事件
分析
¥jLFM1x086Lm¥淘口令解析结果:
淘口令链接:https://login.taobao.com/member/ … rd-Outside.windvane
淘口令标题:陪玩#可夜
淘口令剩余时间:28天0小时3分9秒
然后先把短连接打开,发现会自动跳转http://suo.im/6bvtlW,解析后的原链接:http://zhuanzhuan-58.com/xy/?i=5 … 17u&ClickID=616
后面参数先不要管,打开,这个网址贼骚,检测到你电脑访问就跳转咸鱼,手机访问正常(现在手机也打不开了,全部跳转咸鱼,主站跳转百度,骗子日常操作)
什么买耳机被坑,这不是搞陪玩被骗了,这是一个高仿咸鱼的网站,点击我想要,会提示淘宝打开,然后出现付款(楼主说咸鱼有网页支付,但是咸鱼客户端付款是不支持网页支付,这里因为是网页打开,所以出现了网页支付),调用支付宝,然后你懂的!出现付款界面,收款商家为那个交易猫,老规矩,冲q币洗白
至于跳转后面的参数百度搜索TaoPassword-Outside.windvane,会发现好多类似熟悉参数的淘宝客链接或者聚划算链接之类,这一堆参数估计是为可以生成淘口令用的(淘口令生成有严格参数限制的),没玩过淘口令就不解析了:
事情总结:这事应该淘宝背锅,傻吊,竟然不搞白名单,咸鱼兼容淘宝口令的方式通过网页版打开淘宝链接的,而且是自动登录的,所以假如一个假的淘口令,当你复制到咸鱼后,他会自动登录你的淘宝账号,然后跳转到http://suo.im/6bvtlW,
所以故事是这样的:
正常路径:
用户复制淘口令到咸鱼,咸鱼会以网页形式打开链接,并自动登录(大家可以复制一个淘宝口令试一下),不用登陆可以下单购买,付款只能支付宝付款(没有网页付款)
被骗路径:
骗子先发布淘口令(正规的可以被咸鱼淘宝识别的淘口令),用户复制淘口令,咸鱼默认以网页形式登录淘宝,然后网址的redirectURL自动跳转到http://suo.im/6bvtlW,接下来就就是在咸鱼app内部网页打开http://suo.im/6bvtlW,这是一个高仿的咸鱼界面,和真的一模一样,让人误以为在咸鱼app里,实际是咸鱼内部打开的网页,剩下不解释了,都是常规骗人套路,只能说想到这个方法的人牛逼啊!!!!!!!
ps:后续,和支付宝客服反馈,踢给淘宝,和淘宝客服反馈,踢给咸鱼,然后咸鱼反馈了,给了结论,确实存在这个漏洞,但是我们就是不改,你要被骗了就去报警,我们只负责有订单号的!
看到没,什么叫牛逼,这就叫牛逼,我觉得可以向媒体反映一下,再来个标题“阿里淘口令惊现漏洞,或导致上亿人受影响”
本文转载于网络,本文观点不代表爱运营立场,转载请联系原出处。如内容、图片有任何版权问题,请联系爱运营处理。
