買快遞保價成了確認收貨，閒魚這個Bug有點魔幻_風聞

本文原創於微信公眾號：差評  作者：差評君

就今天上班在羣裏摸魚吹水的時候，突然有人扔出這麼個事。

説是最近海鮮市場（閒魚）冒出了個新騙局，不少買家在交易過程中，會點進了騙子精心偽裝的保價釣魚頁。

這釣魚頁不知道被施了什麼魔法，長得和官方頁面基本沒差，只要你點進去支付保價，就會提前確認收貨，錢貨兩空。

差評君趕緊上網一查，發現網上已經有好幾位網友都中了這個閒魚自動收貨的招，多的被騙了好幾千塊錢。

騙局的大致流程是這樣的。。。

不法分子首先會在閒魚上掛出那種品相好、價格還低於市場價的超高性價比商品，來誘導買家下單。

比如像什麼低於市場價 500、1000 的蘋果手機、耳機、筆記本等等。

然後利用自動收貨的這項漏洞，把買家的貨款直接移花接木，騙得血本無歸。

數碼老司機集中營酷安上面，就有個老哥被這個閒魚套路給坑了。

這老哥把暱稱都改成了閒魚被騙 3800 

也是氣的不輕。

最開始他是在閒魚上面看到了一個 iPhone 13 Pro Max 128G，價格是 3800 元，機器外殼磨損啥的都ok，他看的非常中意，就聯繫了一下這位 “ 誠信商家 ”。

