就今天上班在群里摸鱼吹水的时候,突然有人扔出这么个事。
说是最近海鲜市场(闲鱼)冒出了个新骗局,不少买家在交易过程中,会点进了骗子精心伪装的保价钓鱼页。
这钓鱼页不知道被施了什么魔法,长得和官方页面基本没差,只要你点进去支付保价,就会提前确认收货,钱货两空。
差评君赶紧上网一查,发现网上已经有好几位网友都中了这个闲鱼自动收货的招,多的被骗了好几千块钱。
骗局的大致流程是这样的。。。
不法分子首先会在闲鱼上挂出那种品相好、价格还低于市场价的超高性价比商品,来诱导买家下单。
比如像什么低于市场价 500、1000 的苹果手机、耳机、笔记本等等。
然后利用自动收货的这项漏洞,把买家的货款直接移花接木,骗得血本无归。
数码老司机集中营酷安上面,就有个老哥被这个闲鱼套路给坑了。
这老哥把昵称都改成了闲鱼被骗 3800 也是气的不轻。最开始他是在闲鱼上面看到了一个 iPhone 13 Pro Max 128G,价格是 3800 元,机器外壳磨损啥的都ok,他看的非常中意,就联系了一下这位 “ 诚信商家 ”。
交易沟通过程中并没有发生什么事情,卖家正常的一批,没露出任何骗子的马脚。。。
他还很有职业操守的把戏演到底,不光直接给买家发图过来确认手机的硬件序列号,还一直保证只走平台交易。
但到了发货这一步,幺蛾子来了。。。
就在家付款支付成功后呢,卖家就借由要发手机细节瑕疵图片,把买家引导到微信上面发图交流。
卖家在微信上也是疯狂套近乎,又是送手机壳又是送充电头的(反正都是虚空的)。。。
就当你感叹世上还是好人多的时候,突然骗子的杀手锏递出来了。。
“ 热心 ” 老哥这时候突然打了个电话过来,说手机快递需要买家用支付宝来扫一个保价的码。
显然这位老哥也没想太多,贵重物品保个价很正常的事情嘛,而且这卖家老哥这么热情,怎么可能是骗子呢?
于是就按他的操作一步一步走了下去。。。
在用支付宝扫了码之后,老哥的手机直接跳出了一个骗子模仿闲鱼保价的钓鱼页。
这玩意儿长的和官方保价页面根本看不出区别,于是这位老哥当场就爽快点击了立即支付。。。
然后就。。。没有然后了。。。
支付之后,之前买手机的闲鱼订单会立刻自动收货,进而让支付宝平台给直接给卖家放了款。
货款就这样在买家没有实际收到的情况下,被卖家收入囊中。
上一秒还是知心老哥,下一秒直接拔diao无情,直接就是一个溜溜球,卷钱跑路再也联系不上。
至于发过来的快递也只是一个生鲜品,“ 诚信商家 ” 这一通操作完全不当人啊。。。
说实话差评君看完这个伤心的故事也是挺震惊的。
之前不管是电信诈骗还是杀猪盘的套路我都见的多了,伪装银行公安局、扮亲戚套近乎、查户口各种的弯弯绕绕的局都很复杂。
但这个局的手法差评君也是长见识了,比某巧克力品牌还要丝滑。
知乎程序员网友 @吴连雯 ,也在闲鱼中了同样的招数,被骗之后他实在气不过,把整个事儿从头到尾给扒了一遍,摸出了点门道来。
差评君结合这位老兄的现身说法,梳理了一下骗局的来龙去脉,发现这次骗子们的操作还是蛮骚的。。。
其实骗局的核心,就在于这块万恶之源的保价二维码。
你们可以扫,但它已经扫不出来了。
