支付扫码中的陷阱 你money消失的真相

简介: 随着社会发展,手机支付作为一种快速便捷的支付方式日益盛行,特别是扫描二维码俨然成为支付方式中一种比较常见的。然而,二维码支付给大家带来便利的同时,也给犯罪分子带来了可乘之机,利用二维码实施诈骗。诈骗方式也五花八门、多种多样,不法分子可谓是煞费苦心、无孔不入。

       随着社会发展,手机支付作为一种快速便捷的支付方式日益盛行,特别是扫描二维码俨然成为支付方式中一种比较常见的。然而,二维码支付给大家带来便利的同时,也给犯罪分子带来了可乘之机,利用二维码实施诈骗。诈骗方式也五花八门、多种多样,不法分子可谓是煞费苦心、无孔不入。

骗局1:静态条码被调换

随着支付宝和微信的推广,越来越多的小微商户使用静态条码作为收款码。一些不法分子会利用条码静态的特点,偷偷调换二维码,使得客户扫码所付资金最终流到了不法分子的口袋。

破解之道:消费者可在扫码后先向商家进行确认是否是该商户的账号,在商户确认后再向其账号进行汇款。

骗局2:收款码伪造虚假缴费二维码

不法分子利用一些“违章停车交罚款”“共享单车开锁”“网购退款诈骗”等用虚假二维码进行诈骗的情况,不法分子以便捷缴费等名义诱使群众转账汇款,,使得客户不小心就落入圈套。

破解之道:不要见码就扫,在收到水费、电费、罚单、网购退款等通知后,先通过电话等方式谨慎核实收款者身份,避免被不法分子借机骗取资金。

骗局3:条码中嵌入木马病毒程序

在生成的二维码中植入木马病毒程序也是不法分子对消费者实施欺诈的手段之一。消费者一旦扫了这些条码,手机便会不知不觉被他人操控,然后个人信息泄露、资产被盗刷各种安全问题随时都会发生。

破解之道:对不明渠道及来源的二维码要时刻保持警惕,不要进行扫码。


你说啥? 没那么简单?本忽悠就针对技术角度来给你造一个,看完,懂技术的,不懂技术的都蒙圈了。

咱先来看下扫码的技术实现:

支付宝二维码页面:https://auth.alipay.com/login/homeB.htm?redirectType=parent该页面请求之后会返回securityId(如web|authcenter_querypwd_login|2fb227a3-e5c0-469e-b27f-471b584cf070),barcode(如https://qr.alipay.com/plpyjknzdbjrluty4b)securityId主要是来给前端轮询二维码扫描状态的;而barcode是二维码中的字符串,给手机客户端扫描用的。轮询接口:https://securitycore.alipay.com/barcode/barcodeProcessStatus.json?securityId=web|authcenter_querypwd_login|2fb227a3-e5c0-469e-b27f-471b584cf070&_callback=light.request._callbacks.callback2二维码的状态信息有waiting(等待扫描)、scan(已扫描)、confirm(手机扫描之后点击确定登录)还有timeout(超时失效)。二维码扫描之后确认登录请求:https://mobile.alipay.com/scanResult.htm postdata:securityId=web|authcenter_querypwd_login|2fb227a3-e5c0-469e-b27f-471b584cf070

正常的流程是:

1.用户浏览器访问扫码登录页面,页面生成二维码并一直在轮询二维码状态;

2.用户用支付宝客户端扫描二维码,二维码状态变成scan,等待用户确认登录;

3.用户在手机上确认登录;

4.二维码状态变成confirm,浏览器实现以扫描手机的支付宝用户登录支付宝。但是在第三步,我们却可以构造一个页面进行登录你的支付宝!

好,我们根据这个逻辑来构造攻击

1.攻击者访问扫码登录页面,自己写个浏览器插件实时提取出里面的securityId和barcode,并更新securityId状态到本地,若timeout则刷新二维码;

2.攻击者从本地将barcode当字符串生成自己的二维码图片放在自己的网站上,js一直轮询本地的securityId状态;


3.受害者浏览器登录支付宝的前提下,访问攻击者页面,用手机支付宝客户端扫描上面的二维码;


4.js轮询到securityId变成scan,在一个隐藏iframe里提交form表单来做确认登录请求;


5.攻击者访问的扫码登录页面实现登录受害者的支付宝账号。

当然,这只是很简单的概括性,其中操作包含很多细节未公开,但是也可见,扫码也存在很多安全隐患,这就是为什么不要轻易扫别人二维码的原因,你觉得安全,是因为你还没碰到要搞你的人,网上一堆博士生硕士生也受骗,难道你觉得你会比他们更聪明? 本故事纯属博主忽悠,请根据事实判断,谨防受骗。

相关文章
网上平台提现被拒客服以各种理由不给出应该怎么办?
网上被黑可能是你遇到黑平台才会导致的,遇到事情不要慌一下文章可能帮你换回损失
159 1
网上平台提现被拒客服以各种理由不给出应该怎么办?
|
移动开发 Android开发
实战:第七章:微信H5支付时用户有微信分身停留5秒后未选择哪个微信分身,也未支付就被动回调到商户支付是否完成的页面...
实战:第七章:微信H5支付时用户有微信分身停留5秒后未选择哪个微信分身,也未支付就被动回调到商户支付是否完成的页面...
146 0
|
NoSQL 关系型数据库 MySQL
别忘了,今天是你的节日(波场充值回调)
别忘了,今天是你的节日(波场充值回调)
259 0
别忘了,今天是你的节日(波场充值回调)
|
移动开发 监控 安全
第十一期 | 你抢不到的优惠券,背后“元凶”竟是垃圾注册?
顶象防御云业务安全情报中心发现,某电商平台注册场景出现大批量异常注册。黑产通过批量注册获得大量平台账号,为其后续在电商平台大促期间开展批量抢券、秒杀、刷单等行为进行账号储备。
199 0
第十一期 | 你抢不到的优惠券,背后“元凶”竟是垃圾注册?
程序人生 - 王者荣耀隐身设置,不让好友看到在线状态
程序人生 - 王者荣耀隐身设置,不让好友看到在线状态
294 0
程序人生 - 王者荣耀隐身设置,不让好友看到在线状态
|
Java
编写Java程序,用户在网上购买商品(good),当用户买了一本书(book)、一顶帽子(hat)或者买了一双鞋子(shoe),卖家就会通过物流将商品邮寄给用户,使用简单工厂模式模拟这一过程。
编写Java程序,用户在网上购买商品(good),当用户买了一本书(book)、一顶帽子(hat)或者买了一双鞋子(shoe),卖家就会通过物流将商品邮寄给用户,使用简单工厂模式模拟这一过程。
239 0
编写Java程序,用户在网上购买商品(good),当用户买了一本书(book)、一顶帽子(hat)或者买了一双鞋子(shoe),卖家就会通过物流将商品邮寄给用户,使用简单工厂模式模拟这一过程。
|
iOS开发 MacOS Python
抽奖过程公布,我用了一款有故事的抽奖工具
之前学委发表了一篇文末抽奖的文章:Python中处理字符串的常用函数汇总【文末送书】
202 0
抽奖过程公布,我用了一款有故事的抽奖工具
|
供应链 前端开发 NoSQL
幸运大转盘抽奖逻辑实现
幸运大转盘抽奖逻辑实现
2246 0
幸运大转盘抽奖逻辑实现
|
Web App开发 数据可视化 程序员
智能化时代你还在手动刷新浏览器抢火车票?那你就真的Out了!假期快来了,冰河提前放大招,教你如何使用Python脚本自动抢火车票
如果我们手动登陆12306网站,登录时需要输入用户名与密码,然后需要输入蛋疼的验证码,然后选择起、始站,时间,车次类型,点击查询,再选择车次,乘客,提交订单。如果按照这样的手动操作下来,票早已经没有了!!
166 0