全球工单 分享一个新的骗钱手段:利用“闲鱼-支付宝”的某些规则

2023-05-05 16:34:17 +08:00
ivanor  ivanor
具体的原理,知乎上这篇文章应该说的比较清楚
https://zhuanlan.zhihu.com/p/625230704

闲鱼新骗局,大家闲鱼捡漏一定注意,不要被骗了,必看,必看,必看完,说三遍。

1.卖家挂的商品属于真香价格,吸引你购买,并且要求到付

2.你拍下之后和你正常友好沟通,你觉得卖家是个好老哥

3.你的好老哥发来一个二维码,告知需要扫码获得免费的价保,或者是告诉你扫码支付运费新人可能是零元

4.你扫码之后发现是闲鱼链接到支付宝的页面,看起来很正规,于是放松警惕点击立即支付。

5.你支付之后,你会发现你刚拍下的商品已确认收货,吃了个大亏,叫天不应叫地不灵,回群里被大家当成笑柄。


总结:闲鱼卖家发一个让你支付运费或者保价的码,大家都别扫,扫了就直接确认收货被骗,大家眼睛擦亮一点。

https://bbs.nga.cn/read.php?&tid=36187186
10282 次点击
所在节点   分享发现  分享发现
88 条回复
x86
x86
2023-05-05 19:10:03 +08:00
只能说黑产太用心啦。。。
joesonw
joesonw
2023-05-05 19:26:11 +08:00
@SachinBeyond 一般都是收的全套,身份证+银行卡。
retanoj
retanoj
2023-05-05 19:30:09 +08:00
支付宝 APP 漏洞啊
vsitebon
vsitebon
2023-05-05 19:46:05 +08:00
这个 BUG 很恶性啊
ouqihang
ouqihang
2023-05-05 19:53:49 +08:00
这个漏洞听说有段时间了,现在还没修好。
systemcall
systemcall
2023-05-05 20:04:04 +08:00
杰克马的东西有这些毛病不奇怪,毕竟技术力宇宙第一
你可以见到自家的许多程序里面的页面,因为触发了自家的一些安全规则,导致无法正常使用,你也可以见到各种提权和权限滥用,你还可以见到见缝插针地弹广告的同时关键消息都能漏
Lentin
Lentin
2023-05-05 20:06:07 +08:00
@ouqihang 恐怕是有人故意不去修🐶
coolair
coolair
2023-05-05 20:20:13 +08:00
所以,在设计时是不是应该把买家订单号和卖家订单号分开来生成,生成两个不一样的订单号,或者一个订单号使用不同的加密规则给买家和卖家分别加密,然后显示不一样。
QKgf555H87Fp0cth
QKgf555H87Fp0cth
2023-05-05 20:24:13 +08:00
hook 0 级别的漏洞了。
sillydaddy
sillydaddy
2023-05-05 20:35:59 +08:00
@coolcoffee #18 >“。。匿名调用订单核心操作,这个锅得让支付宝来背。。”
@cyansto

你们能相信支付宝有「确认订单完成」的接口或功能吗?支付页面肯定要显示支付金额的,我没有见过只输入支付密码的而没有交易金额显示的,想想也不符合实际场景啊。所以,我觉得应该不是支付宝的问题。而是闲鱼的 bug 。

“确认收货”这个肯定不是支付宝能够做出的动作。这一点成立的话,那么无论支付宝作出什么动作,闲鱼都不应该确认交易完成,并给卖家放款,因为确认交易完成只能买家在闲鱼 App 里面才能触发。
Wishprophet
Wishprophet
2023-05-05 20:37:49 +08:00
支付宝追回难度有多大
yokisama
yokisama
2023-05-05 21:50:13 +08:00
@Wishprophet 难度很大,进了支付宝然后就转出国了,骗子支付宝大都是买的
est
est
2023-05-05 22:10:43 +08:00
大厂的 qa 和攻防团队应该外包给黑产。
k0140146498
k0140146498
2023-05-05 22:13:25 +08:00
两个月前就在🐔安看到了,居然还没修复
Rache1
Rache1
2023-05-05 22:21:10 +08:00
一两个月以前就看到这个问题了,然后这两天还看到有人因为这个中招,某些大厂还是有些水平。

阿里家还有去年三无公社还爆出来一个天猫的利用自定义优惠券虚假详情页可以直接下单欺骗消费者的问题,而天猫那边却也还没解决。

我其他的视频你可以不看,但这视频你得把他看完_哔哩哔哩_bilibili
https://www.bilibili.com/video/BV1514y1w74b/

120 万人看过的电商平台漏洞,貌似堵不上了...._哔哩哔哩_bilibili
https://www.bilibili.com/video/BV1oV4y1D7ng/
dcsite
2023-05-06 00:21:27 +08:00
这就是我一直不用阿里系的原因……

/t/333527

2017 年我发现支付宝只需知道银行卡和手机号,即可改密码并登录,就彻底对这家公司失去信任了
fydpfg
2023-05-06 00:47:25 +08:00
@abelyao @killva4624 @8355 @paradoxs 稍微了解一些 web 安全的人都知道,在现代浏览器的安全模型下,用户就是可以随便打开不信任的链接的,这并不是用户的问题。如果打开不信任的链接就可以对其他网站产生不好的副作用,那么要么是浏览器的 0day ,要么是其他网站的 0day 。

「不要点击陌生链接、不要打开陌生短信 /邮件」是一种一刀切的说法,基于的假设是很多用户完全没有鉴别 URL 中域名的能力,或者这些用户会被钓鱼从而自己主动输入其他网站的密码 /密钥、直接运行下载的可执行文件等等。

对于了解一些计算机安全知识的人来说,点开不信任的链接 /扫描不信任的二维码本身并不是一件应该批评的事情。

即使二维码指向的域名是可信的,打开之后也完全可能直接自动跳转到不可信的域名。web 的安全性从设计上就不是由用户自己确保别打开不信任的网站来保证的。

另外,各种安全措施如加密、签名校验也不是越多就越好、越少就越不安全。这完全取决于应用的安全模型,有经验的开发者会正确使用密码学来保证协议的安全性。
xmumiffy
2023-05-06 00:54:51 +08:00
@Rache1 这个厉害了
mercury233
2023-05-06 06:34:44 +08:00
@fydpfg 但支付宝不是浏览器,无论是用户还是阿里都没有把支付宝当成浏览器的意思
feejson
2023-05-06 07:43:55 +08:00
蹲一个后续,望有缘人踢我🙂

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/937597

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX