这是一个创建于 3595 天前的主题,其中的信息可能已经有所发展或是发生改变。
被骗金额 ¥1000
前提一:帮我好朋友问的,他就想知道怎么死的,钱无所谓了
前提二:我也不支持淘宝刷销量
正文开始:(据他描述)
事情发生在昨天下午,刷销量的具体流程是这样的
1. 我朋友发链接给刷单的人
2. 刷单的人浏览之后拍下来,但是不付款
3. 刷单人申请远程(剩下的就是我朋友这边操作了)
4. 我朋友去刷单人“已买到的宝贝”,点击“立即付款”,然后跳转到支付宝页面,选择“银行卡”,填写我朋友自己的“银行卡号”,选择“网上银行”支付,跳转到银行的付款页面,填写“支付账号”,填写“手机号”,填写银行发送的“验证码”,完成付款。
完成付款之后,完成的并不是我朋友的订单,所以他很淡定的告诉我被骗了,我觉得也比较有意思,所以就问了一下具体过程。
首先我认为是刷单人的 hosts文件被修改了(从支付宝跳转到银行那一步),所以请求付款我朋友订单的页面,实际上是跳转到了刷单人自己待付款订单页面,但是我给他重现了一下,发现 https页面通过修改 hosts文件是重定向不了的。
然后我又从“已买到的宝贝>立即付款”跳转到支付宝付款那一步做重定向,未果。
其次,我又想到了 DNS劫持、ARP 投毒、中间人攻击、可是我又想就是刷个单,用着这么费劲的来骗人吗?忘大神们不吝赐教,热烈讨论。
前提一:帮我好朋友问的,他就想知道怎么死的,钱无所谓了
前提二:我也不支持淘宝刷销量
正文开始:(据他描述)
事情发生在昨天下午,刷销量的具体流程是这样的
1. 我朋友发链接给刷单的人
2. 刷单的人浏览之后拍下来,但是不付款
3. 刷单人申请远程(剩下的就是我朋友这边操作了)
4. 我朋友去刷单人“已买到的宝贝”,点击“立即付款”,然后跳转到支付宝页面,选择“银行卡”,填写我朋友自己的“银行卡号”,选择“网上银行”支付,跳转到银行的付款页面,填写“支付账号”,填写“手机号”,填写银行发送的“验证码”,完成付款。
完成付款之后,完成的并不是我朋友的订单,所以他很淡定的告诉我被骗了,我觉得也比较有意思,所以就问了一下具体过程。
首先我认为是刷单人的 hosts文件被修改了(从支付宝跳转到银行那一步),所以请求付款我朋友订单的页面,实际上是跳转到了刷单人自己待付款订单页面,但是我给他重现了一下,发现 https页面通过修改 hosts文件是重定向不了的。
然后我又从“已买到的宝贝>立即付款”跳转到支付宝付款那一步做重定向,未果。
其次,我又想到了 DNS劫持、ARP 投毒、中间人攻击、可是我又想就是刷个单,用着这么费劲的来骗人吗?忘大神们不吝赐教,热烈讨论。
 |
101
kalman03 2015-01-07 22:37:46 +08:00
写错了,是买家要求卖家发货或者申请退款。
|
 |
102
evilangel 2015-01-07 22:53:36 +08:00
键盘记录软件实时在另一台电脑显示密码和短信验证码,然后在另一电脑上操作另一订单付款不是很简单吗 ?
|
 |
103
zjgood 2015-01-07 22:53:41 +08:00 via Android
@sunocean 为学日益,为道日损。
对于骗术的具体实施步骤我觉得还是不掌握得好。不然可能损害自己的德行。 |
 |
104
shanxuefeng 2015-01-08 00:19:06 +08:00 via iPhone
会不会是这样,tb什么都正常,他是骗了那个手机验证码,在支付的时候是跳到已被hosts的网银页面,本地化很简单,手机验证码请求就是一摆设没用,提交什么都显示成功就行了,他在一旁的电脑上也进行了一次交易,你手机收到的验证码是他交易时候请求的,他大可把那些网银页面都hosts一次,你选哪个都中招。 不知道hosts对于https是不是有效未测试,如果有效找个方法最可信,没什么技术含量
|
 |
105
herozzm 2015-01-08 00:51:59 +08:00
很简单,根本不用host,chrome安装一个插件(可以自定义修改本机html的呈现的dom内容),将骗子自己的订单显示名称换成了你朋友的订单名称,你朋友远程操作看着是自己的订单号就晕乎乎付款了!
我以前就这样干过,网上下载了一个oa系统给人演示,但是该系统加密的,无法修改版权和logo什么的,自己写了一个chrome即可更换所有内容! |
|
106
herozzm 2015-01-08 00:52:44 +08:00
注:注明插件Tampermonkey就可以实现
|
|
107
herozzm 2015-01-08 00:54:46 +08:00
不好意思,没看到lz后面不错的IE浏览器,我赞同102楼所言
|
 |
108
lesswest OP |
|
110
shanxuefeng 2015-01-08 08:29:07 +08:00
@lesswest 为什么不可以?本地需要开443 https才会有效
|
|
111
lesswest OP @shanxuefeng 你试一下就知道了啊、我自己试验过了
|
 |
112
SharkIng 2015-01-08 09:42:34 +08:00
你在别人电脑上用网银还能安全么?即使那个人不收拾你,你能确保他的电脑上没有病毒么?
|
 |
113
breeswish 2015-01-08 10:11:01 +08:00
@lesswest https 跟 host 没有关系的,我经常 127.0.0.1 自己的 https 服务器用作本地调试,我猜你是测试的时候没有清空 DNS 缓存
绿色锁的话可以自己签发一个证书然后信任根就可以了 EV SSL 好像自己签发不了,反正我在 Chrome 上折腾的总是失败 |
|
114
breeswish 2015-01-08 10:16:46 +08:00
如果我是骗子,就建一个反向代理服务器然后修改流量,可以用 nginx 模块也可以用 nodejs + 现成模块几行撸一个出来,再加上 host 或者本地 DNS 解析到本地 IP。优点代码少、不需要插件,应该是完全无缝的。
|
Select Language