工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
这是一个创建于 1383 天前的主题,其中的信息可能已经有所发展或是发生改变。
¥ jLFM1x086Lm ¥
淘口令到现在还能识别,而且已经换成什么陪玩了。但是咸鱼应该修复了 虽然能识别但是打不开产品页面了
贴吧看到有人卖话说 RGO 耳机 我加 Q 联系后
整个被骗流程如下
对方发一个 淘口令给我 我复制后打开 咸鱼 APP,咸鱼 APP 能正常识别到这个淘口令 提示的是我要购买的耳机产品
当我点击确认后 打开的是一个耳机产品的详情页面
然后我点击右下角的我想要 跳转到付款页面 使用支付宝 APP 付款
付款后我在我咸鱼的订单里面没有这笔交易
整个流程都是在咸鱼内完成
我联系了咸鱼客服,咸鱼客服不作为 已经跟他反馈产品漏洞以及被骗经过 不但不严谨处理 还跟我玩踢皮球
让我报警?
首先这个确实很难防,如果对吗发的是链接 或者是钓鱼的 确实可以避免
但这个一切都是在咸鱼 APP 里面 进行的 咸鱼至始至终没有提示任何风险
而且假的淘口令尽然能在咸鱼官方 APP 能够识别 试问一下 多少人能避免不被骗?
拨打杭州 12315,告诉我说他们受理不了这个投诉 让我走网络法院起诉
淘口令到现在还能识别,而且已经换成什么陪玩了。但是咸鱼应该修复了 虽然能识别但是打不开产品页面了
贴吧看到有人卖话说 RGO 耳机 我加 Q 联系后
整个被骗流程如下
对方发一个 淘口令给我 我复制后打开 咸鱼 APP,咸鱼 APP 能正常识别到这个淘口令 提示的是我要购买的耳机产品
当我点击确认后 打开的是一个耳机产品的详情页面
然后我点击右下角的我想要 跳转到付款页面 使用支付宝 APP 付款
付款后我在我咸鱼的订单里面没有这笔交易
整个流程都是在咸鱼内完成
我联系了咸鱼客服,咸鱼客服不作为 已经跟他反馈产品漏洞以及被骗经过 不但不严谨处理 还跟我玩踢皮球
让我报警?
首先这个确实很难防,如果对吗发的是链接 或者是钓鱼的 确实可以避免
但这个一切都是在咸鱼 APP 里面 进行的 咸鱼至始至终没有提示任何风险
而且假的淘口令尽然能在咸鱼官方 APP 能够识别 试问一下 多少人能避免不被骗?
拨打杭州 12315,告诉我说他们受理不了这个投诉 让我走网络法院起诉
第 1 条附言 · 2020-07-07 09:47:57 +08:00
拨打杭州 12315 以后不受理 让走法院起诉
然后咸鱼客服专员给我回电了
一口咬定这是交易猫的交易 不属于咸鱼产品漏洞,说是最终答复 不在受理我的任何投诉
接下来准备拨打市长热线 投诉
然后咸鱼客服专员给我回电了
一口咬定这是交易猫的交易 不属于咸鱼产品漏洞,说是最终答复 不在受理我的任何投诉
接下来准备拨打市长热线 投诉
第 2 条附言 · 2020-07-07 11:14:39 +08:00
在 asrc.alibaba.com 举报漏洞后 没超过 5 分钟就被驳回了
而且没有任何驳回理由 阿里巴巴太牛了 惹不起惹不起
而且没有任何驳回理由 阿里巴巴太牛了 惹不起惹不起
第 3 条附言 · 2020-07-13 13:32:35 +08:00
一个回帖的阿里员工说 漏洞已经修复 有管人员在联系我
然后一个星期过去了 没有收到任何联系
大概就是不了了知了吧 反正投诉无门 放弃了 哎
然后一个星期过去了 没有收到任何联系
大概就是不了了知了吧 反正投诉无门 放弃了 哎
 |
1
TIMIYANG OP 在 LOC 发帖后,有人帮我解析了这个淘口令 分析结果如下
https://www.hostloc.com/thread-712363-1-1.html |
 |
2
ersic 2020-07-06 10:36:18 +08:00 via Android
套路这么深?那笔钱是付到哪了?
|
 |
3
across 2020-07-06 10:39:54 +08:00
这个钓鱼法倒没听过···· 大概是其他 app 内部已经防止口令跳转了?
