V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lesswest
V2EX  ›  分享发现

支付宝远程代付被骗,想问一下是怎么死的

  •  
  •   lesswest · 2015-01-07 10:11:45 +08:00 · 19292 次点击
    这是一个创建于 3615 天前的主题,其中的信息可能已经有所发展或是发生改变。
    被骗金额 ¥1000
    前提一:帮我好朋友问的,他就想知道怎么死的,钱无所谓了
    前提二:我也不支持淘宝刷销量
    正文开始:(据他描述)
    事情发生在昨天下午,刷销量的具体流程是这样的
    1. 我朋友发链接给刷单的人
    2. 刷单的人浏览之后拍下来,但是不付款
    3. 刷单人申请远程(剩下的就是我朋友这边操作了)
    4. 我朋友去刷单人“已买到的宝贝”,点击“立即付款”,然后跳转到支付宝页面,选择“银行卡”,填写我朋友自己的“银行卡号”,选择“网上银行”支付,跳转到银行的付款页面,填写“支付账号”,填写“手机号”,填写银行发送的“验证码”,完成付款。

    完成付款之后,完成的并不是我朋友的订单,所以他很淡定的告诉我被骗了,我觉得也比较有意思,所以就问了一下具体过程。

    首先我认为是刷单人的 hosts文件被修改了(从支付宝跳转到银行那一步),所以请求付款我朋友订单的页面,实际上是跳转到了刷单人自己待付款订单页面,但是我给他重现了一下,发现 https页面通过修改 hosts文件是重定向不了的。

    然后我又从“已买到的宝贝>立即付款”跳转到支付宝付款那一步做重定向,未果。

    其次,我又想到了 DNS劫持、ARP 投毒、中间人攻击、可是我又想就是刷个单,用着这么费劲的来骗人吗?忘大神们不吝赐教,热烈讨论。
    115 条回复    2015-01-08 10:19:02 +08:00
    1  2  
    kalman03
        101
    kalman03  
       2015-01-07 22:37:46 +08:00
    写错了,是买家要求卖家发货或者申请退款。
    evilangel
        102
    evilangel  
       2015-01-07 22:53:36 +08:00
    键盘记录软件实时在另一台电脑显示密码和短信验证码,然后在另一电脑上操作另一订单付款不是很简单吗 ?
    zjgood
        103
    zjgood  
       2015-01-07 22:53:41 +08:00 via Android
    @sunocean 为学日益,为道日损。
    对于骗术的具体实施步骤我觉得还是不掌握得好。不然可能损害自己的德行。
    shanxuefeng
        104
    shanxuefeng  
       2015-01-08 00:19:06 +08:00 via iPhone
    会不会是这样,tb什么都正常,他是骗了那个手机验证码,在支付的时候是跳到已被hosts的网银页面,本地化很简单,手机验证码请求就是一摆设没用,提交什么都显示成功就行了,他在一旁的电脑上也进行了一次交易,你手机收到的验证码是他交易时候请求的,他大可把那些网银页面都hosts一次,你选哪个都中招。 不知道hosts对于https是不是有效未测试,如果有效找个方法最可信,没什么技术含量
    herozzm
        105
    herozzm  
       2015-01-08 00:51:59 +08:00
    很简单,根本不用host,chrome安装一个插件(可以自定义修改本机html的呈现的dom内容),将骗子自己的订单显示名称换成了你朋友的订单名称,你朋友远程操作看着是自己的订单号就晕乎乎付款了!

    我以前就这样干过,网上下载了一个oa系统给人演示,但是该系统加密的,无法修改版权和logo什么的,自己写了一个chrome即可更换所有内容!
    herozzm
        106
    herozzm  
       2015-01-08 00:52:44 +08:00
    注:注明插件Tampermonkey就可以实现
    herozzm
        107
    herozzm  
       2015-01-08 00:54:46 +08:00
    不好意思,没看到lz后面不错的IE浏览器,我赞同102楼所言
    lesswest
        108
    lesswest  
    OP
       2015-01-08 07:15:10 +08:00 via iPhone
    @evilangel 这样应该收到两次验证码的
    @shanxuefeng 我已经说了、不管用
    lesswest
        109
    lesswest  
    OP
       2015-01-08 07:17:27 +08:00 via iPhone
    @kalman03 订单状态未完成、付款了一个不知道订单号的别的订单、还分析、无语了
    shanxuefeng
        110
    shanxuefeng  
       2015-01-08 08:29:07 +08:00
    @lesswest 为什么不可以?本地需要开443 https才会有效
    lesswest
        111
    lesswest  
    OP
       2015-01-08 08:42:26 +08:00 via iPhone
    @shanxuefeng 你试一下就知道了啊、我自己试验过了
    SharkIng
        112
    SharkIng  
       2015-01-08 09:42:34 +08:00
    你在别人电脑上用网银还能安全么?即使那个人不收拾你,你能确保他的电脑上没有病毒么?
    breeswish
        113
    breeswish  
       2015-01-08 10:11:01 +08:00
    @lesswest https 跟 host 没有关系的,我经常 127.0.0.1 自己的 https 服务器用作本地调试,我猜你是测试的时候没有清空 DNS 缓存

    绿色锁的话可以自己签发一个证书然后信任根就可以了
    EV SSL 好像自己签发不了,反正我在 Chrome 上折腾的总是失败
    breeswish
        114
    breeswish  
       2015-01-08 10:16:46 +08:00
    如果我是骗子,就建一个反向代理服务器然后修改流量,可以用 nginx 模块也可以用 nodejs + 现成模块几行撸一个出来,再加上 host 或者本地 DNS 解析到本地 IP。优点代码少、不需要插件,应该是完全无缝的。
    lesswest
        115
    lesswest  
    OP
       2015-01-08 10:19:02 +08:00
    @breeswish 嗯嗯,我找找资料看下
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2816 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 07:20 · PVG 15:20 · LAX 23:20 · JFK 02:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.