【通报】最新购物平台自动收货诈骗分析
2023-5-3 21:36:54 Author: WIN哥学安全(查看原文) 阅读量:13 收藏

1免责声明

本公众号所发布的文章及工具代码等仅限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。

2前言

近期在各类短视频平台,tg等,出现了一批出售自动收货源码的人。

大致看了一下,摸清楚了诈骗原理。并且对其进行了大致分析。

3大致分析

1.首先让受害者下单过后,自己前往支付宝查看,提出待收货的订单号

2.订单号提出来过后,进入相关诈骗程序后台,修改准备好的订单号到诈骗程序中

3.然后伪造x鱼,z转等平台的保价服务,告知受害者购买的东西比较贵重,建议购买保价服务等各种诱导受害者扫描通过url伪造的二维码等

4.当用户在x鱼,或z转中扫描二维码的时候,诈骗程序通过js进行跳转支付程序

5.如果诈骗站点在Agent头不是有关Alipay的其他地方打开,会输出一张图片


浏览器实际测试效果如下:

这里贴上相关代码:

并且在相关支付程序中显示伪造的页面,这里贴一张图:

诈骗程序页面的所有内容都是可以进行修改的,但是能供受害者点击的就只有一个立即支付按钮,当受害者点击立即支付按钮过后,会通过诈骗程序中的js将诈骗人员事先设置好的订单号引入,并且提交,这里贴上代码:

随着受害人点击立即支付的时候,js就会将设置好的订单号跟随,然后就是弹出支付界面

当受害人输入自己的支付密码的时候,实际显示的是收货成功的提示

同时诈骗人员的x鱼,z转等平台的也显示用户已收货,这个时候相关支付平台就会将暂时冻结的金额,打款给诈骗人员。

4大致统计

目前通过各方面信息收集,目前被骗人数上千人,金额从几十到几千不等,目前受害者人数还在持续增加中。希望相关支付平台能够有效处理此类诈骗问题,严格过滤来源请求不明的url,并且设置不属于相关业务的域名禁止在平台内打开(包括x鱼,z转等相关平台的请求)。

5总结

切勿在平台内听信卖家的话扫描一切二维码或者点击一切链接。否则下一个钱货两空的人就是你。

Taps:

下载地址:文章来源“法克安全”回复“ 230503”获取文章涉及程序资源

扫码回复“进群”加入交流群

往期精彩

工具获取回复“burp”“awvs”“nessus”“ladon”"Forfity"等可以。

快速攻击全自动化工具JuD

Exp-Tools 1.1.3版本发布

GUI-tools渗透测试工具箱框架

阿波罗自动化攻击评估系统

 微软 Word RCE附PoC

Clash最新远程代码执行漏洞(附POC)

禅道系统权限绕过与命令执行漏洞(附POC)

【附EXP】CVE-2022-40684 & CVE-2022-22954

网络安全应急预案合集

师傅们求点赞,求支持

文章来源: http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247492210&idx=1&sn=b331e08fc562bf265e7a7839955ab0ef&chksm=c0c84386f7bfca906f634bda3a95104df4faa0df661dbb1ee970e7369c61a8bf9053ae3ee226#rd
如有侵权请联系:admin#unsafe.sh