自假期開(kāi)始就有用戶(hù)在知乎以及小紅書(shū)等平臺(tái)分享自己在閑魚(yú)上購(gòu)買(mǎi)商品時(shí)被賣(mài)家利用保價(jià)進(jìn)行詐騙的支付置瀏經(jīng)歷。
最初受害者多數(shù)是寶內(nèi)被用在閑魚(yú)上購(gòu)買(mǎi)破解軟件和源代碼的用戶(hù),而現(xiàn)在已經(jīng)有更多詐騙者利用這種手法進(jìn)行欺詐。覽器藍(lán)點(diǎn)昆明外圍預(yù)約(外圍上門(mén))外圍外圍上門(mén)外圍女(微信181-8279-1445)一二線(xiàn)城市外圍預(yù)約、空姐、模特、留學(xué)生、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源
從網(wǎng)友分享的于詐魚(yú)進(jìn)易被騙經(jīng)歷來(lái)看主要問(wèn)題來(lái)自支付寶,盡管不算是騙閑安全漏洞,但支付寶的行交邏輯處理被詐騙者利用。
而關(guān)鍵環(huán)節(jié)就是請(qǐng)勿買(mǎi)家輕信詐騙者發(fā)送的二維碼,所以在這里也提醒大家,進(jìn)行不要看到二維碼就掃很可能有大坑。任何
詐騙者大概的掃碼操作流程:
大家在小黃魚(yú)上交易主要看中的就是平臺(tái)提供擔(dān)保交易,即買(mǎi)家收到貨后檢查無(wú)誤確認(rèn)收貨后賣(mài)家才能收錢(qián)。支付置瀏昆明外圍預(yù)約(外圍上門(mén))外圍外圍上門(mén)外圍女(微信181-8279-1445)一二線(xiàn)城市外圍預(yù)約、空姐、模特、留學(xué)生、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源
也正是寶內(nèi)被用如此一旦用戶(hù)確認(rèn)收貨那就視為商品無(wú)誤交易完成,此時(shí)平臺(tái)向賣(mài)家放款如有問(wèn)題再申訴也難以處理。覽器藍(lán)點(diǎn)
詐騙者利用自建網(wǎng)站偽造所謂的于詐魚(yú)進(jìn)易閑魚(yú)尊享寄,0元可獲得10,騙閑000元保價(jià),正常情況下買(mǎi)家肯定愿意領(lǐng)取保價(jià)。
所以在賣(mài)家發(fā)來(lái)二維碼時(shí)很容易輕信描述而掃碼并使用支付寶打開(kāi) ,接著就是按頁(yè)面提示操作支付1元運(yùn)費(fèi)。
問(wèn)題就在于這個(gè)所謂的保價(jià)頁(yè)面是偽造的,當(dāng)用戶(hù)輸入密碼進(jìn)行支付時(shí)實(shí)際網(wǎng)頁(yè)調(diào)用的是咸魚(yú)確認(rèn)收貨功能。
因此買(mǎi)家在沒(méi)有收到貨或存在問(wèn)題的情況下就會(huì)確認(rèn)收貨,此時(shí)平臺(tái)向詐騙者打款,隨后詐騙者將用戶(hù)拉黑。
黑鍋得支付寶背:
這個(gè)問(wèn)題并不算是什么嚴(yán)重漏洞,但是這段時(shí)間被詐騙的用戶(hù)應(yīng)該大量增加,已經(jīng)有用戶(hù)向當(dāng)?shù)嘏沙鏊鶊?bào)警。
那黑鍋該誰(shuí)被呢?該支付寶背,因?yàn)閷?shí)際這就是支付寶內(nèi)置瀏覽器和相關(guān)業(yè)務(wù)接口沒(méi)有進(jìn)行校驗(yàn)導(dǎo)致的問(wèn)題。
按理說(shuō)無(wú)論是淘寶、天貓還是閑魚(yú)這類(lèi)平臺(tái)調(diào)用支付寶確認(rèn)收貨時(shí),支付寶都應(yīng)該校驗(yàn)頁(yè)面域名放行白名單。
而支付寶本身內(nèi)置瀏覽組件,如果不校驗(yàn)白名單用戶(hù)使用支付寶打開(kāi)釣魚(yú)網(wǎng)站,實(shí)際上難以分辨頁(yè)面的真假。
目前支付寶似乎也已經(jīng)發(fā)現(xiàn)這個(gè)問(wèn)題 ,但只是對(duì)滿(mǎn)1000元的交易進(jìn)行二次確認(rèn),低于1000元沒(méi)有二次確認(rèn)。
這種處理方式顯然還是不夠的,建議支付寶還是老老實(shí)實(shí)對(duì)接口進(jìn)行鑒權(quán),同時(shí)為內(nèi)置瀏覽器掛上安全提示。