我想买两张张杰武汉演唱会的门票。在小红书上和骗子联系好后,骗子首先发来了闲鱼宝贝的链接(是真的在闲鱼平台上的),我在闲鱼将其拍下之后。骗子以要我付运费为理由,发给我一个二维码,要我在闲鱼平台打开扫描。
二维码如下:
这个二维码通过闲鱼扫描之后会跳转到支付宝,支付宝支付一元之后,闲鱼突然自动收货了,此时骗子收到钱了之后把我拉黑了。
支付宝截图如下:
在我意识到被骗之后,我对二维码内容进行了解码分析,二维码解码内容如下:
alipays://platformapi/startapp?appId=20000067&url=http://kgnb763n.blogqt.gq/index.php
这段代码的意思打开支付宝APP并跳转到http://kgnb763n.blogqt.gq/index.php
这个URL网页。
在浏览器中打开网页:
骗子代码判断了user-agent来判断是否为支付宝平台,这里我模拟一下支付宝的ua。
模拟完成之后顺利出现了骗子网页。
通过查看JS代码,我发现骗子主要是通过这段代码来进行闲鱼的自动确认收货。
document.querySelector('.tradeno').addEventListener('click',
function() {
AlipayJSBridge.call("tradePay",
{
tradeNO: "2023042622001174211404250439"
},
function(result) {
});
这段代码的意思是当你点击支付按钮的时候,会调用支付宝的API来弹出快捷支付,支付的订单是你和骗子交易的支付宝交易号。
也就是说,如果你在闲鱼下单之后,再使用你的支付宝账号向这笔订单付款,就会将这笔订单的状态自动变成确认收货状态,从而骗子可以收到款项
谢谢天山派出所的民警。
赵云龙
需要说明的是这个漏洞在我撰写文章之前已经提交,蚂蚁这里驳回了说明可能有人之前已经提交过这个漏洞了,大家可以验证看看该漏洞目前是否已经被修复。但无论如何,支付宝应该给我们这些因为漏洞受到损失的用户负责任,而不是偷偷地修复漏洞假装无事发生,大家不应该因为企业的恶行买单。
这个比较简单,直接到12315官网或者应用商店下载12315平台APP投诉即可。
写的时候刚好收到了12315的电话反馈,杭州市西湖区那边的工作人员说支付宝公司认为这个漏洞是存在阿里巴巴-闲鱼侧,然后闲鱼的公司所在地是在杭州市余杭区,建议我重新向余杭区那边投诉,大家投诉的时候可以选择平台为闲鱼,处理单位为杭州市余杭区的市场监督局试试。
强烈建议在电脑端微信的小程序上操作,手机端小程序操作如果不小心退出不会保存操作记录。
微信搜索 人民法院在线服务
2. 进入人民法院在线服务分平台,选择上海市。
3. 在微信小程序中点击我要立案。
4. 接下来跟着流程填写信息就可以了,受理法院选择浦东新区法院,这里给一下相关的被告信息。
名称: 支付宝(中国)网络技术有限公司
法定代表人姓名:倪行军
组织机构代码:76822545-0
社会信用代码:91310115768225450T
住所地:浦东新区自由贸易试验区市场监督管理局
5. 起诉信息中事实与理由的填写,可以写依据中国人民银行颁布的非银行支付机构网络支付管理办法,侵犯了原告权益。
6. 起诉比较麻烦的一点是需要起诉书,可以使用这个模板,需要打印后手写签名。