101
kalman03 2015-01-07 22:37:46 +08:00
写错了,是买家要求卖家发货或者申请退款。
|
102
evilangel 2015-01-07 22:53:36 +08:00
键盘记录软件实时在另一台电脑显示密码和短信验证码,然后在另一电脑上操作另一订单付款不是很简单吗 ?
|
103
zjgood 2015-01-07 22:53:41 +08:00 via Android
@sunocean 为学日益,为道日损。
对于骗术的具体实施步骤我觉得还是不掌握得好。不然可能损害自己的德行。 |
104
shanxuefeng 2015-01-08 00:19:06 +08:00 via iPhone
会不会是这样,tb什么都正常,他是骗了那个手机验证码,在支付的时候是跳到已被hosts的网银页面,本地化很简单,手机验证码请求就是一摆设没用,提交什么都显示成功就行了,他在一旁的电脑上也进行了一次交易,你手机收到的验证码是他交易时候请求的,他大可把那些网银页面都hosts一次,你选哪个都中招。 不知道hosts对于https是不是有效未测试,如果有效找个方法最可信,没什么技术含量
|
105
herozzm 2015-01-08 00:51:59 +08:00
很简单,根本不用host,chrome安装一个插件(可以自定义修改本机html的呈现的dom内容),将骗子自己的订单显示名称换成了你朋友的订单名称,你朋友远程操作看着是自己的订单号就晕乎乎付款了!
我以前就这样干过,网上下载了一个oa系统给人演示,但是该系统加密的,无法修改版权和logo什么的,自己写了一个chrome即可更换所有内容! |
106
herozzm 2015-01-08 00:52:44 +08:00
注:注明插件Tampermonkey就可以实现
|
107
herozzm 2015-01-08 00:54:46 +08:00
不好意思,没看到lz后面不错的IE浏览器,我赞同102楼所言
|
108
lesswest OP |
110
shanxuefeng 2015-01-08 08:29:07 +08:00
@lesswest 为什么不可以?本地需要开443 https才会有效
|
111
lesswest OP @shanxuefeng 你试一下就知道了啊、我自己试验过了
|
112
SharkIng 2015-01-08 09:42:34 +08:00
你在别人电脑上用网银还能安全么?即使那个人不收拾你,你能确保他的电脑上没有病毒么?
|
113
breeswish 2015-01-08 10:11:01 +08:00
@lesswest https 跟 host 没有关系的,我经常 127.0.0.1 自己的 https 服务器用作本地调试,我猜你是测试的时候没有清空 DNS 缓存
绿色锁的话可以自己签发一个证书然后信任根就可以了 EV SSL 好像自己签发不了,反正我在 Chrome 上折腾的总是失败 |
114
breeswish 2015-01-08 10:16:46 +08:00
如果我是骗子,就建一个反向代理服务器然后修改流量,可以用 nginx 模块也可以用 nodejs + 现成模块几行撸一个出来,再加上 host 或者本地 DNS 解析到本地 IP。优点代码少、不需要插件,应该是完全无缝的。
|