我想买两张张杰武汉演唱会的门票。在小红书上和骗子联系好后,骗子首先发来了闲鱼宝贝的链接(是真的在闲鱼平台上的),我在闲鱼将其拍下之后。骗子以要我付运费为理由,发给我一个二维码,要我在闲鱼平台打开扫描。
这个二维码通过闲鱼扫描之后会跳转到支付宝,支付宝支付一元之后,闲鱼突然自动收货了,此时骗子收到钱了之后把我拉黑了。
网友分析:
闲鱼交易不要扫描任何对方发来的二维码,通常是以补快递费等理由发的付款码。目前支付宝存在逻辑漏洞,一个精心构造的虚假页面可以直接拉起确认收货提示框,如果此时确认收货会钱货两空。虽然确认收货需要二次验证(密码、指纹、面容),但如果使用了 Face ID,这个二次验证基本等于自动确认。
淘宝系App本身并不提供担保服务,担保交易功能由支付宝提供。这个接口是公开的Jsbridge 接口,不管是阿里系还是第三方都在调用这个接口接口设计之初并没有考虑到根据调用域名来鉴权,所以并不容易改动。看起来调用这个接口时支付宝并没有做二次确认,直接触发了确认流程 (FaceID),连付款都是假的。
