0

揭露咸鱼利用APP漏洞的新式骗局

骗子手法:支付宝和闲鱼存在漏洞,当你在闲鱼下单之后,就算你没有点击确认收货按钮,你的订单状态也可能被更新为确认收货并导致钱款打入卖家账户。

这个二维码通过闲鱼扫描之后会跳转到支付宝,支付宝支付一元之后,闲鱼突然自动收货了,此时骗子收到钱了之后把我拉黑了。

二维码解码

在我意识到被骗之后,我对二维码内容进行了解码分析,二维码解码内容如下:

alipays://platformapi/startapp?appId=20000067&url=http://kgnb763n.blogqt.gq/index.php

这段代码的意思打开支付宝APP并跳转到http://kgnb763n.blogqt.gq/index.php这个URL网页。

阿里代码审核不严谨

api没做限制,任意url页面js任意调用导致.

网页代码分析

在浏览器中打开网页:

骗子代码判断了user-agent来判断是否为支付宝平台,这里我模拟一下支付宝的ui

模拟完成之后顺利出现了骗子网页。

通过查看JS代码,我发现骗子主要是通过这段代码来进行闲鱼的自动确认收货。

  document.querySelector('.tradeno').addEventListener('click',
     function() {
        
            AlipayJSBridge.call("tradePay",
         {
            
                  tradeNO: "2023042622001174211404250439"
                
        },
         function(result) {
            
                 
                
        });

这段代码的意思是当你点击支付按钮的时候,会调用支付宝的API来弹出快捷支付,支付的订单是你和骗子交易的支付宝交易号。

 


分享:

扫一扫在手机阅读、分享本文

镇站女神!