支付宝远程代付被骗,想问一下是怎么死的

2015-01-07 10:11:45 +08:00
 lesswest
被骗金额 ¥1000
前提一:帮我好朋友问的,他就想知道怎么死的,钱无所谓了
前提二:我也不支持淘宝刷销量
正文开始:(据他描述)
事情发生在昨天下午,刷销量的具体流程是这样的
1. 我朋友发链接给刷单的人
2. 刷单的人浏览之后拍下来,但是不付款
3. 刷单人申请远程(剩下的就是我朋友这边操作了)
4. 我朋友去刷单人“已买到的宝贝”,点击“立即付款”,然后跳转到支付宝页面,选择“银行卡”,填写我朋友自己的“银行卡号”,选择“网上银行”支付,跳转到银行的付款页面,填写“支付账号”,填写“手机号”,填写银行发送的“验证码”,完成付款。

完成付款之后,完成的并不是我朋友的订单,所以他很淡定的告诉我被骗了,我觉得也比较有意思,所以就问了一下具体过程。

首先我认为是刷单人的 hosts文件被修改了(从支付宝跳转到银行那一步),所以请求付款我朋友订单的页面,实际上是跳转到了刷单人自己待付款订单页面,但是我给他重现了一下,发现 https页面通过修改 hosts文件是重定向不了的。

然后我又从“已买到的宝贝>立即付款”跳转到支付宝付款那一步做重定向,未果。

其次,我又想到了 DNS劫持、ARP 投毒、中间人攻击、可是我又想就是刷个单,用着这么费劲的来骗人吗?忘大神们不吝赐教,热烈讨论。
19223 次点击
所在节点    分享发现
115 条回复
kalman03
2015-01-07 22:37:46 +08:00
写错了,是买家要求卖家发货或者申请退款。
evilangel
2015-01-07 22:53:36 +08:00
键盘记录软件实时在另一台电脑显示密码和短信验证码,然后在另一电脑上操作另一订单付款不是很简单吗 ?
zjgood
2015-01-07 22:53:41 +08:00
@sunocean 为学日益,为道日损。
对于骗术的具体实施步骤我觉得还是不掌握得好。不然可能损害自己的德行。
shanxuefeng
2015-01-08 00:19:06 +08:00
会不会是这样,tb什么都正常,他是骗了那个手机验证码,在支付的时候是跳到已被hosts的网银页面,本地化很简单,手机验证码请求就是一摆设没用,提交什么都显示成功就行了,他在一旁的电脑上也进行了一次交易,你手机收到的验证码是他交易时候请求的,他大可把那些网银页面都hosts一次,你选哪个都中招。 不知道hosts对于https是不是有效未测试,如果有效找个方法最可信,没什么技术含量
herozzm
2015-01-08 00:51:59 +08:00
很简单,根本不用host,chrome安装一个插件(可以自定义修改本机html的呈现的dom内容),将骗子自己的订单显示名称换成了你朋友的订单名称,你朋友远程操作看着是自己的订单号就晕乎乎付款了!

我以前就这样干过,网上下载了一个oa系统给人演示,但是该系统加密的,无法修改版权和logo什么的,自己写了一个chrome即可更换所有内容!
herozzm
2015-01-08 00:52:44 +08:00
注:注明插件Tampermonkey就可以实现
herozzm
2015-01-08 00:54:46 +08:00
不好意思,没看到lz后面不错的IE浏览器,我赞同102楼所言
lesswest
2015-01-08 07:15:10 +08:00
@evilangel 这样应该收到两次验证码的
@shanxuefeng 我已经说了、不管用
lesswest
2015-01-08 07:17:27 +08:00
@kalman03 订单状态未完成、付款了一个不知道订单号的别的订单、还分析、无语了
shanxuefeng
2015-01-08 08:29:07 +08:00
@lesswest 为什么不可以?本地需要开443 https才会有效
lesswest
2015-01-08 08:42:26 +08:00
@shanxuefeng 你试一下就知道了啊、我自己试验过了
SharkIng
2015-01-08 09:42:34 +08:00
你在别人电脑上用网银还能安全么?即使那个人不收拾你,你能确保他的电脑上没有病毒么?
breeswish
2015-01-08 10:11:01 +08:00
@lesswest https 跟 host 没有关系的,我经常 127.0.0.1 自己的 https 服务器用作本地调试,我猜你是测试的时候没有清空 DNS 缓存

绿色锁的话可以自己签发一个证书然后信任根就可以了
EV SSL 好像自己签发不了,反正我在 Chrome 上折腾的总是失败
breeswish
2015-01-08 10:16:46 +08:00
如果我是骗子,就建一个反向代理服务器然后修改流量,可以用 nginx 模块也可以用 nodejs + 现成模块几行撸一个出来,再加上 host 或者本地 DNS 解析到本地 IP。优点代码少、不需要插件,应该是完全无缝的。
lesswest
2015-01-08 10:19:02 +08:00
@breeswish 嗯嗯,我找找资料看下

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/159891

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX