支付宝内置浏览器被用于诈骗 在闲鱼进行交易时请勿进行任何扫码 – 蓝点网 - {$web_name} 尽管不算是可靠漏洞

自假期着手就有使用者在知乎以及小红书等渠道转发自己在闲鱼上采购商品时被卖家运用保价开展诈骗的历程。

最初受害者多数是在闲鱼上采购破解使用和源代码的使用者，而如今已然有更多诈骗者运用这种手法开展欺诈。

从网民转发的解读微信功能趋势被骗历程来看首要难题来自支付宝，尽管不算是可靠漏洞，但支付宝的逻辑处理被诈骗者运用。

而核心环节就是买家轻信诈骗者发送的二维码，所以在这里也提醒大家，不要目睹二维码就扫很或许有大坑。

诈骗者大约的操控流程：

大家在小黄鱼上交易首要看中的就是渠道提供担保交易，即买家收到货后检查无误证实收货后卖家才能收钱。揭秘开放世界速递

也正是如此一旦使用者证实收货那就视为商品无误交易达成，此时渠道向卖家放款如有难题再申诉也难以处理。

诈骗者运用自建站点伪造所谓的闲鱼尊享寄，0元可获得10,000元保价，正常状况下买家肯定愿意领取保价。热点速递

所以在卖家发来二维码时很轻松轻信刻画而扫码并使用支付宝开启 ，接着就是按页面提示操控支付1元运费。

难题就在于这个所谓的保价页面是伪造的，当使用者输入密码开展支付时实际网页调用的是咸鱼证实收货特性。

所以买家在没有收到货或存在难题的解读演员阵容攻略状况下就会证实收货，此时渠道向诈骗者打款，接着诈骗者将使用者拉黑。

黑锅得支付宝背：

这个难题并不算是什么严重漏洞，但是这段时间被诈骗的使用者应该众多增多，已然有使用者向当地派出所报警。

那黑锅该谁被呢？该支付宝背，由于实际这就是支付宝内置阅读器和有关业务接口没有开展校验导致的难题。

按理说不管是淘宝、天猫还是闲鱼这类渠道调用支付宝证实收货时，支付宝都应该校验页面域名放行白名单。

而支付宝本身内置阅读组件，假如不校验白名单使用者使用支付宝开启钓鱼站点，实际上难以分辨页面的真假。

当下支付宝似乎也已然察觉这个难题 ，但只是对满1000元的交易开展二次证实，低于1000元没有二次证实。

这种处理方式显然还是不够的，提议支付宝还是老老实实对接口开展鉴权，另外为内置阅读器挂上可靠提示。