招嫖新骗局,利用闲鱼“淘口令”漏洞进行诈骗

利用闲鱼“淘口令”漏洞进行诈骗,这是一个现在非常高明的招嫖骗局,已经有不少人受骗!再次提醒,此骗局非常高明!因为利用的是闲鱼的漏洞,可以说基本看不出来毛病!

漏洞利用淘口令API漏洞及闲鱼的登录跳转漏洞
1:由于淘宝的淘口令是有开放API接口的,即你可以在第三方网站上生成淘口令!
2:闲鱼登录页面https://login.某宝网域名/member/login.jhtml这个页面有个跳转漏洞,淘宝没做白名单处理,可以在后面添加参数“?redirectURL=”跳转到任意网站!

于是
1:骗子们可以利用API接口生成一个真实的淘口令,但是这个口令里包含的钓鱼网站信息!
2:骗子们开始到处做广告,比如低价的什么东西,或者直接就是陪玩招嫖类信息!
3:你和骗子联系后,骗子告诉你闲鱼交易,然后给你淘口令
4:你复制了淘口令,打开闲鱼APP,闲鱼会认这个淘口令,然后直接就转到登录页,你一登录,他就跳到钓鱼网站上(这里注意,他不会钓你的账号密码,他只是利用登录的跳转操作
5:OK, 这个钓鱼页面当然是一个假页面,上面像模像样的跟闲鱼的商品信息是一样的,但是你点付款后,他就会跳转到一个支付宝支付页面!
6:你支付了,然后啥也没得到!因为这就是个假页面骗钱的!

还有更高明的,怕别人太精明,发现地址不对,这个钓鱼页面还会判断浏览器,如果你是在电脑上登录,他就会跳转到正常的闲鱼页面,防止你发现! 手机上操作太麻烦,基本没人能发现得了!

一套流程下来,你根本不知道怎么就被骗了,因为:
1:确实是淘口令
2:确实打开闲鱼认出了淘口令
3:确实是打开了对应的产品页(跳转出来的钓鱼页,当然做得一模一样:))
4:确实支付宝付款了

网络险恶,真是让人防不胜防啊!希望阿里尽快修复这个跳转漏洞和淘口令漏洞吧!

免责声明:本站资源多为网络收集,发布的文章及附件仅限用于学习和研究,不得用于商业或非法用途,否则后果请用户自负,并自觉于下载后24小时内删除!如涉及版权问题请及时与我们联系,邮箱:161747117@qq.com,我们会在第一时间内与您协商解决。