全球工单 分享一个新的骗钱手段:利用“闲鱼-支付宝”的某些规则

2023-05-05 16:34:17 +08:00
 ivanor
具体的原理,知乎上这篇文章应该说的比较清楚
https://zhuanlan.zhihu.com/p/625230704

闲鱼新骗局,大家闲鱼捡漏一定注意,不要被骗了,必看,必看,必看完,说三遍。

1.卖家挂的商品属于真香价格,吸引你购买,并且要求到付

2.你拍下之后和你正常友好沟通,你觉得卖家是个好老哥

3.你的好老哥发来一个二维码,告知需要扫码获得免费的价保,或者是告诉你扫码支付运费新人可能是零元

4.你扫码之后发现是闲鱼链接到支付宝的页面,看起来很正规,于是放松警惕点击立即支付。

5.你支付之后,你会发现你刚拍下的商品已确认收货,吃了个大亏,叫天不应叫地不灵,回群里被大家当成笑柄。


总结:闲鱼卖家发一个让你支付运费或者保价的码,大家都别扫,扫了就直接确认收货被骗,大家眼睛擦亮一点。

https://bbs.nga.cn/read.php?&tid=36187186
10256 次点击
所在节点    分享发现
88 条回复
abelyao
2023-05-05 17:50:18 +08:00
第三步就不对劲了,二维码 = 链接,怎么可能随便就扫
killva4624
2023-05-05 17:55:57 +08:00
这个算 APP 的锅吧,封闭但安全措施又没完全做好。
如果显示 URL 的话,看到奇怪的域名就不会往下点了...
8355
2023-05-05 17:58:09 +08:00
现在移动互联网了 cookie 都不用偷 他们自己就操作了。。。。
qsnow6
2023-05-05 18:10:08 +08:00
这也行🙀
sillydaddy
2023-05-05 18:11:28 +08:00
原理没看懂:
「也就是说,如果你在闲鱼下单之后,再使用你的支付宝账号向这笔订单付款,就会将这笔订单的状态自动变成确认收货状态,从而骗子可以收到款项」

我来理理这是什么逻辑。比如一笔订单 10000 元,我是买家,卖家有一个支付宝交易号(可能只在这笔订单中有效)用来收钱。如果我向这个支付宝交易号付款哪怕只有 1 元,订单就算是确认收货了。然后 10000 元就打给卖家了。是这个逻辑吗?可怕啊。
tomczhen
2023-05-05 18:14:24 +08:00
我觉得更像 xss ,不过因为移动端扫码,之前浏览器上那些防御措施缺失了。

要说这个支付宝也有锅,毕竟界面和操作意图不一致,也能正常过。
coolcoffee
2023-05-05 18:19:29 +08:00
省流:

1. 先用支付宝 schema 打开第三方的网址:alipays://platformapi/startapp?appId=20000067&url=http://kgnb763n.blogqt.gq/index.php

2. 在 http://kgnb763n.blogqt.gq/index.php 的网页里面通过伪装的 0 元确认按钮事件触发: AlipayJSBridge.call("tradePay", { tradeNO: "2023042622001174211404250439" }, function(result) {});

其中 tradeNO 对应的就是闲鱼的订单号,所以就会出现扫个码就把订单给确认了的情况。


节选自: https://zhuanlan.zhihu.com/p/625230704
coolcoffee
2023-05-05 18:23:16 +08:00
简要分析一下就是 alipays://绕开了闲鱼的外链警告,其次支付宝打开第三方的网址也不像微信一样有非常严格的限制,最后就是调用 AlipayJSBridge.call("tradePay")这类核心接口之前居然不用鉴权之类的。

我以前还挺烦微信支付的各种域名、路径以及签名之类的校验的,现在看来这个还是有必要的。
functioncloud
2023-05-05 18:24:10 +08:00
@sillydaddy #5 没有向交易号支付 1 元这种情况。扫码的打开的支付页,就是需要填写支付密码的确认收货的支付页,骗子获取确认收货的交易号就可以构造这样的链接骗你确认
SachinBeyond
2023-05-05 18:27:19 +08:00
楼主建议你们(被骗的人联合起来建群) 大家都 换个 咸鱼账号 再次 让自己被骗个万把块钱,争取吧对方 送进局子好好蹲几年
sillydaddy
2023-05-05 18:27:31 +08:00
@coolcoffee #7
关键在于,为什么 AlipayJSBridge.call 可以将订单设置为已收货状态?这才是关键的漏洞。
cyansto
2023-05-05 18:28:19 +08:00
捋一下;
1 、打开支付宝 app ,调用支付宝的浏览器打开支付页面
2 、中间的支付页面是有问题的,做出一个闲鱼跳到支付宝的页面 http://kgnb763n.blogqt.gq/index.php
3 、当你点击支付的时候,支付的订单号是咸鱼的支付交易号,不是随机生成的订单号,
你以为是支付,其实是确认收货的验证支付
sillydaddy
2023-05-05 18:29:59 +08:00
@functioncloud #9
可以看介绍骗局的里面提到的:「这个二维码通过闲鱼扫描之后会跳转到支付宝,支付宝支付一元之后,闲鱼突然自动收货了,此时骗子收到钱了之后把我拉黑了。」
确实只支付了一元啊。
sillydaddy
2023-05-05 18:32:01 +08:00
@functioncloud
如果是对闲鱼订单的支付,那么支付宝的支付页,显示的就是实际金额吧。
cyansto
2023-05-05 18:32:15 +08:00
@sillydaddy
以为支付了一元,查看账单应该是没有交易记录的
paradoxs
2023-05-05 18:36:45 +08:00
给大家省流:

1 、 遇到陌生的二维码, 不应该去扫。

2 、 虽然他扫这个码 这个操作值得批评。 但即便如此, 扫码之后 不应该变成“确认收货” 这个结果。



总结 : 这是闲鱼和支付宝的漏洞, 个人认为,算是 BUG 吧。
mxT52CRuqR6o5
2023-05-05 18:40:16 +08:00
这属于是 P0 级的漏洞了
coolcoffee
2023-05-05 18:43:05 +08:00
@sillydaddy 是的。出现第三方网址都能匿名调用订单核心操作,这个锅得让支付宝来背。

像微信是在支付订单的时候是会校验 H5 的域名和路径的,任意一项不符合都没法继续。
joesonw
2023-05-05 18:55:36 +08:00
@SachinBeyond 干这个的你觉得他会用自己的身份信息?
SachinBeyond
2023-05-05 19:00:30 +08:00
@joesonw 有流水还能跑得了?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/937597

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX