1
TIMIYANG OP 在 LOC 发帖后,有人帮我解析了这个淘口令 分析结果如下
https://www.hostloc.com/thread-712363-1-1.html |
2
ersic 2020-07-06 10:36:18 +08:00 via Android
套路这么深?那笔钱是付到哪了?
|
3
across 2020-07-06 10:39:54 +08:00
这个钓鱼法倒没听过···· 大概是其他 app 内部已经防止口令跳转了?
|
4
imdong 2020-07-06 10:43:21 +08:00
看了下分析,黑产是真滴牛逼。
|
5
JasperYanky 2020-07-06 10:44:30 +08:00
我想说的是,就算有白名单也没用,因为淘宝管理不严格,部分在白名单里面的域名过期被抢注掉,根据这些域名发展的一些列的灰产已经是生态了~ 不能多说了
|
7
TIMIYANG OP @JasperYanky 所以这属于阿里产品漏洞 尽然投诉无门 害
|
8
lurenn 2020-07-06 13:08:26 +08:00
打 12345 市长热线试试看。一般会帮你转达给相关的受理部门。
要不就不要在市级投诉,考虑上升到 sheng 级,例如找 sheng 长邮箱写信访信件,省级转达到市级,市级会更重视。 |
9
takemeaway 2020-07-06 13:55:34 +08:00 1
咸鱼有一部分责任,口令没有白名单验证。
应该是利用咸鱼内置浏览器跳转到片子的 H5 页面,调用支。付宝支付的。这属于咸鱼漏洞。 建议楼主去收集支。付宝方面的信息,应该能够查出骗子的。 |
10
whywhywhy 2020-07-06 14:08:29 +08:00
淘宝 app 也有这样的毛病,之前就觉得这是个漏洞,会出大问题,果然有人杯具了。
|
11
Tink 2020-07-06 14:11:34 +08:00 via iPhone
这个确实是有问题,厉害了
|
12
takemeaway 2020-07-06 14:12:09 +08:00
刚才查了一下,我可以复现这个效果。
门槛挺低的,希望大家以后付款的时候多加注意,被骗总归是自己承担最大的责任。 |
13
loading 2020-07-06 14:15:51 +08:00 via Android
这个确实,看来在 app 内也不太安全。
|
14
S8I86w6eTxeLcK0a 2020-07-06 14:17:25 +08:00
前阵子就见过很多种这样的
|
15
reedthink 2020-07-06 14:18:01 +08:00 2
付款的时候看清楚啊。我一般锁单不付款,二次检查后付款
|
16
est 2020-07-06 14:27:19 +08:00
黑产真 nb 。
|
17
niubikelasi 2020-07-06 14:47:45 +08:00 via iPhone
这也太恐怖了
|
18
changwei 2020-07-06 14:55:45 +08:00 via Android
先报警留案底,运气好的情况下,报紧人数多了 jc 可能就会加大办案效率和打击力度,运气不好,金额少的情况下可能就不了了之了。
|
19
chniccs 2020-07-06 14:56:38 +08:00
真想了解一下黑产的人脑子到底是怎么运作的。
|
20
anyclue 2020-07-06 14:57:06 +08:00
看了下,好像是淘口令在千牛里生成的时候可以选择自定义网址和有效期(这是关键点),骗子以手机网站的形式高仿了个闲鱼 App 的界面,点击我想要的时候跳转到了支付宝网页版的付款界面(进入正常流程),最终调用楼主的支付宝 App 支付。
淘宝在淘口令的生成上确实有问题,不应该允许自定义网址的生成。 既然是支付宝付款,联系支付宝客服应该可以追回被骗的钱财了吧? 楼上说黑产牛逼的真不能认可,这操作一点也不牛,而且高仿闲鱼还有调用支付宝支付这里,还是有一些细节差别的,仔细看是可以分辨出来的,可能楼主对闲鱼不怎么熟悉所以没能及时止损吧。 |
21
Umenezumi 2020-07-06 14:58:25 +08:00
真厉害
|
22
TIMIYANG OP @anyclue 没用,阿里踢皮球,支付宝让我找咸鱼 咸鱼让我报警,报警就更没用 还要去录口供,打杭州 12315 电话里说受理不了,让我走网络法院起诉
|
23
hooon 2020-07-06 15:20:46 +08:00 1
垃圾闲鱼
|
24
anyclue 2020-07-06 15:25:16 +08:00
@anyclue #20 千牛 18 年就下线了自定义页面推广,应该不是直接通过千牛生成的,网上有任意链接转换成淘口令的,应该是这么生成的,反正都是淘宝的锅
|
25
leafre 2020-07-06 15:25:51 +08:00
商机
|
26
slamDunkLINk 2020-07-06 15:28:48 +08:00
还是试试市长热线?
|
27
Jeffreylulu 2020-07-06 15:39:56 +08:00
感觉这种事,基本只能自行硬吃了,国内的执法机制,很多时候你我都懂。
|
28
shuangya 2020-07-06 15:49:41 +08:00 via Android
心疼楼主 1s 。
钱财估计是追不回来了……支付宝也没权利收回骗子的钱,除非警方要求配合。 这个漏洞我已经尝试反馈了…… |
29
TIMIYANG OP @shuangya 我觉得这个钱就应该阿里来陪,它支付宝不是号称被盗保险的么
要是支付宝出现的产品漏洞呢 是不是也可以这么糊弄过去 |
30
shuangya 2020-07-06 16:41:14 +08:00 via Android
@TIMIYANG 被盗和被骗不是一回事,被盗指的是被盗用,但你的情况是你自己支付的,不属于盗用的范畴。
如果是支付宝的漏洞,让骗子未经允许就把你的钱转走了,那肯定是支付宝赔付。但如果是你自己操作的,就属于诈骗范畴了。这个只能是警察定性,支付宝配合。 |
32
LZSZ 2020-07-06 16:44:59 +08:00
找支付宝客服处理看看
|
33
EmotionV 2020-07-06 16:48:55 +08:00
这个时候可以试试 1818 黄金眼,正好阿里也在杭州,让记者带着上门一趟。新闻稿微博一发转发人多了才会引起重视
|
34
xiangwan 2020-07-06 17:15:11 +08:00
这锅阿里得背呀
|
35
fe619742721 2020-07-06 17:31:58 +08:00
这个锅阿里得背,产品设计漏洞
|
36
ShuoHui 2020-07-06 17:45:52 +08:00 via iPhone
所以真的不要被引导到线下交易。加 q 加 vx 的 99.9%都是骗子。
|
38
ditel 2020-07-06 18:09:40 +08:00 via Android
该是先加入购物车,再在购物车里付款好点吧
|
39
TIMIYANG OP @ditel 问题就是一般人那会在意这些,就从淘口令 跟 咸鱼能正确识别并且在咸鱼内打开骗子的产品详情就能让 90%以上的人 以为这就是真咸鱼
|
40
UnitTest 2020-07-06 19:30:18 +08:00 1
@shuangya 这确实是被骗,但是问题就在于用户全程没有跳出 app,这样单纯说是用户的责任感觉说不过去。如果连自己 app 内的安全都无法保证,把自己当成浏览器了。
|
41
lwlizhe 2020-07-06 20:11:06 +08:00
淘口令生成不是需要 PID 么? PID 好像就是绑定账号的,通过这个说不定能查到账号,进而找到骗子的实名信息
我是这么想的,不知道可不可行 |
42
NerverLibis 2020-07-06 20:28:56 +08:00 via iPhone
聚投诉+市长热线+报警备案+12315+市场监督局+领导留言板+互联网法院起诉+找媒体群发+亲朋好友转载+发传单+各视频网站论坛录视频发放+联系地方电视台+印发传单
|
44
shuangya 2020-07-06 22:04:15 +08:00 via Android
@UnitTest 是的,淘口令其实是有白名单限制的,我看了一下 hostloc 那边的分析,应该是利用了另一个跳转来绕过了这个安全机制。相关团队正在分析这个案例,尽量防止类似事情再发生。
|
46
shuangya 2020-07-06 22:08:04 +08:00 via Android
@Nadao 这个很好证明,类似银行卡盗刷,只要不是你自己操作的就行,比如盗刷发生的 IP/商家不属于你所在地方。
|
47
ziseyinzi 2020-07-07 01:52:11 +08:00 via Android
闲鱼 App 都漏成筛子了……前两天 nga 还爆了个付款用浮点导致少一分钱的漏洞。
就这还不给用网页。 |
48
hdjs5264 2020-07-07 02:41:16 +08:00
起诉吧,杭州互联网法院,流程写的很详细,起诉不难的
|
49
hdjs5264 2020-07-07 02:43:59 +08:00
lz 如果想起诉,先查一下类似案例,学习一下相关法律,然后收集证据,再起诉
|
50
zhengjing 2020-07-07 08:01:24 +08:00
付钱的一刹那必须得注意啊,又是网页支付,又是订单名称奇怪。和平常都不一样,就点击付款?
|
51
youjian 2020-07-07 08:41:29 +08:00
为啥不报警?维权呀
|
53
bfqymmt 2020-07-07 09:02:49 +08:00
起诉,然后申请诉前财产保全。
|
54
Felldeadbird 2020-07-07 09:15:45 +08:00
黑产果然玩的溜啊,坐等楼主的后续。
|
55
axxahut233 2020-07-07 09:27:47 +08:00
这算是大漏洞了吧
|
56
axxahut233 2020-07-07 09:28:31 +08:00
|
57
Luge 2020-07-07 09:42:52 +08:00
学习下,以防被骗。
|
58
fangcan 2020-07-07 09:47:12 +08:00
不是陪玩么? 什么耳机
|
59
Jobin0528 2020-07-07 09:48:29 +08:00
所以以后得多个个好习惯:选下单,再找到单,再支付。
|
62
Chingim 2020-07-07 10:10:42 +08:00
垃圾闲鱼啊
|
63
shc 2020-07-07 10:12:21 +08:00 1
楼主记得保存好视频证据,防止他们修改之后证据无法复现。
|
64
zgzhang 2020-07-07 10:15:12 +08:00
@TIMIYANG 直接 ASRC 提交个漏洞,提漏洞的时候别说客服投诉的问题。从一个安全从业人员的角度看,这是一个挺严重的问题。如果没有忽略你的漏洞,再拿着漏洞详情去找他们客服就行了。
|
67
Telegram 2020-07-07 11:14:39 +08:00
@shuangya #44
帅哥是阿里的吗? 其实说白了,还是一个老生常谈的利用 taobao.com 白名单网址跳转的功能,建议赶紧加强限制,闲鱼这类涉及交易的 APP,其他非白名单域名,一律禁止加载。 楼主这个案例,钱也不多,建议阿里进行补偿,就当 src 报告漏洞的奖励呗。 |
68
TIMIYANG OP @Telegram ASRC 报告漏洞没用了,提交后没 5 分钟就给我驳回了,也没有任何驳回理由,店大欺客 惹不起惹不起
|
69
Telegram 2020-07-07 11:18:14 +08:00
|
70
Telegram 2020-07-07 11:20:01 +08:00
@TIMIYANG #67 把话题炒火,微博走一波,记得 at 各种媒体,1818 之类的,抖音也可以试试。应该会有人在管你的。
|
72
locoz 2020-07-07 11:43:07 +08:00
做黑产的个个都是人才,思路清奇啥都想得出...绝了
|
73
nigelvon 2020-07-07 12:24:17 +08:00
按闹分配,社交媒体上话题炒热估计才能解决。
|
74
efaun 2020-07-07 12:33:20 +08:00
@NerverLibis #42 然后你就以寻衅滋事罪被抓了
|
76
bk201 2020-07-07 12:47:08 +08:00
牛皮了,最后通过 q 币把钱洗了
|
77
kangsgo 2020-07-07 12:52:58 +08:00
支持楼主,希望楼主能够赢!
|
78
shuangya 2020-07-07 12:59:23 +08:00 via Android
@Telegram 我倒是希望可以补偿。但我就是个打工的,最多告知相关业务方,补不补偿我说了也不算😂
|
80
hhacker 2020-07-07 13:07:59 +08:00
这个是非常严重的漏洞! 围观
|
82
luhengyuorang 2020-07-07 14:00:01 +08:00
@changwei 哥们,这里也可以看到你,哈哈哈
|
83
luhengyuorang 2020-07-07 14:03:42 +08:00
这个好多骗子的,还可以修改金额,你看到的是 1 元,实际是几百上千,顺便提一下秒余额,网上有视频
|
85
TIMIYANG OP @gz911122 是的,虽然是网页单没有跳出到浏览器,一切都是在咸鱼 APP 内的,所以导致疏忽了,让我误以为这就是咸鱼的产品页面 因为知道咸鱼骗子多 所以只在咸鱼购买过一次东西
|
86
dearmymy 2020-07-07 14:16:37 +08:00
这个牛逼啊,感谢加同情楼主。这个要是我我也会上当
|
87
cherbim 2020-07-07 14:18:06 +08:00
@gz911122 我解析淘口令的时间骗子已经把淘口令更换了(咸鱼打不开了),我只能用网页打开解析后的连接,如果在咸鱼内打开,是直接支付宝付款的
|
88
Jooooooooo 2020-07-07 14:19:42 +08:00
骗子真的费尽心机
|
89
Foralrec 2020-07-07 14:22:48 +08:00
太苦了,估计都有产业链了折黑产
|
90
shuangya 2020-07-07 14:40:09 +08:00
限于保密我不能透露太多具体内容哈。只能说两个:
1.漏洞已经修复。 2.相关业务方正在主动联系楼主。 |
93
AreYou0k 2020-07-07 15:07:10 +08:00
之前知乎支付宝还在吹全款赔付, 人工客服...果然都是骗人的
|
94
Nathanzheng 2020-07-07 15:12:49 +08:00
但大公司的傲慢病还是得改啊, 百度阿里腾讯,前几天老干妈的事那么火
|
96
shuangya 2020-07-07 15:37:35 +08:00
|
98
Nathanzheng 2020-07-07 15:40:41 +08:00
@shuangya #94 确实,但在路人印象里可不会分外包不外包, 黑锅就只能你们承受了
|
99
shuangya 2020-07-07 15:43:22 +08:00
|