V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
TIMIYANG
V2EX  ›  全球工单系统

因为咸鱼 APP 产品漏洞导致被骗

  TIMIYANG · 2020-07-06 10:33:31 +08:00 · 9656 次点击
这是一个创建于 1594 天前的主题,其中的信息可能已经有所发展或是发生改变。
¥ jLFM1x086Lm ¥
淘口令到现在还能识别,而且已经换成什么陪玩了。但是咸鱼应该修复了 虽然能识别但是打不开产品页面了

贴吧看到有人卖话说 RGO 耳机 我加 Q 联系后
整个被骗流程如下
对方发一个 淘口令给我 我复制后打开 咸鱼 APP,咸鱼 APP 能正常识别到这个淘口令 提示的是我要购买的耳机产品
当我点击确认后 打开的是一个耳机产品的详情页面
然后我点击右下角的我想要 跳转到付款页面 使用支付宝 APP 付款
付款后我在我咸鱼的订单里面没有这笔交易

整个流程都是在咸鱼内完成
我联系了咸鱼客服,咸鱼客服不作为 已经跟他反馈产品漏洞以及被骗经过 不但不严谨处理 还跟我玩踢皮球
让我报警?

首先这个确实很难防,如果对吗发的是链接 或者是钓鱼的 确实可以避免
但这个一切都是在咸鱼 APP 里面 进行的 咸鱼至始至终没有提示任何风险
而且假的淘口令尽然能在咸鱼官方 APP 能够识别 试问一下 多少人能避免不被骗?

拨打杭州 12315,告诉我说他们受理不了这个投诉 让我走网络法院起诉
第 1 条附言  ·  2020-07-07 09:47:57 +08:00
拨打杭州 12315 以后不受理 让走法院起诉
然后咸鱼客服专员给我回电了
一口咬定这是交易猫的交易 不属于咸鱼产品漏洞,说是最终答复 不在受理我的任何投诉
接下来准备拨打市长热线 投诉
第 2 条附言  ·  2020-07-07 11:14:39 +08:00
asrc.alibaba.com 举报漏洞后 没超过 5 分钟就被驳回了
而且没有任何驳回理由 阿里巴巴太牛了 惹不起惹不起
第 3 条附言  ·  2020-07-13 13:32:35 +08:00
一个回帖的阿里员工说 漏洞已经修复 有管人员在联系我
然后一个星期过去了 没有收到任何联系
大概就是不了了知了吧 反正投诉无门 放弃了 哎
105 条回复    2020-09-08 20:41:27 +08:00
1  2  
TIMIYANG
    1
TIMIYANG  
OP
   2020-07-06 10:34:41 +08:00
在 LOC 发帖后,有人帮我解析了这个淘口令 分析结果如下
https://www.hostloc.com/thread-712363-1-1.html
ersic
    2
ersic  
   2020-07-06 10:36:18 +08:00 via Android
套路这么深?那笔钱是付到哪了?
across
    3
across  
   2020-07-06 10:39:54 +08:00
这个钓鱼法倒没听过···· 大概是其他 app 内部已经防止口令跳转了?
imdong
    4
imdong  
   2020-07-06 10:43:21 +08:00
看了下分析,黑产是真滴牛逼。
JasperYanky
    5
JasperYanky  
   2020-07-06 10:44:30 +08:00
我想说的是,就算有白名单也没用,因为淘宝管理不严格,部分在白名单里面的域名过期被抢注掉,根据这些域名发展的一些列的灰产已经是生态了~ 不能多说了
TIMIYANG
    6
TIMIYANG  
OP
   2020-07-06 10:45:39 +08:00
@ersic 这笔钱付给了交易猫上面的一个什么 Q 币充值
TIMIYANG
    7
TIMIYANG  
OP
   2020-07-06 10:46:30 +08:00
@JasperYanky 所以这属于阿里产品漏洞 尽然投诉无门 害
lurenn
    8
lurenn  
   2020-07-06 13:08:26 +08:00
打 12345 市长热线试试看。一般会帮你转达给相关的受理部门。
要不就不要在市级投诉,考虑上升到 sheng 级,例如找 sheng 长邮箱写信访信件,省级转达到市级,市级会更重视。
takemeaway
    9
takemeaway  
   2020-07-06 13:55:34 +08:00   ❤️ 1
咸鱼有一部分责任,口令没有白名单验证。

应该是利用咸鱼内置浏览器跳转到片子的 H5 页面,调用支。付宝支付的。这属于咸鱼漏洞。

建议楼主去收集支。付宝方面的信息,应该能够查出骗子的。
whywhywhy
    10
whywhywhy  
   2020-07-06 14:08:29 +08:00
淘宝 app 也有这样的毛病,之前就觉得这是个漏洞,会出大问题,果然有人杯具了。
Tink
    11
Tink  
   2020-07-06 14:11:34 +08:00 via iPhone
这个确实是有问题,厉害了
takemeaway
    12
takemeaway  
   2020-07-06 14:12:09 +08:00
刚才查了一下,我可以复现这个效果。
门槛挺低的,希望大家以后付款的时候多加注意,被骗总归是自己承担最大的责任。
loading
    13
loading  
   2020-07-06 14:15:51 +08:00 via Android
这个确实,看来在 app 内也不太安全。
S8I86w6eTxeLcK0a
    14
S8I86w6eTxeLcK0a  
   2020-07-06 14:17:25 +08:00
前阵子就见过很多种这样的
reedthink
    15
reedthink  
   2020-07-06 14:18:01 +08:00   ❤️ 2
付款的时候看清楚啊。我一般锁单不付款,二次检查后付款
est
    16
est  
   2020-07-06 14:27:19 +08:00
黑产真 nb 。
niubikelasi
    17
niubikelasi  
   2020-07-06 14:47:45 +08:00 via iPhone
这也太恐怖了
changwei
    18
changwei  
   2020-07-06 14:55:45 +08:00 via Android
先报警留案底,运气好的情况下,报紧人数多了 jc 可能就会加大办案效率和打击力度,运气不好,金额少的情况下可能就不了了之了。
chniccs
    19
chniccs  
   2020-07-06 14:56:38 +08:00
真想了解一下黑产的人脑子到底是怎么运作的。
anyclue
    20
anyclue  
   2020-07-06 14:57:06 +08:00
看了下,好像是淘口令在千牛里生成的时候可以选择自定义网址和有效期(这是关键点),骗子以手机网站的形式高仿了个闲鱼 App 的界面,点击我想要的时候跳转到了支付宝网页版的付款界面(进入正常流程),最终调用楼主的支付宝 App 支付。

淘宝在淘口令的生成上确实有问题,不应该允许自定义网址的生成。

既然是支付宝付款,联系支付宝客服应该可以追回被骗的钱财了吧?

