这是一个创建于 305 天前的主题,其中的信息可能已经有所发展或是发生改变。
声明:保真保熟。已经不报希望能把钱拿回来。帽子叔叔给个报案回执打发走,某东客服装死。
省流:亏了 1300+,当破财消灾
故事背景:
手机:某为 mate50
系统:某蒙 5.10.136-gc372c1eb3e42
APP: 某东
10 号早上起床发现信用卡有消费推送。交易是某东产生的,发生时间是 10 号 1 点 48 分。看订单列表,没有发现异常。但是钱包显示确实支付了三笔订单。遂去订单回收站查看,果然发现了几笔异常订单。成功支付了 3 笔,取消了 4 笔。分别是三家不同的商家,都是游戏的兑换码。一笔是 300+,白条免密支付。另外两笔 300+和 600+是密码支付的某东支付(某东客服是这么说)。
马上查某东的登录设备,没有发现有新增的登录设备。始终就只有本机登录了某东账号。诡异的是当晚的某东 app 耗电量 40%+。
联系了某东客服,说转给金融。打 01012315 ,等情况调查。打 110 ,帽子叔叔表示从来没有见过,不是电诈。从某东 app 也看不出来是被盗,给了个回执打发走了。
手机没有刷机,没点奇怪的链接,某东 app 是在商城下载,排除熟人作案(家里没有小孩,老婆不玩吃鸡),就是手机的自带备忘录上面确实有记录某东支付的密码
请大神们分析一下,有什么方法可以做到以上的情况!!百思不得其解。
省流:亏了 1300+,当破财消灾
故事背景:
手机:某为 mate50
系统:某蒙 5.10.136-gc372c1eb3e42
APP: 某东
10 号早上起床发现信用卡有消费推送。交易是某东产生的,发生时间是 10 号 1 点 48 分。看订单列表,没有发现异常。但是钱包显示确实支付了三笔订单。遂去订单回收站查看,果然发现了几笔异常订单。成功支付了 3 笔,取消了 4 笔。分别是三家不同的商家,都是游戏的兑换码。一笔是 300+,白条免密支付。另外两笔 300+和 600+是密码支付的某东支付(某东客服是这么说)。
马上查某东的登录设备,没有发现有新增的登录设备。始终就只有本机登录了某东账号。诡异的是当晚的某东 app 耗电量 40%+。
联系了某东客服,说转给金融。打 01012315 ,等情况调查。打 110 ,帽子叔叔表示从来没有见过,不是电诈。从某东 app 也看不出来是被盗,给了个回执打发走了。
手机没有刷机,没点奇怪的链接,某东 app 是在商城下载,排除熟人作案(家里没有小孩,老婆不玩吃鸡),就是手机的自带备忘录上面确实有记录某东支付的密码
请大神们分析一下,有什么方法可以做到以上的情况!!百思不得其解。
 |
1
PlG5sBkXD1ziLeGB 2025 年 3 月 11 日 via iPhone
有没有跑京豆脚本
|
 |
3
steve009 2025 年 3 月 11 日
有没有安装 无障碍之类的程序? 耗电量截图里有 其他 App 吗
|
 |
4
v1 2025 年 3 月 11 日  4
不是吹牛皮,换 iphone ,从来没出现过这些问题,毕竟系统连相关 api 和权限都没有
|
 |
5
processzzp 2025 年 3 月 11 日 1
看起来确实是被盗刷了
|
 |
6
tool2dx 2025 年 3 月 11 日
有可能是 adb 远程屏幕控制,看看系统"开发者选项"里,"USB 调试"有没有被打开。
|
 |
7
GeorgeGalway 2025 年 3 月 11 日 1
“马上查某东的登录设备,没有发现有新增的登录设备。”
这玩意儿不是可以删的吗 |
 |
8
yinmin 2025 年 3 月 11 日 via iPhone
@bin381
1. 你到手机 sim 对应营运商的 app 里查一下在这个时间段是否有短信/通话,如果另外一个手机用你的账号登录,会验证手机的。 2. 你的手机买来后是全新安装软件?还是从老手机克隆的? 如果从老手机克隆,看似一个设备,其实 2 个手机都可用,克隆的话,想一想老手机的去处。 3. 你查一下某东 app - 我的 - 浏览记录,如果是黑客的话,通常是直奔商品直接下单,不太会有寻找合适商品的过程。如果你发现有查看多个类似商品,感觉像是有对比商品再下单的,不排除家人偷偷拿你的手机下单的。 |
 |
9
uibobo 2025 年 3 月 11 日 1
“某东 app 耗电量 40%+”你身边有鬼
|
 |
10
pWHx3x96 2025 年 3 月 11 日
会不会有人梦游
|
 |
11
pkoukk 2025 年 3 月 11 日
鸿蒙有屏幕使用时间记录么,对照看下,如果有亮屏记录,那大概率是有人拿你手机干的
|
 |
12
monkey110 2025 年 3 月 11 日 via Android 1
首先,排除老婆...其次..
