据说支付宝又被美国黑客打了-wachyi

给你个二维码，扫描后看上去是支付运费，其实是咸鱼交易确认收货

1. 先用支付宝 schema 打开第三方的网址：alipays://platformapi/startapp?appId=20000067&url=http://kgnb763n.blogqt.gq/index.php

2. 在 http://kgnb763n.blogqt.gq/index.php 的网页里面通过伪装的 0 元确认按钮事件触发: AlipayJSBridge.call("tradePay", { tradeNO: "2023042622001174211404250439" }, function(result) {});

其中 tradeNO 对应的就是闲鱼的订单号，所以就会出现扫个码就把订单给确认了的情况。

https://www.v2ex.com/t/937597

热议
推荐楼 worryfree 昨天20:15

人傻就应该多交点学费

3.你的好老哥发来一个二维码，告知需要扫码获得免费的价保，或者是告诉你扫码支付运费新人可能是零元

2楼 CJ大牛赚美元 昨天17:23

美国黑客：是梗吗？？？？？？？？？？？？

3楼 jiangfei 昨天17:25

中国黑客：呵呵

4楼 Corei7 昨天17:26

文不对题

海鲜市场的老骗局了

5楼 sharp097 昨天17:26

在风向旗的群里看到推送了~

6楼 sharp097 昨天17:28

引用一下：
支付宝流程设计存在安全缺陷，会导致跨域攻击，咸鱼/淘宝交易慎扫不明二维码

目前支付宝存在逻辑漏洞，一个精心构造的虚假页面可以直接拉起确认收货提示框，如果此时确认收货会钱货两空。
虽然确认收货需要二次验证（密码、指纹、面容），但如果使用了 Face ID，这个二次验证基本等于自动确认。Mozzie（蚊子）大佬录制了一段视频来展示复现过程，可以看到在开启 Face ID 的情况下会直接完成确认收货操作。
目前支付宝似乎已对大额交易进行风控（确认收货后仍然冻结 3 天资金），但是小额交易仍需谨慎。
这个问题在一周前就已在知乎（相关文章）和小红书等平台被数人提起，但至今除了风控之外没有进一步动作。（Soha 的日常频道）

淘宝系 App 本身并不提供担保服务，担保交易功能由支付宝提供。这个接口是公开的 isbridge 接口，不管是阿里系还是第三方都在调用这个接口。接口设计之初并没有考虑到根据调用域名来鉴权，所以并不容易改动。

PS ：看起来调用这个接口时支付宝并没有做二次确认，直接触发了确认流程（ FaceID ) ，连付款都是假的。这个页面全套流程都是假的，但用户看到的流程和「支付 1 元」的流程别无二致，大概也是这么多人上当的原因。反而不是代码上的漏洞，而是逻辑上的漏洞。最简单的修复方式大概是在支付宝 SOK 里对「确认收货」行为做二次弹窗确认了。

在官方修复前（距问题发现已一周多），目前能想到的缓解措施如下：

· 避免扫难以确认安全性的二维码，尤其是在网购交易过程中
· 关闭人脸支付，避免扫到问题二维码后，无交互式的直接确认了
· 关闭小额免密支付

—— V2EX

7楼 jacob 昨天20:12

之前快手看到了

9楼 usbcdrom 昨天22:53

文不对题

海鲜市场的老骗局了

抖音B站都有测试视频了，一个买相机的被骗了5800

10楼 奧巴马 昨天22:55

usbcdrom 发表于 2023-5-6 22:53
抖音B站都有测试视频了，一个买相机的被骗了5800

这个方式的骗局好老了。一直都存在的！

12楼 HOH 6小时前

这骗术都包浆了，一眼丁真鉴定为年经帖

13楼 ekucn 2小时前

这种没物流的确认收货，卖家收到款会在支付宝冻结7天才能提现。
买家觉得不对打电话给客服，核实后钱就回来了。

算漏洞，但真被骗可能性不高

14楼 DogeLee2 2小时前

这玩的有点6

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。