|
 |
4
imdong 2020-07-06 10:43:21 +08:00
看了下分析,黑产是真滴牛逼。
|
 |
5
JasperYanky 2020-07-06 10:44:30 +08:00
我想说的是,就算有白名单也没用,因为淘宝管理不严格,部分在白名单里面的域名过期被抢注掉,根据这些域名发展的一些列的灰产已经是生态了~ 不能多说了
|
|
7
TIMIYANG OP @JasperYanky 所以这属于阿里产品漏洞 尽然投诉无门 害
|
 |
8
lurenn 2020-07-06 13:08:26 +08:00
打 12345 市长热线试试看。一般会帮你转达给相关的受理部门。
要不就不要在市级投诉,考虑上升到 sheng 级,例如找 sheng 长邮箱写信访信件,省级转达到市级,市级会更重视。 |
 |
9
takemeaway 2020-07-06 13:55:34 +08:00  1
咸鱼有一部分责任,口令没有白名单验证。
应该是利用咸鱼内置浏览器跳转到片子的 H5 页面,调用支。付宝支付的。这属于咸鱼漏洞。 建议楼主去收集支。付宝方面的信息,应该能够查出骗子的。 |
 |
10
whywhywhy 2020-07-06 14:08:29 +08:00
淘宝 app 也有这样的毛病,之前就觉得这是个漏洞,会出大问题,果然有人杯具了。
|
 |
11
Tink 2020-07-06 14:11:34 +08:00 via iPhone
这个确实是有问题,厉害了
|
|
12
takemeaway 2020-07-06 14:12:09 +08:00
刚才查了一下,我可以复现这个效果。
门槛挺低的,希望大家以后付款的时候多加注意,被骗总归是自己承担最大的责任。 |
 |
13
loading 2020-07-06 14:15:51 +08:00 via Android
这个确实,看来在 app 内也不太安全。
|
 |
14
zhengdutech 2020-07-06 14:17:25 +08:00
前阵子就见过很多种这样的
|
 |
15
reedthink 2020-07-06 14:18:01 +08:00 2
付款的时候看清楚啊。我一般锁单不付款,二次检查后付款
|
 |
16
est 2020-07-06 14:27:19 +08:00
黑产真 nb 。
|
 |
17
niubikelasi 2020-07-06 14:47:45 +08:00 via iPhone
这也太恐怖了
|
 |
18
changwei 2020-07-06 14:55:45 +08:00 via Android
先报警留案底,运气好的情况下,报紧人数多了 jc 可能就会加大办案效率和打击力度,运气不好,金额少的情况下可能就不了了之了。
|
 |
19
chniccs 2020-07-06 14:56:38 +08:00
真想了解一下黑产的人脑子到底是怎么运作的。
|
 |
20
anyclue 2020-07-06 14:57:06 +08:00
看了下,好像是淘口令在千牛里生成的时候可以选择自定义网址和有效期(这是关键点),骗子以手机网站的形式高仿了个闲鱼 App 的界面,点击我想要的时候跳转到了支付宝网页版的付款界面(进入正常流程),最终调用楼主的支付宝 App 支付。
淘宝在淘口令的生成上确实有问题,不应该允许自定义网址的生成。 既然是支付宝付款,联系支付宝客服应该可以追回被骗的钱财了吧? 楼上说黑产牛逼的真不能认可,这操作一点也不牛,而且高仿闲鱼还有调用支付宝支付这里,还是有一些细节差别的,仔细看是可以分辨出来的,可能楼主对闲鱼不怎么熟悉所以没能及时止损吧。 |
 |
21
Umenezumi 2020-07-06 14:58:25 +08:00
真厉害
|
|
22
TIMIYANG OP @anyclue 没用,阿里踢皮球,支付宝让我找咸鱼 咸鱼让我报警,报警就更没用 还要去录口供,打杭州 12315 电话里说受理不了,让我走网络法院起诉
|
 |
23
hooon 2020-07-06 15:20:46 +08:00 1
垃圾闲鱼
|
|
24
anyclue 2020-07-06 15:25:16 +08:00
@anyclue #20 千牛 18 年就下线了自定义页面推广,应该不是直接通过千牛生成的,网上有任意链接转换成淘口令的,应该是这么生成的,反正都是淘宝的锅
|
 |
25
leafre 2020-07-06 15:25:51 +08:00
商机
|
 |
26
slamDunkLINk 2020-07-06 15:28:48 +08:00
还是试试市长热线?
|
 |
27
Jeffreylulu 2020-07-06 15:39:56 +08:00
感觉这种事,基本只能自行硬吃了,国内的执法机制,很多时候你我都懂。
|
 |
28
shuangya 2020-07-06 15:49:41 +08:00 via Android
心疼楼主 1s 。
钱财估计是追不回来了……支付宝也没权利收回骗子的钱,除非警方要求配合。 这个漏洞我已经尝试反馈了…… |
|
29
TIMIYANG OP @shuangya 我觉得这个钱就应该阿里来陪,它支付宝不是号称被盗保险的么
要是支付宝出现的产品漏洞呢 是不是也可以这么糊弄过去 |
|
30
shuangya 2020-07-06 16:41:14 +08:00 via Android
@TIMIYANG 被盗和被骗不是一回事,被盗指的是被盗用,但你的情况是你自己支付的,不属于盗用的范畴。
如果是支付宝的漏洞,让骗子未经允许就把你的钱转走了,那肯定是支付宝赔付。但如果是你自己操作的,就属于诈骗范畴了。这个只能是警察定性,支付宝配合。 |
 |
32
LZSZ 2020-07-06 16:44:59 +08:00
找支付宝客服处理看看
|
 |
33
EmotionV 2020-07-06 16:48:55 +08:00
这个时候可以试试 1818 黄金眼,正好阿里也在杭州,让记者带着上门一趟。新闻稿微博一发转发人多了才会引起重视
|
 |
34
xiangwan 2020-07-06 17:15:11 +08:00
这锅阿里得背呀
|
 |
35
fe619742721 2020-07-06 17:31:58 +08:00
这个锅阿里得背,产品设计漏洞
|
 |
36
ShuoHui 2020-07-06 17:45:52 +08:00 via iPhone
所以真的不要被引导到线下交易。加 q 加 vx 的 99.9%都是骗子。
|
 |
38
ditel 2020-07-06 18:09:40 +08:00 via Android
该是先加入购物车,再在购物车里付款好点吧
|
|
39
TIMIYANG OP @ditel 问题就是一般人那会在意这些,就从淘口令 跟 咸鱼能正确识别并且在咸鱼内打开骗子的产品详情就能让 90%以上的人 以为这就是真咸鱼
|
 |
40
UnitTest 2020-07-06 19:30:18 +08:00 1
@shuangya 这确实是被骗,但是问题就在于用户全程没有跳出 app,这样单纯说是用户的责任感觉说不过去。如果连自己 app 内的安全都无法保证,把自己当成浏览器了。
|
 |
41
lwlizhe 2020-07-06 20:11:06 +08:00
淘口令生成不是需要 PID 么? PID 好像就是绑定账号的,通过这个说不定能查到账号,进而找到骗子的实名信息
我是这么想的,不知道可不可行 |
 |
42
NerverLibis 2020-07-06 20:28:56 +08:00 via iPhone
聚投诉+市长热线+报警备案+12315+市场监督局+领导留言板+互联网法院起诉+找媒体群发+亲朋好友转载+发传单+各视频网站论坛录视频发放+联系地方电视台+印发传单
|
|
44
shuangya 2020-07-06 22:04:15 +08:00 via Android
@UnitTest 是的,淘口令其实是有白名单限制的,我看了一下 hostloc 那边的分析,应该是利用了另一个跳转来绕过了这个安全机制。相关团队正在分析这个案例,尽量防止类似事情再发生。
|
|
46
shuangya 2020-07-06 22:08:04 +08:00 via Android
@Nadao 这个很好证明,类似银行卡盗刷,只要不是你自己操作的就行,比如盗刷发生的 IP/商家不属于你所在地方。
|
 |
47
ziseyinzi 2020-07-07 01:52:11 +08:00 via Android
闲鱼 App 都漏成筛子了……前两天 nga 还爆了个付款用浮点导致少一分钱的漏洞。
就这还不给用网页。 |
 |
48
hdjs5264 2020-07-07 02:41:16 +08:00
起诉吧,杭州互联网法院,流程写的很详细,起诉不难的
|
|
49
hdjs5264 2020-07-07 02:43:59 +08:00
lz 如果想起诉,先查一下类似案例,学习一下相关法律,然后收集证据,再起诉
|
 |
50
zhengjing 2020-07-07 08:01:24 +08:00
付钱的一刹那必须得注意啊,又是网页支付,又是订单名称奇怪。和平常都不一样,就点击付款?
|
 |
51
youjian 2020-07-07 08:41:29 +08:00
为啥不报警?维权呀
|
 |
53
bfqymmt 2020-07-07 09:02:49 +08:00
起诉,然后申请诉前财产保全。
|
 |
54
Felldeadbird 2020-07-07 09:15:45 +08:00
黑产果然玩的溜啊,坐等楼主的后续。
|
 |
55
axxahut233 2020-07-07 09:27:47 +08:00
这算是大漏洞了吧
|
|
56
axxahut233 2020-07-07 09:28:31 +08:00
|
 |
57
Luge 2020-07-07 09:42:52 +08:00
学习下,以防被骗。
|
 |
58
fangcan 2020-07-07 09:47:12 +08:00
不是陪玩么? 什么耳机
|
 |
59
Jobin0528 2020-07-07 09:48:29 +08:00
所以以后得多个个好习惯:选下单,再找到单,再支付。
|
 |
62
Chingim 2020-07-07 10:10:42 +08:00
垃圾闲鱼啊
|
 |
63
shc 2020-07-07 10:12:21 +08:00 1
楼主记得保存好视频证据,防止他们修改之后证据无法复现。
|
 |
64
zgzhang 2020-07-07 10:15:12 +08:00
@TIMIYANG 直接 ASRC 提交个漏洞,提漏洞的时候别说客服投诉的问题。从一个安全从业人员的角度看,这是一个挺严重的问题。如果没有忽略你的漏洞,再拿着漏洞详情去找他们客服就行了。
|
 |
67
Telegram 2020-07-07 11:14:39 +08:00
@shuangya #44
帅哥是阿里的吗? 其实说白了,还是一个老生常谈的利用 taobao.com 白名单网址跳转的功能,建议赶紧加强限制,闲鱼这类涉及交易的 APP,其他非白名单域名,一律禁止加载。 楼主这个案例,钱也不多,建议阿里进行补偿,就当 src 报告漏洞的奖励呗。 |
|
68
TIMIYANG OP @Telegram ASRC 报告漏洞没用了,提交后没 5 分钟就给我驳回了,也没有任何驳回理由,店大欺客 惹不起惹不起
|
|
69
Telegram 2020-07-07 11:18:14 +08:00
|
|
70
Telegram 2020-07-07 11:20:01 +08:00
@TIMIYANG #67 把话题炒火,微博走一波,记得 at 各种媒体,1818 之类的,抖音也可以试试。应该会有人在管你的。
|
 |
72
locoz 2020-07-07 11:43:07 +08:00
做黑产的个个都是人才,思路清奇啥都想得出...绝了
|
 |
73
nigelvon 2020-07-07 12:24:17 +08:00
按闹分配,社交媒体上话题炒热估计才能解决。
|
 |
74
efaun 2020-07-07 12:33:20 +08:00
@NerverLibis #42 然后你就以寻衅滋事罪被抓了
 |
 |
76
bk201 2020-07-07 12:47:08 +08:00
牛皮了,最后通过 q 币把钱洗了
|
 |
77
kangsgo 2020-07-07 12:52:58 +08:00
支持楼主,希望楼主能够赢!
|
|
78
shuangya 2020-07-07 12:59:23 +08:00 via Android
@Telegram 我倒是希望可以补偿。但我就是个打工的,最多告知相关业务方,补不补偿我说了也不算😂
|
 |
80
hhacker 2020-07-07 13:07:59 +08:00
这个是非常严重的漏洞! 围观
|
 |
82
luhengyuorang 2020-07-07 14:00:01 +08:00
@changwei 哥们,这里也可以看到你,哈哈哈
|
|
83
luhengyuorang 2020-07-07 14:03:42 +08:00
这个好多骗子的,还可以修改金额,你看到的是 1 元,实际是几百上千,顺便提一下秒余额,网上有视频
|
|
85
TIMIYANG OP @gz911122 是的,虽然是网页单没有跳出到浏览器,一切都是在咸鱼 APP 内的,所以导致疏忽了,让我误以为这就是咸鱼的产品页面 因为知道咸鱼骗子多 所以只在咸鱼购买过一次东西
|
 |
86
dearmymy 2020-07-07 14:16:37 +08:00
这个牛逼啊,感谢加同情楼主。这个要是我我也会上当
|
 |
87
cherbim 2020-07-07 14:18:06 +08:00
@gz911122 我解析淘口令的时间骗子已经把淘口令更换了(咸鱼打不开了),我只能用网页打开解析后的连接,如果在咸鱼内打开,是直接支付宝付款的
|
 |
88
Jooooooooo 2020-07-07 14:19:42 +08:00
骗子真的费尽心机
|
 |
89
Foralrec 2020-07-07 14:22:48 +08:00
太苦了,估计都有产业链了折黑产
|
|
90
shuangya 2020-07-07 14:40:09 +08:00
限于保密我不能透露太多具体内容哈。只能说两个:
1.漏洞已经修复。 2.相关业务方正在主动联系楼主。 |
 |
93
AreYou0k 2020-07-07 15:07:10 +08:00
之前知乎支付宝还在吹全款赔付, 人工客服...果然都是骗人的
|
 |
94
Nathanzheng 2020-07-07 15:12:49 +08:00
但大公司的傲慢病还是得改啊, 百度阿里腾讯,前几天老干妈的事那么火
|
|
96
shuangya 2020-07-07 15:37:35 +08:00
|
|
98
Nathanzheng 2020-07-07 15:40:41 +08:00
@shuangya #94 确实,但在路人印象里可不会分外包不外包, 黑锅就只能你们承受了
|
|
99
shuangya 2020-07-07 15:43:22 +08:00
|
Select Language