|
 |
13
LieNoWell 2025 年 3 月 11 日 1
在 V 站看了好几个了,蹲一个真正的诡异事件。
|
 |
14
exmario 2025 年 3 月 11 日
信用卡盗刷是可以拒付的,打发卡行电话问问
|
 |
15
Rickkkkkkk 2025 年 3 月 11 日
家里人买的
|
 |
16
thoo61871 2025 年 3 月 11 日
是隔壁老王
|
 |
17
yuge1201 2025 年 3 月 11 日
蹲一个真相
|
 |
18
yongchuan 2025 年 3 月 11 日 1
作为一个资深 Android 开发 , 听起来这东西就是人为的 , 如果是盗刷的话 , 不会只盗刷一点点 , 先不说技术可不可行 , 一个人刷一分钱都好过逮着一个人薅吧 , 所以百分百人为的 , 建议装监控
|
 |
21
bin381 OP @GeorgeGalway 草,还真的是可以删除的!!!
|
 |
22
gdcbhtd 2025 年 3 月 11 日 1
床下有人
|
|
23
bin381 OP 手机买了 2,3 年的了
|
 |
24
brcefy 2025 年 3 月 11 日
身边有朋友和楼主情况一样,最后发现是换新手机号时被盗刷了,京东金融居然没有任何其他鉴权。。
|
 |
25
MENGKE 2025 年 3 月 11 日
看看支付宝有没有之前买下的银行卡盗刷险,我买了 4 个人的,一个月才一块六
|
 |
26
justdoitzZ 2025 年 3 月 11 日 via Android
等后续,吓人
|
 |
27
idapro1 2025 年 3 月 11 日 19
你好,我是京东安全的同学,我想进一步看看你这个 case 的情况。
因为帖子里没有包含你的个人信息,为了保护隐私,并且如果你愿意的话,可以通过京东 App - 我的 - (右上角)设置 - 功能反馈 ,填写一些关键字,例如 [诡异的订单问题] ,提交后有劳回复相关关键字(需要使用中文),以便于我们取得联系。 |
 |
28
zhhbstudio 2025 年 3 月 11 日
@idapro1 已关注,希望有后续能同步一下感谢
|
 |
29
zgzhang 2025 年 3 月 11 日
有官方的人来了,蹲个后续
|
 |
30
672795574 2025 年 3 月 11 日
好奇关注一下
|
 |
31
ggbond2233 2025 年 3 月 11 日
蹲个后续
|
 |
33
letwewell 2025 年 3 月 11 日
编故事不带图很难分析啊
|
 |
35
ifreeky 2025 年 3 月 11 日
你有孩子吗
|
 |
36
Donaldo 2025 年 3 月 11 日
有孩子吗
|
 |
39
Lowlife 2025 年 3 月 11 日 via iPhone
谁盗刷盗这点钱,这些诡异事都是自己身边的人做的,
|
 |
40
shadowyue 2025 年 3 月 11 日
你梦游?或者你老婆梦游
|
 |
41
longzhou6431 2025 年 3 月 11 日
出现诡异问题,一般都是人为
|
 |
42
sorcerer 2025 年 3 月 11 日 via Android
京东有各种漏洞,印象比较深的是这个。通过七鲜平台可以免支付密码支付。
[1818 黄金眼] E 卡之旅:从“淘宝”到“京东”,从浙江到福建 https://www.bilibili.com/video/BV1gb421v7aq |
 |
43
python35 2025 年 3 月 11 日
盲猜一个 adb + wifi 调试 + wifi 被黑了 + scrcpy
|
 |
44
Sawyerhou 2025 年 3 月 11 日
被绿警告 : P
|
 |
47
Ivtdny75 2025 年 3 月 11 日
蹲
|
|
49
bin381 OP 确实是开了开发者模式!!!自己调试代码的时候开过
|
|
50
bin381 OP 我比较倾向于怀疑我手机中了恶意软件。其实我就想问问某东,我下单的时候的 ip 还有设备。是不是真的是本机。如果是本机的话,我 99%确认应该是中毒了。以前下过虚拟定位之类的,也开了开发者模式。
至于金额问题,就是因为金额不大,帽子叔叔不会处理了。如果是过万了,帽子叔叔会采取点动作。 |
 |
52
ooh 2025 年 3 月 11 日
关键是手机 root 没有,单靠无障碍能做到?
|
 |
53
catazshadow 2025 年 3 月 11 日 1
“信息安全不重要”
“我没遇到过” 这种时候说这些的人就看不到了 |
|
54
zgzhang 2025 年 3 月 11 日
@ooh 无障碍很强的,你可以看看 autoJS 这个项目,之前做黑灰产对抗的时候,很多产业链都靠这个,但是这玩意特征很明显,如果攻击链真的使用了类似的工具,JD 的风控没有识别出来还是有点弱的。但是很好奇是怎么远控的,移动端的远控其实还是比较少见的
|
 |
55
JusticeLanding 2025 年 3 月 12 日 via Android
吓得我关掉了开发者调试。无障碍还剩个李跳跳,安不安全
|
 |
56
wm5d8b 2025 年 3 月 12 日 via Android
某蒙 5.10.136 是怎么搞到的?我看海军们还在为这个月升级 5.1 颅内沸腾。
|
 |
57
CasperLee 2025 年 3 月 12 日
我想问一下,你有小孩了吗?
|
 |
58
ccvip 2025 年 3 月 12 日
OP 为什么把某东支付的密码放在备忘录???
我确实是轻视了无障碍+USB 调试的风险,原来还可以这么玩。 感觉#43 说的可能性较大,如果有人入侵了 WIFI ,可能用 WIFI 进行 USB 调试+控制工具操作的 |
 |
59
CodeXx 2025 年 3 月 12 日
蹲个后续
|
 |
60
Liamccc 2025 年 3 月 12 日
鸿蒙难道不最安全的系统吗
 |
 |
62
lanyi96 2025 年 3 月 12 日
倾向于熟人物理接触作案,远程难度太大。远程难度和精力要求太大,为了几百块钱不值得。
|
|
63
bin381 OP 回复不到图,就内核版本是 5.10 。都是更新推送
|
 |
64
junyee 2025 年 3 月 12 日
难道是开启了网络 adb
注意是 `service.adb.tcp.port ` 不是 wifi 开启 USB 调试。 不 root 的话,即使开启 网络 adb ,默认情况下 陌生设备访问手机也是需要手机先确认的。 除非你家的电脑被人入侵了? 或者手机有 root/shizuku 给不法的 app 授予了 root/shell 权限? 考虑到是哄蒙系统,root 几乎不太可能。 |
 |
65
EriczzZ 2025 年 3 月 12 日
哥们 鸿蒙系统最新版本才 5.0.1.几 你这就 5.10 了?
|
|
66
EriczzZ 2025 年 3 月 12 日
还有最扯的是 mate50 什么时候有纯血鸿蒙了?
|
 |
67
DigitaIOcean 2025 年 3 月 12 日
说的那么玄乎
大概率就是别人在你睡着的时候用你手机消费了,然后删了记录 |
|
68
DigitaIOcean 2025 年 3 月 12 日
另外鸿蒙的版本最新才 5.0.x
你发个截图,我看看你系统 |
 |
69
loopq 2025 年 3 月 12 日
推理
证据点 某东 App 耗电剧增 + 仅有本机登录了京东账号 几个可能性 1. 家里有人使用了京东 App 2. 你手机上安装的 App 有后门,看一下有没有什么小众 App 有嫌疑,或者具有高权限的 App ,类似 Shizuku 这种 3. 网络渗透进来远程操控? 这个太邪门了,就算你开了开发者模式也很难搞,倾向于前二条... |
 |
71
wolflin9 2025 年 3 月 12 日
蹲个后续,另外鸿蒙系统最新的 next 才 5.0.几,mate50 也没适配 next ,应该还在鸿蒙 4.几啊
|
 |
72
superrichman 2025 年 3 月 12 日
你发的是 linux 内核版本号,笑死
|
|
73
bin381 OP @wm5d8b [内核版本]( https://imgur.com/a/MwurseF)
|
 |
75
anwhboywj520 2025 年 3 月 12 日
蹲个后续啊,太奇怪了。猜测是身边的人操作的吧,不然的话有这技术,不至于做这么点小事吧。
|
 |
76
skull 2025 年 3 月 12 日
有 accessibility 、录屏、联网权限,就可以远程你的手机了
|
|
77
bin381 OP @EriczzZ 冷静点。内核这里看 https://imgur.com/a/MwurseF
|
|
78
bin381 OP @anwhboywj520 也有可能怕金额过大,帽子叔叔会做事情。这个金额,帽子叔叔看都不看的
|
 |
80
byicer 2025 年 3 月 12 日
关注一波,有后续了楼主记得维护一下。
|
|
81
bin381 OP @superrichman Soga 。出糗了
|
 |
82
danaesoziommw49 2025 年 3 月 12 日
@bin381 #19 诈骗的会让猪仔直接搜索商品 pid 下单,有些还直接就是直付链接,打开链接就到订单付款页面。检查下你老婆手机吧,黑客没必要删除你订单,也不可能只下这几笔。
|
 |
83
chairuosen 2025 年 3 月 12 日
就两个可能。
1 ,三次元物理侵入 2 ,赛博世界黑客 1 的话查看家里窗户门有没有异常,手机摆放位置有没有动过。2 看手机亮屏记录,电池使用曲线,家中其他电子设备状态,比如有没有常开的主机服务器等,尝试在这些设备上远程 ADB 能否复现不授权就拿到 shell |
|
84
bin381 OP @danaesoziommw49 真的十分无解。已经把手机恢复出厂了
|
|
85
bin381 OP @chairuosen 我还是倾向于被远程了。现在睡觉都开飞行模式
|
 |
86
NoManPlay 2025 年 3 月 12 日
steam 游戏兑换码?
有没有儿子  |
 |
87
ala2008 2025 年 3 月 12 日
有安装远程 app?被远程了
 |
|
88
JusticeLanding 2025 年 3 月 12 日 via Android
能把内核版本当鸿蒙版本,还恢复出厂了。就这糊涂哥,估计是个闹剧罢了。
|
|
89
JusticeLanding 2025 年 3 月 12 日 via Android
估计是被哪个亲戚小孩拿去充游戏了
|
|
90
bin381 OP @JusticeLanding 糊涂是糊涂。凌晨下单的。手机就在身边,还没有小孩。
|
 |
92
dengjunwen 2025 年 3 月 12 日 via Android
有没有孩子‘多大,
|
 |
95
sugars PRO 可以基本排除盗号嫌疑?
更好奇了 |
 |
96
Yzzzed 2025 年 3 月 12 日
等个后续
|
 |
97
sicifus 2025 年 3 月 12 日
所以保险起见,先无脑关闭免密支付功能吧?
|
 |
98
decemberpei 2025 年 3 月 12 日
"手机的自带备忘录上面确实有记录某东支付的密码" - 为啥要记录密码?记录个只有你自己能看懂的密码提示不就完了。
"成功支付了 3 笔,取消了 4 笔" - 怀疑你或者家人梦游了。如果真的手机被黑,没道理做这种骚操作。 |
|
99
JusticeLanding 2025 年 3 月 12 日 via Android
@idapro1 说来听听。隐去敏感信息
|
Select Language