在闲鱼买视频会员对方发来一个链接，被骗 1000 多，怎么办？

@Ericcccccccc 也不是很恐怖，如果我点链接，不输入面容是不会被骗的，应该是潜意识按了两下关机键，苹果这点做的可以，是我自己不够小心

你自己没看，迅速付款了吧？
不可能像你说的这么简单啊。

上次也是扫咸鱼二维码直接唤起支付宝免密支付被骗

你看到了商品名称是 王者荣耀 点券,完了还 输入了 面容? 如果是这样,好像自己的问题多点

@beixiao 而且能看到付款多少的

不敢点 有没有详细点的说明过程 感觉不应该啊

@kingwrcy 没有看到王者荣耀点券和价格的，弹出来的是免密支付的权限确认

@kingwrcy 的确是自己问题。 当时小心点就好了，我买电视会员问我是苹果还是安卓的手机，原来是为了骗我 rmb

@pppouj 你的意思是，整个过程中没有金额确认的环节，那么，如果真的可以购买多份 1280 的话，那只能说，你遇到了一个良心骗子，业界楷模！这算是不幸中的万幸了。

@pppouj #67 设置-钱包-支付设置-免密支付 看一下

一层层看了回复 说白了还是刷脸支付了。。。

@pppouj #61 所以你理解的是没有输入密码就是免密支付吗， 面容支付也是验证环节，和密码一个效果

想想怎么追回吧，咸鱼投诉、微信投诉

分析一波。

1. help.wechat.com/cgi-bin/newreadtemplate?t=help_center/点击这个会跳到微信
2. 链接里面的微信没做参数校验，没过滤 urlschema ，weixin://dl/business/?ticket=xxxx ，这条会在微信里面打开任意网址
3. 这个网址应该是骗子高仿了一个什么页面骗过了 op ，通过微信的 jsapi 发起了支付。

op 应该是碰到黑产了

https://cloud.tencent.com/developer/article/1487697

原理大概是这样的，至于怎么通过骗子的网站绕过到 appstore 订阅里就很神奇了

看了半天以为现在这么牛逼一个链接直接骗钱，结果后面才说是自己刷脸了，浪费了我几分钟时间谢谢你

@shyukyo 我卡里面没有多少钱（手动狗头）

我还以为点击链接直接免密支付，结果是自己刷脸支付的，浪费时间，c

插旗，还有就是有必要买会员吗？

大概猜一下过程：

前提条件骗子发现两处可以利用的地方：

1 、在某网页（也许是苹果官方的网页）充值王者荣耀时选择使用微信支付，发现该网页唤起微信支付是利用的 URL Scheme ，这是浏览器里 H5 网页唤起 APP 通常使用的方法。
2 、OP 发的那个网页里有利用 URL Sheme 唤起微信的漏洞，即可以唤起任意 weixin 开头的 URL Scheme 。

于是，骗子生成了一个充值的 URL Scheme 并拼接上述网页地址发送给 OP ，OP 打开之后直接唤起微信支付，由于开启了人脸支付，OP 没来及的细看便下意识的触发人脸支付，Ding ～支付成功，OP 发现被骗，来到 V2EX 发帖。

楼主是否开了免密支付？面容支付？支付页面没有其他提示吗？