另一位程序员大佬 @szliugx 把骗局中的二维码进行了一波解码,然后得到了这么一串 URL。这是一串利用 scheme 的技术指向跳转到支付宝的 App 的链接,是一种从其他链接跳转到支付宝客户端的方案。这可以理解为阿里的一种特殊跳转链接 alipays:// 可以更好的绕开闲鱼的外链警告。举个例子来说,如果你用闲鱼点开扫了骗子发给你的链接,就会跳转到他们设置好的支付宝付款界面。骗子重新设计了这个页面的功能,搞成了 “ 只要点击支付按钮,就唤起支付宝支付页面 ” 的这么一个操作步骤。而这个支付按钮 ,同时是绑定着 “ 利用支付宝交易号唤起支付 ” 这么一步操作的 。也就是说,你刚刚买拍下的商品的交易号,被牢牢的绑在了这步操作中。这串划着红线的 tradeNO 代表的是支付宝的交易号,这次骗子就是在这串交易号下的陷阱。实际上,这一步再进行的运费或者保单的付款其实就是 “ 确认收货 ” 的操作。官方确实提供了拿交易号唤起支付的办法
这么一来,当你向这笔订单支付成功之后,这步操作就会被认为是 “ 确认收货 ”。截图来源:@吴连雯所以只要习惯性的点下了页面中这个 “ 立即支付 ” 按钮,输完密码或者认证完生物信息之后,钱和货在瞬间就会和你 say goodbye。。。至于为什么向之前已经付款的订单再付一次款就会确认收货,不得而知。。。关键是支付宝这个大聪明功能,在被利用的时候倒是弹一个警示窗口按钮啥的啊,我还以为我在买保价,其实底下我在确认收货了!虽然闲鱼官方重申警告过很多次,不要在平台之外加其他聊天工具转账,但还是有不少人在闲鱼上买东西的时候,还是会有加微信交易的习惯。闲鱼聊天甚至屏蔽了 “ 微信 ” 两个汉字的输入权限,打都打不出来。因为一旦脱离了平台,买家随便点击二维码、链接造成了交易风险,这事儿就彻底管不过来了。其实在发现这个骗局的第一时间,差评办公室的小伙伴就在尝试能不能重现这个问题,还自己建了一个商品链接,我卖我自己。然而在我们尝试复现代码流程的时候,发现支付宝在第一时间已经把这个 Bug 给修复了,没办法重现最后自动“确认收货”的流程。如果你现在直接点击骗子的支付按钮,系统会跳转到这样的一个防诈骗页面。嗯你猜的没错,支付宝和闲鱼及时的亡羊补牢了。。。其实现在支付宝和闲鱼一直以来都在联手打击灰黑产,已经取得了一定成效。但这次的漏洞也确实是很藏的很隐蔽,在代码层面偷梁换柱,实在是防不胜防,如今是不怕骗子有文化,就怕骗子懂代码啊。。。那么问题来了,以后再遇到这种类似的骗局,有没有什么预防或者规避的好办法呢?
有,而且不难。
差评君觉得这个骗局中最重要的一点,就是骗子利用了大家忽略官方防诈骗警示的心态,利用加一系列的话术来诱导你加微信,降低你的戒备心,从而伸出魔爪。
在闲鱼这样的个人二手交易平台上,加其他社交软件进行沟通交易,打个不好听的比方说,就是在你不知道的情况下,开启电脑摄像头和一个不认识的人进行了裸聊。
因为只要骗子想骗你,他们发的链接、二维码里做的手脚,根本就没人能帮你过滤。
其次尽量选择同城面交的卖家交易,面对面交易肯定不会发生这种网络扯皮的情况,顶多也就是被拐走(bushi。
除了这些,不贪小便宜、敏捷点满躲着点天上掉下的馅饼、警惕仅自用、全新未拆还便宜的头奖彩票,那才能从根本杜绝问题的发生。
撰文:小杜 编辑:jihao & 大饼 美编:三狗图片、资料来源:
酷安:@闲鱼被骗3800
知乎:@吴连雯
知乎:@szliugx