交易溝通過程中並沒有發生什麼事情，賣家正常的一批，沒露出任何騙子的馬腳。。。

他還很有職業操守的把戲演到底，不光直接給買家發圖過來確認手機的硬件序列號，還一直保證只走平台交易。

但到了發貨這一步，幺蛾子來了。。。

就在家付款支付成功後呢，賣家就藉由要發手機細節瑕疵圖片，把買家引導到微信上面發圖交流。

賣家在微信上也是瘋狂套近乎，又是送手機殼又是送充電頭的（反正都是虛空的）。。。

就當你感嘆世上還是好人多的時候，突然騙子的殺手鐧遞出來了。。

“ 熱心 ” 老哥這時候突然打了個電話過來，説手機快遞需要買家用支付寶來掃一個保價的碼。

顯然這位老哥也沒想太多，貴重物品保個價很正常的事情嘛，而且這賣家老哥這麼熱情，怎麼可能是騙子呢？

於是就按他的操作一步一步走了下去。。。

在用支付寶掃了碼之後，老哥的手機直接跳出了一個騙子模仿閒魚保價的釣魚頁。

這玩意兒長的和官方保價頁面根本看不出區別，於是這位老哥當場就爽快點擊了立即支付。。。

然後就。。。沒有然後了。。。

支付之後，之前買手機的閒魚訂單會立刻自動收貨，進而讓支付寶平台給直接給賣家放了款。

貨款就這樣在買家沒有實際收到的情況下，被賣家收入囊中。

上一秒還是知心老哥，下一秒直接拔diao無情，直接就是一個溜溜球，卷錢跑路再也聯繫不上。

至於發過來的快遞也只是一個生鮮品，**“ 誠信商家 ”**這一通操作完全不當人啊。。。

説實話差評君看完這個傷心的故事也是挺震驚的。

之前不管是電信詐騙還是殺豬盤的套路我都見的多了，偽裝銀行公安局、扮親戚套近乎、查户口各種的彎彎繞繞的局都很複雜。

但這個局的手法差評君也是長見識了，比某巧克力品牌還要絲滑。

知乎程序員網友  @吳連雯 ，也在閒魚中了同樣的招數，被騙之後他實在氣不過，把整個事兒從頭到尾給扒了一遍，摸出了點門道來。

差評君結合這位老兄的現身説法，梳理了一下騙局的來龍去脈，發現這次騙子們的操作還是蠻騷的。。。

其實騙局的核心，就在於這塊萬惡之源的保價二維碼。

你們可以掃，但它已經掃不出來了。

另一位程序員大佬 @szliugx 把騙局中的二維碼進行了一波解碼，然後得到了這麼一串 URL。

這是一串利用 scheme 的技術指向跳轉到支付寶的 App 的鏈接，是一種從其他鏈接跳轉到支付寶客户端的方案。

這可以理解為阿里的一種特殊跳轉鏈接 alipays:// 可以更好的繞開閒魚的外鏈警告。

舉個例子來説，如果你用閒魚點開掃了騙子發給你的鏈接，就會跳轉到他們設置好的支付寶付款界面。

騙子重新設計了這個頁面的功能，搞成了**“ 只要點擊支付按鈕，就喚起支付寶支付頁面 ”** 的這麼一個操作步驟。

而這個支付按鈕 ，同時是綁定着**“ 利用支付寶交易號喚起支付 ”**這麼一步操作的 。

也就是説，你剛剛買拍下的商品的交易號，被牢牢的綁在了這步操作中。

這串划着紅線的 tradeNO 代表的是支付寶的交易號，

這次騙子就是在這串交易號下的陷阱。

實際上，這一步再進行的運費或者保單的付款其實就是**“ 確認收貨 ”**的操作。 

官方確實提供了拿交易號喚起支付的辦法

這麼一來，當你向這筆訂單支付成功之後，這步操作就會被認為是**“ 確認收貨 ”。**

截圖來源：@吳連雯

所以只要習慣性的點下了頁面中這個**“ 立即支付 ”**按鈕，輸完密碼或者認證完生物信息之後，錢和貨在瞬間就會和你 say goodbye。。。

至於為什麼向之前已經付款的訂單再付一次款就會確認收貨，不得而知。。。

關鍵是支付寶這個大聰明功能，在被利用的時候倒是彈一個警示窗口按鈕啥的啊，我還以為我在買保價，其實底下我在確認收貨了！

雖然閒魚官方重申警告過很多次，不要在平台之外加其他聊天工具轉賬，但還是有不少人在閒魚上買東西的時候，還是會有加微信交易的習慣。

閒魚聊天甚至屏蔽了 “ 微信 ” 兩個漢字的輸入權限，打都打不出來。

因為一旦脱離了平台，買家隨便點擊二維碼、鏈接造成了交易風險，這事兒就徹底管不過來了。

其實在發現這個騙局的第一時間，差評辦公室的小夥伴就在嘗試能不能重現這個問題，還自己建了一個商品鏈接，我賣我自己。

然而在我們嘗試復現代碼流程的時候，發現支付寶在第一時間已經把這個 Bug 給修復了，沒辦法重現最後自動“確認收貨”的流程。

如果你現在直接點擊騙子的支付按鈕，系統會跳轉到這樣的一個防詐騙頁面。

嗯你猜的沒錯，支付寶和閒魚及時的亡羊補牢了。。。

其實現在支付寶和閒魚一直以來都在聯手打擊灰黑產，已經取得了一定成效。

但這次的漏洞也確實是很藏的很隱蔽，在代碼層面偷樑換柱，實在是防不勝防，如今是不怕騙子有文化，就怕騙子懂代碼啊。。。

那麼問題來了，以後再遇到這種類似的騙局，有沒有什麼預防或者規避的好辦法呢？

有，而且不難。

差評君覺得這個騙局中最重要的一點，就是騙子利用了大家忽略官方防詐騙警示的心態，利用加一系列的話術來誘導你加微信，降低你的戒備心，從而伸出魔爪。

在閒魚這樣的個人二手交易平台上，加其他社交軟件進行溝通交易，打個不好聽的比方説，就是在你不知道的情況下，開啓電腦攝像頭和一個不認識的人進行了裸聊。

因為只要騙子想騙你，他們發的鏈接、二維碼裏做的手腳，根本就沒人能幫你過濾。

其次儘量選擇同城面交的賣家交易，面對面交易肯定不會發生這種網絡扯皮的情況，頂多也就是被拐走（bushi。

除了這些，不貪小便宜、敏捷點滿躲着點天上掉下的餡餅、警惕僅自用、全新未拆還便宜的頭獎彩票，那才能從根本杜絕問題的發生。

圖片、資料來源：

酷安：@閒魚被騙3800

知乎：@吳連雯

知乎：@szliugx