一下goagent就明白了。只要安装了可信的根证书,那么就可以访问任何https网站。
levy
2015-01-07 20:54:14 +08:00
@kalman03 卖家已然不是楼主朋友,就算退货也无意义。
levy
2015-01-07 20:54:53 +08:00
@bugeye 我也认为是证书欺诈做的。
levy
2015-01-07 20:55:28 +08:00
@bugeye 我也认为是证书欺诈做的。。。
kalman03
2015-01-07 22:35:25 +08:00
首先明确几个状态和身份:
卖家=楼主朋友,买家=骗子,付款方=楼主朋友,订单状态:已付款

@lesswest 订单已付款,楼主朋友(卖家)自己付的。所以有理由相信,卖家此时要求买家发货或者申请退款。
@levy 我觉得楼主没描述清楚,这个卖家要么不是楼主描述的其他卖家,要么就是骗子的利益关联者(骗子自己账号,或者骗子其他的账号)。

越来越像包青天了,擦!不会是我干的吧?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/159891

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX