1
pppouj OP https://help.wechat.com/cgi-bin/newreadtemplate?(应该是唤起苹果支付了,ticket 就是账号的 token ,这个能查到户主吗?) t=help_center/apple_applinks&feature=appstore&schema_url=weixin://dl/business/?ticket=tda6fb21cbfad8d4dd5603e5f45c8fb77
|
2
FPL 2023-11-08 15:29:33 +08:00 via iPhone
这链接跳转微信也打不开啊?微信扣的款?能不能找微信客服申诉呢?
|
4
jazzg62 2023-11-08 15:33:19 +08:00
同楼上,微信申诉应该有希望
|
5
cnkuner 2023-11-08 15:33:25 +08:00
苹果支付找苹果申诉退款啊。
|
6
linauror 2023-11-08 15:35:53 +08:00 2
不用输密码或指纹,直接扣了?
|
7
pppouj OP |
8
pppouj OP 直接扣了 1298
https://imgur.com/RUcwbfz |
9
gzyguy 2023-11-08 15:40:43 +08:00
什么免密支付,直接扣了?
|
10
levon 2023-11-08 15:45:19 +08:00 1
appstore 扣费可以申请退回,尽快操作。晚了就不一定了
|
11
Fish1024 2023-11-08 15:48:46 +08:00
游戏充值 app store 一般是不会退款的。
|
13
FPL 2023-11-08 15:51:22 +08:00 via iPhone 1
这又是什么新型骗术?上次的那个菜谱也是套路,这又出现了新套路?
你这个充游戏了估计难找回了,通过微信走的 Apple Store 可以微信苹果双方联系一下吧,我感觉这个希望有点小,尽快去处理吧,只能说越早越有希望 |
14
fu4k 2023-11-08 15:53:28 +08:00
对方咸鱼 ID 多少?
|
15
LXchienne 2023-11-08 15:55:31 +08:00
这么奇葩?免密支付超过 1000 ?
|
16
YaD2x 2023-11-08 15:56:09 +08:00 via iPhone
没看懂,为啥充王者荣耀,给王者充值卖家又啥好处?能分到钱吗。
|
17
mercurylanded 2023-11-08 15:58:02 +08:00
不如先报警?
|
18
amaranthf 2023-11-08 15:58:47 +08:00
你点了链接之后,没有做其他任何操作,直接就微信扣款了?
|
19
ownSun 2023-11-08 16:04:50 +08:00
这给自己得账号冲得? 还是对方得
|
20
sott 2023-11-08 16:05:43 +08:00
@pppouj 看看你最新使用的小程序是什么?如果能看到就是它的鬼,参考 www.qwbm.com/mobile/anli/show.asp?id=1304
|
22
pppouj OP 目前在闲鱼申请卖家信息披露
|
23
mcluyu 2023-11-08 16:07:32 +08:00
打开微信后怎么扣款的呢? 没有任何验证指纹人脸,没有点击任何按钮,直接显示扣款成功?
还是是微信漏洞吗? 生成某个支付链接,开了免密支付的微信打开后自动扣款? |
24
silencil 2023-11-08 16:08:53 +08:00 1
@YaD2x 说明还有一个王者荣耀充值平台,以更低的价格吸引 A 用户购买,然后骗 B 用户充值王者。仅限猜测。可能是充值不好追踪骗子来源?各方扯皮难以追踪。
|
25
murmur 2023-11-08 16:09:31 +08:00
我记得 appstore 扣款要按上面 2 次的,就算是人脸
|
26
ochatokori 2023-11-08 16:12:26 +08:00 via Android
抢钱哇
|
27
justfindu 2023-11-08 16:13:02 +08:00
慢充, 洗钱, 诈骗. 这是微信漏洞啊
|
28
shyukyo 2023-11-08 16:13:55 +08:00 via Android
建议报警,找微信或者苹果希望不大,当然了,话说回来,报警的希望估计也不大,因为太多了警察根本忙不过来的
|
30
BeforeTooLate 2023-11-08 16:19:20 +08:00 10
@pppouj #12 > 这个链接是取得苹果免密支付权限,然后直接扣了 1000 多
什么意思,只要一个链接就自动获取了你 iphone 的免密权限并扣款,这是闻所未闻啊,如果有这个能力,那诈骗太简单了,各种发链接就行了,是不是其中有些步骤并忽略了。另外 op 到现在有没有去苹果申诉? |
31
0TSH60F7J2rVkg8t 2023-11-08 16:20:58 +08:00
@pppouj 这个 jay****@hotmail.com 的 Apple ID 是楼主您自己的吗?不是的话,怎么付给别人的?是您自己的话,充值也是充到您自己的王者荣耀 App 里了(因为跟 Apple ID 走,不是这个 ID 的拿不到充值的内购),那骗子又是怎么赚到钱的呢?另外,根据信息看 https://help.wechat.com/cgi-bin/newreadtemplate? 这个网址有 xss 漏洞,或者本不应该用 schema_url 呼叫出付款的,这里可以通过 url 呼出,显然是漏洞了,起码没校验参数,可能还得向腾讯报告。可惜乌云已经没了。
|
32
feiniu 2023-11-08 16:22:24 +08:00
什么都没输入就直接扣款了?
|
33
mapperv 2023-11-08 16:24:44 +08:00
我理解为 代充业务 然后把生成的支付订单捆绑到 url 发给 up ,up 扫码之后走的微信免密支付?
|
34
mapperv 2023-11-08 16:25:16 +08:00
扫码-》点击链接
|
35
FPL 2023-11-08 16:26:44 +08:00 via iPhone
如果可以的话,能否拿到楼主贴出所有聊天记录,以及具体过程?隐私打码可以吗?十分好奇整个流程,如何做到直接免密支付
|
36
Bingchunmoli 2023-11-08 16:28:19 +08:00 via Android
我第一反应是可能走了面容识别
|
37
barbery 2023-11-08 16:29:17 +08:00
关注,有点离奇
|
38
fazx 2023-11-08 16:30:13 +08:00 2
@ahhui https://security.tencent.com/ 腾讯安全应急响应中心,你要是能搞懂自己在说什么可以去提交,我反正是看不懂。这里 1 没有 XSS 漏洞,2 就算有 XSS 也做不到携带付款的后端请求。别不懂装大哥了。
|
39
hkiJava 2023-11-08 16:30:33 +08:00
任何付款都会走面容的吧 我原先 app 订阅 qq 音乐必走面容 你可能没注意金额吧?
|
40
gadfly3173 2023-11-08 16:31:22 +08:00 via Android
自 2022 年 4 月 11 日起,URL Scheme 有效期最长 30 天,不再支持永久有效的 URL Scheme 、不再区分短期有效 URL Scheme 与长期有效 URL Scheme 。若在微信外打开,用户可以在浏览器页面点击进入小程序。每个独立的 URL Scheme 被用户访问后,仅此用户可以再次访问并打开对应小程序,其他用户无法再次通过相同 URL Scheme 打开该小程序。
https://developers.weixin.qq.com/miniprogram/dev/OpenApiDoc/qrcode-link/url-scheme/generateScheme.html |
41
shyukyo 2023-11-08 16:31:46 +08:00 via Android 1
@pppouj 也不能说警察不会管,金额超过 1 千,你只要报警了就肯定要立案的,但警力资源确实有限,这也是客观现实,现在网络诈骗是案件的主体,占比很高的,光缅北那一摊就够忙活了,再加上各种街坊邻里的鸡毛蒜皮鸡飞狗跳,基层警察真的忙不过来的,你到派出所里走一趟就知道了。这种小额诈骗案能不能破全凭运气,毕竟不是命案,没有命案必破的压力。
事已至此,只能死马当活马医,咸鱼微信苹果各个平台不断申述再加报警,有用没用都去试一下。 |
42
GTim 2023-11-08 16:32:06 +08:00
苹果的免密码支付不是支付,而是免密码订阅,哪来的免密支付授权啊。
如果是免密支付,在微信里面有一个自动扣款。 就这个截图没法证实用户自己所说的。 |
43
hkiJava 2023-11-08 16:34:46 +08:00
闲鱼上你怎么能随便点外链呢 也是心大
|
44
dagger2 2023-11-08 16:36:08 +08:00
点击这个链接可以直接获取苹果免密支付权限?这什么逆天技术啊
|
45
zzzb002 2023-11-08 16:37:32 +08:00
appstore 问题不大,直接找苹果 退就行了
|
46
gadfly3173 2023-11-08 16:38:03 +08:00 via Android
据我小程序开发经验所知,小程序应该是不能调起 apple pay 的,合理怀疑 op 隐瞒了信息/链接与扣款无关
|
47
junkk 2023-11-08 16:39:29 +08:00
比较好奇这个具体的流程
|
48
shyukyo 2023-11-08 16:40:11 +08:00 via Android
另,我比较好奇一点,按标题,是在咸鱼购买视频会员,一般视频会员金额都是几十最多几百,那么链接产生的自动付款 1 千多是怎么来的?整个过程中,没有输入或者确认金额的环节吗?如果有,应该足以让 OP 发现问题,如果没有,那么骗子为什么不多骗一些,搞个两三千甚至更多?
|
51
shuang930225 2023-11-08 16:45:05 +08:00
马克,关注下后续,我在闲鱼买视频会员遇到过联合会员转移的骗子
|
52
2n80HF9IV8d05L9v 2023-11-08 16:50:12 +08:00
"只要一个链接就自动获取了你 iphone 的免密权限并扣款,这是闻所未闻啊,如果有这个能力,那诈骗太简单了,各种发链接就行了"
同意, op 目前说的东西站不住啊. 怎么可能这么简单 |
53
shyukyo 2023-11-08 16:53:02 +08:00 via Android
@SenLief 因为没有玩王者荣耀,所以我不懂这个,顺便问下,这个 1280 是封顶金额还是单价?我的意思是说,可不可以购买两份乃至 n 份 1280 ?
|
56
Ericcccccccc 2023-11-08 16:56:04 +08:00
点链接然后自动用 faceID 扣钱是有点吓人.
|
59
jst0701 2023-11-08 16:56:45 +08:00
哪有这么麻烦,直接苹果退款页面找到这个订单退款就好了,稍微描述一下 基本都会退
|
60
beixiao 2023-11-08 16:58:31 +08:00 via iPhone 9
刷了面容自己支付了,怎么变成“免密支付”了😅
|
61
pppouj OP @Ericcccccccc 也不是很恐怖,如果我点链接,不输入面容是不会被骗的,应该是潜意识按了两下关机键,苹果这点做的可以,是我自己不够小心
|
62
fru1t 2023-11-08 16:58:51 +08:00
你自己没看,迅速付款了吧?
不可能像你说的这么简单啊。 |
63
kylinC 2023-11-08 16:59:38 +08:00 1
上次也是扫咸鱼二维码直接唤起支付宝免密支付被骗
|
64
kingwrcy 2023-11-08 16:59:54 +08:00
你看到了商品名称是 王者荣耀 点券,完了还 输入了 面容? 如果是这样,好像自己的问题多点
|
66
qiyilai 2023-11-08 17:02:19 +08:00
不敢点 有没有详细点的说明过程 感觉不应该啊
|
69
shyukyo 2023-11-08 17:05:38 +08:00 via Android
@pppouj 你的意思是,整个过程中没有金额确认的环节,那么,如果真的可以购买多份 1280 的话,那只能说,你遇到了一个良心骗子,业界楷模!这算是不幸中的万幸了。
|
71
qiyilai 2023-11-08 17:05:53 +08:00
一层层看了回复 说白了还是刷脸支付了。。。
|
72
goodryb 2023-11-08 17:06:48 +08:00
|
73
yyf1234 2023-11-08 17:07:16 +08:00 via iPhone 1
分析一波。
1. help.wechat.com/cgi-bin/newreadtemplate?t=help_center/点击这个会跳到微信 2. 链接里面的微信没做参数校验,没过滤 urlschema ,weixin://dl/business/?ticket=xxxx ,这条会在微信里面打开任意网址 3. 这个网址应该是骗子高仿了一个什么页面骗过了 op ,通过微信的 jsapi 发起了支付。 op 应该是碰到黑产了 |
74
cyru1s 2023-11-08 17:08:46 +08:00 1
|
75
darksword21 2023-11-08 17:09:16 +08:00 via iPhone 18
看了半天以为现在这么牛逼一个链接直接骗钱,结果后面才说是自己刷脸了,浪费了我几分钟时间谢谢你
|
77
066aQg6jasP39ov4 2023-11-08 17:12:38 +08:00
我还以为点击链接直接免密支付,结果是自己刷脸支付的,浪费时间,c
|
78
OAw7tR7N38cBxiic 2023-11-08 17:12:56 +08:00
插旗,还有就是有必要买会员吗?
|
79
344457769 2023-11-08 17:14:26 +08:00 11
大概猜一下过程:
前提条件骗子发现两处可以利用的地方: 1 、在某网页(也许是苹果官方的网页)充值王者荣耀时选择使用微信支付,发现该网页唤起微信支付是利用的 URL Scheme ,这是浏览器里 H5 网页唤起 APP 通常使用的方法。 2 、OP 发的那个网页里有利用 URL Sheme 唤起微信的漏洞,即可以唤起任意 weixin 开头的 URL Scheme 。 于是,骗子生成了一个充值的 URL Scheme 并拼接上述网页地址发送给 OP ,OP 打开之后直接唤起微信支付,由于开启了人脸支付,OP 没来及的细看便下意识的触发人脸支付,Ding ~支付成功,OP 发现被骗,来到 V2EX 发帖。 |
80
kingpo 2023-11-08 17:15:40 +08:00
楼主是否开了免密支付?面容支付?支付页面没有其他提示吗?
|
82
x86 2023-11-08 17:18:44 +08:00 1
这种"0day"拿来骗你 1000 块是不是有点浪费了
|
83
tearnarry 2023-11-08 17:21:47 +08:00
原来是刷脸了,我说这么厉害没有任何确认一个链接就能直接扣钱
|
85
yiqiao 2023-11-08 17:30:42 +08:00
游戏充值不是只能 648 吗?怎么还能 1200+
|
86
letwewell 2023-11-08 17:34:24 +08:00
肯定是自己点错了 被骗的人都说不是自己的问题
|
87
jacksonj297 2023-11-08 17:37:08 +08:00 via iPhone
|
88
shyukyo 2023-11-08 17:38:04 +08:00 via Android 7
借着 OP 这个帖子分享一下自己曾经的一次差点被骗的经历吧,供各位 V 友借鉴参考。
我在某鱼挂单卖 steam 账号(小孩子私自注册一个新号并购买了一款游戏,但过了期限没法 steam 退款),为了引流去贴吧发帖,贴吧有人回复我(注意特征:都是打着高价回收游戏账号的旗号,我通过这次经历判断,99.99% 都是骗子,有使用贴吧的 V 友请留心)并在回帖中引导你去加 Q 群,群简介会给一个新的贴吧账号,引导你关注这个新贴吧账号私聊,如果你进群应该也有其他套路,但应该差不多,我没有进群,直接贴吧私聊,我说账号已经挂了某鱼,让他去拍,他说某鱼骗子多(其实他自己就是骗子,贼喊捉贼),说要去某转交易,我没用过,但为了能出手,我还是同意了,于是特意去研究了一下,在某转挂单,并把某转的购买链接发给对方,对方秒发一张付款截图( P 的),同时发一个二维码给我,说是某转对第一次在平台交易的客户,进行担保(我确实是属于第一次在某转交易的情况,也没有经验),让我扫码和客服联系完成交易,到这里其实就有点不对劲了。于是我就试着扫了一下码,跳出来一个聊天界面,客服的套路和很多电信诈骗差不多吧,主要的话术就是让你不要离开聊天窗口,否则会导致交易失败(引导你处于封闭空间里),然后给我二维码支付交易保证金,说什么等下交易成功后就会全额退保证金云云。我前面是用浏览器扫码联系这个所谓的客服,聊天界面显示浏览器地址根本不是某转的官方域名,这就很明显是善举了,我迅速去转转 App 里看了一下,发布的宝贝果然还在,根本没有被拍下(所以前面的付款截图肯定是 P 的),到这里骗局就演不下去了,对方也不废话,直接遁了,寻找下一个目标。所有过程我都截图了,本来想在贴吧曝光一下相关账号,但一想,其实意义不大,这种套路和模式,养的账号千千万,曝光一个账号有什么用,把这个套路和过程介绍一下或许还有点意义吧。 要点:1 )骗子抓住卖家急需出售账号回笼资金的心理弱点做文章。2 )不要扫或者点任何非官方二维码/链接,尤其是私聊中,对方提供的。3 )交易需谨慎,付款要三思,尤其是什么保证金、退款……等不在交易范围之内的款项。4 )陌生平台更要谨慎,这个案例中我一开始被套路很大程度上源于我对某转的不了解。当然了,熟悉的平台也不要掉以轻心,有时候骗子就是利用这种熟悉环境下心态放松警惕性下降的弱点。 最后说一句,各种骗术层出不穷,小心小心再小心,重要事情说三遍! |
89
momo1pm 2023-11-08 17:38:36 +08:00 2
搁着标题党呢,刷脸了怎么叫链接点了就扣款了,uc 毕业的?
|
90
shenqi 2023-11-08 17:41:21 +08:00
我想围观下后续。
|
91
imaple 2023-11-08 17:42:29 +08:00
不是为啥会刷脸支付了呢?想想也不合理啊,条件反射付钱就自动双击确认?
|
92
1KTN90lKW9gVJ9vX 2023-11-08 17:43:49 +08:00 via iPhone
@momo1pm 还好我挡住摄像头哈哈😄
|
93
lx271896700133 2023-11-08 17:46:19 +08:00
打苹果客服电话,肯定会给你退。
|
94
wuxidixi 2023-11-08 17:47:59 +08:00
真牛逼,一个链接就能破了苹果的防,都不用刷脸和指纹的么,这玩意谁研究的
|
95
shyukyo 2023-11-08 17:51:00 +08:00 via Android 2
补充说明一下,其实当时我就把上述案例在贴吧发了一个主贴进行分享,希望能给后来者提个醒,但被秒删,也不知道是触发了贴吧系统的敏感关键词审核还是什么的,甚至一度怀疑贴吧是否有人(例如,吧主或者其他系统管理员等)和这些黑产勾结,反正也管不了那么多了,不让发贴就不发吧,意兴阑珊了
|
96
ByLCY 2023-11-08 17:55:15 +08:00
@imaple op 在 61 楼说了有刷脸操作,所以大概率是点击链接后唤起了 apple pay 的付款,然后 op 没细看就双击刷脸支付了
|
97
stardew 2023-11-08 17:56:50 +08:00
牛逼
|
99
shyukyo 2023-11-08 18:03:59 +08:00 via Android 1
通过 OP 这个案例可以得到经验:面容支付慎用!因为可能会因为太便捷付款速度太快导致你根本没有反应时间来不及思考,就那么“咻”的一下,钱就没了。相对来说,指纹支付操作反应时间更长一丁丁点儿,稍微好一丢丢吧,但也是同样有这个问题,没办法,便捷性和安全性是一对永恒的矛盾!
|
100
nexo 2023-11-08 18:08:01 +08:00
应该是各种繁琐操作把你给虎了 最后以为是免密支付
|