楼上说黑产牛逼的真不能认可,这操作一点也不牛,而且高仿闲鱼还有调用支付宝支付这里,还是有一些细节差别的,仔细看是可以分辨出来的,可能楼主对闲鱼不怎么熟悉所以没能及时止损吧。
Umenezumi
    21
Umenezumi  
   2020-07-06 14:58:25 +08:00
真厉害
TIMIYANG
    22
TIMIYANG  
OP
   2020-07-06 15:11:20 +08:00
@anyclue 没用,阿里踢皮球,支付宝让我找咸鱼 咸鱼让我报警,报警就更没用 还要去录口供,打杭州 12315 电话里说受理不了,让我走网络法院起诉
hooon
    23
hooon  
   2020-07-06 15:20:46 +08:00   ❤️ 1
垃圾闲鱼
anyclue
    24
anyclue  
   2020-07-06 15:25:16 +08:00
@anyclue #20 千牛 18 年就下线了自定义页面推广,应该不是直接通过千牛生成的,网上有任意链接转换成淘口令的,应该是这么生成的,反正都是淘宝的锅
leafre
    25
leafre  
   2020-07-06 15:25:51 +08:00
商机
slamDunkLINk
    26
slamDunkLINk  
   2020-07-06 15:28:48 +08:00
还是试试市长热线?
Jeffreylulu
    27
Jeffreylulu  
   2020-07-06 15:39:56 +08:00
感觉这种事,基本只能自行硬吃了,国内的执法机制,很多时候你我都懂。
shuangya
    28
shuangya  
   2020-07-06 15:49:41 +08:00 via Android
心疼楼主 1s 。
钱财估计是追不回来了……支付宝也没权利收回骗子的钱,除非警方要求配合。
这个漏洞我已经尝试反馈了……
TIMIYANG
    29
TIMIYANG  
OP
   2020-07-06 16:24:02 +08:00
@shuangya 我觉得这个钱就应该阿里来陪,它支付宝不是号称被盗保险的么
要是支付宝出现的产品漏洞呢 是不是也可以这么糊弄过去
shuangya
    30
shuangya  
   2020-07-06 16:41:14 +08:00 via Android
@TIMIYANG 被盗和被骗不是一回事,被盗指的是被盗用,但你的情况是你自己支付的,不属于盗用的范畴。
如果是支付宝的漏洞,让骗子未经允许就把你的钱转走了,那肯定是支付宝赔付。但如果是你自己操作的,就属于诈骗范畴了。这个只能是警察定性,支付宝配合。
shuangya
    31
shuangya  
   2020-07-06 16:42:18 +08:00 via Android
@TIMIYANG 另外这个问题已经在查了
LZSZ
    32
LZSZ  
   2020-07-06 16:44:59 +08:00
找支付宝客服处理看看
EmotionV
    33
EmotionV  
   2020-07-06 16:48:55 +08:00
这个时候可以试试 1818 黄金眼,正好阿里也在杭州,让记者带着上门一趟。新闻稿微博一发转发人多了才会引起重视
xiangwan
    34
xiangwan  
   2020-07-06 17:15:11 +08:00
这锅阿里得背呀
fe619742721
    35
fe619742721  
   2020-07-06 17:31:58 +08:00
这个锅阿里得背,产品设计漏洞
ShuoHui
    36
ShuoHui  
   2020-07-06 17:45:52 +08:00 via iPhone
所以真的不要被引导到线下交易。加 q 加 vx 的 99.9%都是骗子。
TIMIYANG
    37
TIMIYANG  
OP
   2020-07-06 18:08:34 +08:00
@LZSZ 找了,没用 支付宝让找咸鱼,咸鱼让报警 相互踢皮球
ditel
    38
ditel  
   2020-07-06 18:09:40 +08:00 via Android
该是先加入购物车,再在购物车里付款好点吧
TIMIYANG
    39
TIMIYANG  
OP
   2020-07-06 18:11:22 +08:00
@ditel 问题就是一般人那会在意这些,就从淘口令 跟 咸鱼能正确识别并且在咸鱼内打开骗子的产品详情就能让 90%以上的人 以为这就是真咸鱼
UnitTest
    40
UnitTest  
   2020-07-06 19:30:18 +08:00   ❤️ 1
@shuangya 这确实是被骗,但是问题就在于用户全程没有跳出 app,这样单纯说是用户的责任感觉说不过去。如果连自己 app 内的安全都无法保证,把自己当成浏览器了。
lwlizhe
    41
lwlizhe  
   2020-07-06 20:11:06 +08:00
淘口令生成不是需要 PID 么? PID 好像就是绑定账号的,通过这个说不定能查到账号,进而找到骗子的实名信息

我是这么想的,不知道可不可行
NerverLibis
    42
NerverLibis  
   2020-07-06 20:28:56 +08:00 via iPhone
聚投诉+市长热线+报警备案+12315+市场监督局+领导留言板+互联网法院起诉+找媒体群发+亲朋好友转载+发传单+各视频网站论坛录视频发放+联系地方电视台+印发传单
loading
    43
loading  
   2020-07-06 21:35:31 +08:00 via Android
@lwlizhe 最后可能查到户主是一个信息被卖的一个不明真相的一个普通人而已。
shuangya
    44
shuangya  
   2020-07-06 22:04:15 +08:00 via Android
@UnitTest 是的,淘口令其实是有白名单限制的,我看了一下 hostloc 那边的分析,应该是利用了另一个跳转来绕过了这个安全机制。相关团队正在分析这个案例,尽量防止类似事情再发生。
Nadao
    45
Nadao  
   2020-07-06 22:05:35 +08:00
@shuangya

有一天发现支付宝的钱少了,我要提供什么证明才可以确认是被盗,然后拿到保险?
shuangya
    46
shuangya  
   2020-07-06 22:08:04 +08:00 via Android
@Nadao 这个很好证明,类似银行卡盗刷,只要不是你自己操作的就行,比如盗刷发生的 IP/商家不属于你所在地方。
ziseyinzi
    47
ziseyinzi  
   2020-07-07 01:52:11 +08:00 via Android
闲鱼 App 都漏成筛子了……前两天 nga 还爆了个付款用浮点导致少一分钱的漏洞。
就这还不给用网页。
hdjs5264
    48
hdjs5264  
   2020-07-07 02:41:16 +08:00
起诉吧,杭州互联网法院,流程写的很详细,起诉不难的
hdjs5264
    49
hdjs5264  
   2020-07-07 02:43:59 +08:00
lz 如果想起诉,先查一下类似案例,学习一下相关法律,然后收集证据,再起诉
zhengjing
    50
zhengjing  
   2020-07-07 08:01:24 +08:00
付钱的一刹那必须得注意啊,又是网页支付,又是订单名称奇怪。和平常都不一样,就点击付款?
youjian
    51
youjian  
   2020-07-07 08:41:29 +08:00
为啥不报警?维权呀
mcone
    52
mcone  
   2020-07-07 08:49:05 +08:00
@youjian 这点钱你去报警会被骂回来的……
bfqymmt
    53
bfqymmt  
   2020-07-07 09:02:49 +08:00
起诉,然后申请诉前财产保全。
Felldeadbird
    54
Felldeadbird  
   2020-07-07 09:15:45 +08:00
黑产果然玩的溜啊,坐等楼主的后续。
axxahut233
    55
axxahut233  
   2020-07-07 09:27:47 +08:00
这算是大漏洞了吧
Luge
    57
Luge  
   2020-07-07 09:42:52 +08:00
学习下,以防被骗。
fangcan
    58
fangcan  
   2020-07-07 09:47:12 +08:00
不是陪玩么? 什么耳机
Jobin0528
    59
Jobin0528  
   2020-07-07 09:48:29 +08:00
所以以后得多个个好习惯:选下单,再找到单,再支付。
TIMIYANG
    60
TIMIYANG  
OP
   2020-07-07 09:48:50 +08:00
@fangcan 麻烦看清楚,我买的时候是耳机,然后买完后 那个淘口令停止解析了
后面估计有开始骗别人了 改成的陪玩
TIMIYANG
    61
TIMIYANG  
OP
   2020-07-07 09:49:22 +08:00
@Jobin0528 98%的人 没有这个用户习惯啊
Chingim
    62
Chingim  
   2020-07-07 10:10:42 +08:00
垃圾闲鱼啊
shc
    63
shc  
   2020-07-07 10:12:21 +08:00   ❤️ 1
楼主记得保存好视频证据,防止他们修改之后证据无法复现。
zgzhang
    64
zgzhang  
   2020-07-07 10:15:12 +08:00
@TIMIYANG 直接 ASRC 提交个漏洞,提漏洞的时候别说客服投诉的问题。从一个安全从业人员的角度看,这是一个挺严重的问题。如果没有忽略你的漏洞,再拿着漏洞详情去找他们客服就行了。
neptuno
    65
neptuno  
   2020-07-07 10:16:01 +08:00
@chniccs 估计是跟内部人员一起讨论出来的成果
TIMIYANG
    66
TIMIYANG  
OP
   2020-07-07 10:48:14 +08:00
@zgzhang 谢谢,这是一个好方法
Telegram
    67
Telegram  
   2020-07-07 11:14:39 +08:00
@shuangya #44
帅哥是阿里的吗?
其实说白了,还是一个老生常谈的利用 taobao.com 白名单网址跳转的功能,建议赶紧加强限制,闲鱼这类涉及交易的 APP,其他非白名单域名,一律禁止加载。
楼主这个案例,钱也不多,建议阿里进行补偿,就当 src 报告漏洞的奖励呗。
TIMIYANG
    68
TIMIYANG  
OP
   2020-07-07 11:15:39 +08:00
@Telegram ASRC 报告漏洞没用了,提交后没 5 分钟就给我驳回了,也没有任何驳回理由,店大欺客 惹不起惹不起
Telegram
    69
Telegram  
   2020-07-07 11:18:14 +08:00
@axxahut233 #54 说大漏洞倒也算不上,一般意思吧。哈哈

这类跳转漏洞基本每个厂家都有,这个就是玩的比较巧,直接生成淘口令,看上去比较迷惑人,让用户放松警惕。
Telegram
    70
Telegram  
   2020-07-07 11:20:01 +08:00
@TIMIYANG #67 把话题炒火,微博走一波,记得 at 各种媒体,1818 之类的,抖音也可以试试。应该会有人在管你的。
TIMIYANG
    71
TIMIYANG  
OP
   2020-07-07 11:43:01 +08:00
@Telegram 时间精力成本我们耗不起啊
locoz
    72
locoz  
   2020-07-07 11:43:07 +08:00
做黑产的个个都是人才,思路清奇啥都想得出...绝了
nigelvon
    73
nigelvon  
   2020-07-07 12:24:17 +08:00
按闹分配,社交媒体上话题炒热估计才能解决。
efaun
    74
efaun  
   2020-07-07 12:33:20 +08:00
@NerverLibis #42 然后你就以寻衅滋事罪被抓了
efaun
    75
efaun  
   2020-07-07 12:35:24 +08:00
@locoz #72 人人都是产品经理应该让他们来写
bk201
    76
bk201  
   2020-07-07 12:47:08 +08:00
牛皮了,最后通过 q 币把钱洗了
kangsgo
    77
kangsgo  
   2020-07-07 12:52:58 +08:00
支持楼主,希望楼主能够赢!
shuangya
    78
shuangya  
   2020-07-07 12:59:23 +08:00 via Android
@Telegram 我倒是希望可以补偿。但我就是个打工的,最多告知相关业务方,补不补偿我说了也不算😂
shuangya
    79
shuangya  
   2020-07-07 13:00:39 +08:00 via Android
@ziseyinzi 那个爆出来的时候就已经修复了。发帖的楼主用的旧版本
hhacker
    80
hhacker  
   2020-07-07 13:07:59 +08:00
这个是非常严重的漏洞! 围观
TIMIYANG
    81
TIMIYANG  
OP
   2020-07-07 13:51:47 +08:00
@zhengjing 不是网页支付 是支付宝 APP 付款的
luhengyuorang
    82
luhengyuorang  
   2020-07-07 14:00:01 +08:00
@changwei 哥们,这里也可以看到你,哈哈哈
luhengyuorang
    83
luhengyuorang  
   2020-07-07 14:03:42 +08:00
这个好多骗子的,还可以修改金额,你看到的是 1 元,实际是几百上千,顺便提一下秒余额,网上有视频
gz911122
    84
gz911122  
   2020-07-07 14:05:22 +08:00
@TIMIYANG 付款的页面是网页, 不是说支付宝是网页
TIMIYANG
    85
TIMIYANG  
OP
   2020-07-07 14:13:00 +08:00
@gz911122 是的,虽然是网页单没有跳出到浏览器,一切都是在咸鱼 APP 内的,所以导致疏忽了,让我误以为这就是咸鱼的产品页面 因为知道咸鱼骗子多 所以只在咸鱼购买过一次东西
dearmymy
    86
dearmymy  
   2020-07-07 14:16:37 +08:00
这个牛逼啊,感谢加同情楼主。这个要是我我也会上当
cherbim
    87
cherbim  
   2020-07-07 14:18:06 +08:00
@gz911122 我解析淘口令的时间骗子已经把淘口令更换了(咸鱼打不开了),我只能用网页打开解析后的连接,如果在咸鱼内打开,是直接支付宝付款的
Jooooooooo
    88
Jooooooooo  
   2020-07-07 14:19:42 +08:00
骗子真的费尽心机
Foralrec
    89
Foralrec  
   2020-07-07 14:22:48 +08:00
太苦了,估计都有产业链了折黑产
shuangya
    90
shuangya  
   2020-07-07 14:40:09 +08:00
限于保密我不能透露太多具体内容哈。只能说两个:
1.漏洞已经修复。
2.相关业务方正在主动联系楼主。
TIMIYANG
    91
TIMIYANG  
OP
   2020-07-07 14:43:34 +08:00
@shuangya 感谢老哥,谢谢
cherbim
    92
cherbim  
   2020-07-07 14:52:09 +08:00
@shuangya
果然 v2 大佬还是多啊
AreYou0k
    93
AreYou0k  
   2020-07-07 15:07:10 +08:00
之前知乎支付宝还在吹全款赔付, 人工客服...果然都是骗人的
Nathanzheng
    94
Nathanzheng  
   2020-07-07 15:12:49 +08:00
但大公司的傲慢病还是得改啊, 百度阿里腾讯,前几天老干妈的事那么火
chinvo
    95
chinvo  
   2020-07-07 15:16:53 +08:00
@AreYou0k #92 网上这些支付宝相关的诈骗, 我就没见过支付宝主动赔偿的
shuangya
    96
shuangya  
   2020-07-07 15:37:35 +08:00
@AreYou0k 盗刷和诈骗性质不一样。盗刷会全额赔付,诈骗不一定。

@Nathanzheng 大公司对外客服基本上都是外包的,外包都是多一事不如少一事,你懂的。
chinvo
    97
chinvo  
   2020-07-07 15:39:18 +08:00
@shuangya #89 虽然知道不是层主的问题, 但是如果楼主没在这里发帖, 怕不是就不管了?

漏洞平台上直接驳回可还行?
Nathanzheng
    98
Nathanzheng  
   2020-07-07 15:40:41 +08:00
@shuangya #94 确实,但在路人印象里可不会分外包不外包, 黑锅就只能你们承受了
shuangya
    99
shuangya  
   2020-07-07 15:43:22 +08:00
@chinvo
这个没办法,对外客服都是外包,对他们来说多一事不如少一事。但是内部员工如果知道了,会重视的。
漏洞平台直接驳回应该是因为我反馈了,已经在处理了……
chinvo
    100
chinvo  
   2020-07-07 15:45:44 +08:00
@shuangya #98 私以为如果因为其他人提交了同样的漏洞而驳回, 至少应该给出驳回原因

这么看, 这个驳回应该算乌龙
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2665 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 11:24 · PVG 19:24 · LAX 03:24 · JFK 06:24
Developed with CodeLauncher
♥ Do have faith in what you're doing.