本帖最后由 ivi 于 2023-5-4 14:09 编辑
Pings WIN哥学安全 2023-05-03 21:34 发表于天津
1免责声明
本公众号所发布的文章及工具代码等仅限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。
2前言
近期在各类短视频平台,tg等,出现了一批出售自动收货源码的人。
大致看了一下,摸清楚了诈骗原理。并且对其进行了大致分析。
3大致分析
1.首先让受害者下单过后,自己前往支付宝查看,提出待收货的订单号
2.订单号提出来过后,进入相关诈骗程序后台,修改准备好的订单号到诈骗程序中
3.然后伪造x鱼,z转等平台的保价服务,告知受害者购买的东西比较贵重,建议购买保价服务等各种诱导受害者扫描通过url伪造的二维码等
4.当用户在x鱼,或z转中扫描二维码的时候,诈骗程序通过js进行跳转支付程序
5.如果诈骗站点在Agent头不是有关Alipay的其他地方打开,会输出一张图片
这里贴上相关代码:
并且在相关支付程序中显示伪造的页面,这里贴一张图:
诈骗程序页面的所有内容都是可以进行修改的,但是能供受害者点击的就只有一个立即支付按钮,当受害者点击立即支付按钮过后,会通过诈骗程序中的js将诈骗人员事先设置好的订单号引入,并且提交,这里贴上代码:
随着受害人点击立即支付的时候,js就会将设置好的订单号跟随,然后就是弹出支付界面
当受害人输入自己的支付密码的时候,实际显示的是收货成功的提示
同时诈骗人员的x鱼,z转等平台的也显示用户已收货,这个时候相关支付平台就会将暂时冻结的金额,打款给诈骗人员。
4大致统计
目前通过各方面信息收集,目前被骗人数上千人,金额从几十到几千不等,目前受害者人数还在持续增加中。希望相关支付平台能够有效处理此类诈骗问题,严格过滤来源请求不明的url,并且设置不属于相关业务的域名禁止在平台内打开(包括x鱼,z转等相关平台的请求)。
5总结
切勿在平台内听信卖家的话扫描一切二维码或者点击一切链接。否则下一个钱货两空的人就是你。
|