V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
pppouj
V2EX  ›  全球工单系统

在闲鱼买视频会员对方发来一个链接,被骗 1000 多,怎么办?

  •  1
     
  •   pppouj · 158 天前 · 14322 次点击
    这是一个创建于 158 天前的主题,其中的信息可能已经有所发展或是发生改变。
    链接如下,各位不要点!! 点了会唤起微信扣款,有没有什么办法,能够追回这 1000? 或者制裁下这种人

    https://help.wechat.com/cgi-bin/newreadtemplate?(勿点) t=help_center/apple_applinks&feature=appstore&schema_url=weixin%3A%2F%2Fdl%2Fbusiness%2F%3Fticket%3Dtda6fb21cbfad8d4dd5603e5f45c8fb77
    第 1 条附言  ·  156 天前
    讲述下被骗流程:
    1.闲鱼看见低价电视端视频会员
    2.与卖家发起沟通,卖家说有的,直接拍
    3.拍后问我是 ios 还是安卓,(电视端和 ios 与安卓并于关联,这时已经是进入诈骗人员涉及好的话术与陷阱)
    4.卖家发给我一个视频让我跟着视频操作, 我了一下比较繁琐,打算取消,
    5.随后卖家点击已发货,并说已经帮我开通好了,发我一个链接让我查看

    https://help.wechat.com/cgi-bin/newreadtemplate?t=help_center/apple_applinks&feature=appstore&schema_url=weixin%3A%2F%2Fdl%2Fbusiness%2F%3Fticket%3Dtda6fb21cbfad8d4dd5603e5f45c8fb77

    6.点开链接从微信授权 ios 免密协议,这时候唤起苹果面容,我按了面容解锁,大概 3 分钟我 app Stroe 绑定的银行卡有笔王者荣耀 1298 点券的消费。
    156 条回复    2023-11-20 04:47:29 +08:00
    1  2  
    pppouj
        1
    pppouj  
    OP
       158 天前
    https://help.wechat.com/cgi-bin/newreadtemplate?(应该是唤起苹果支付了,ticket 就是账号的 token ,这个能查到户主吗?) t=help_center/apple_applinks&feature=appstore&schema_url=weixin://dl/business/?ticket=tda6fb21cbfad8d4dd5603e5f45c8fb77
    FPL
        2
    FPL  
       158 天前 via iPhone
    这链接跳转微信也打不开啊?微信扣的款?能不能找微信客服申诉呢?
    pppouj
        3
    pppouj  
    OP
       158 天前
    @FPL 应该是应该是加了时间戳了,我刚刚试了也不行,是 appstore 扣费,王者荣耀点券充值 1280
    jazzg62
        4
    jazzg62  
       158 天前
    同楼上,微信申诉应该有希望
    cnkuner
        5
    cnkuner  
       158 天前
    苹果支付找苹果申诉退款啊。
    linauror
        6
    linauror  
       158 天前   ❤️ 2
    不用输密码或指纹,直接扣了?
    pppouj
        7
    pppouj  
    OP
       158 天前
    pppouj
        8
    pppouj  
    OP
       158 天前
    直接扣了 1298
    https://imgur.com/RUcwbfz
    gzyguy
        9
    gzyguy  
       158 天前
    什么免密支付,直接扣了?
    levon
        10
    levon  
       158 天前   ❤️ 1
    appstore 扣费可以申请退回,尽快操作。晚了就不一定了
    Fish1024
        11
    Fish1024  
       158 天前
    游戏充值 app store 一般是不会退款的。
    pppouj
        12
    pppouj  
    OP
       158 天前
    @gzyguy 这个链接是取得苹果免密支付权限,然后直接扣了 1000 多
    FPL
        13
    FPL  
       158 天前 via iPhone   ❤️ 1
    这又是什么新型骗术?上次的那个菜谱也是套路,这又出现了新套路?
    你这个充游戏了估计难找回了,通过微信走的 Apple Store 可以微信苹果双方联系一下吧,我感觉这个希望有点小,尽快去处理吧,只能说越早越有希望
    fu4k
        14
    fu4k  
       158 天前
    对方咸鱼 ID 多少?
    LXchienne
        15
    LXchienne  
       158 天前
    这么奇葩?免密支付超过 1000 ?
    YaD2x
        16
    YaD2x  
       158 天前 via iPhone
    没看懂,为啥充王者荣耀,给王者充值卖家又啥好处?能分到钱吗。
    mercurylanded
        17
    mercurylanded  
       158 天前
    不如先报警?
    amaranthf
        18
    amaranthf  
       158 天前
    你点了链接之后,没有做其他任何操作,直接就微信扣款了?
    ownSun
        19
    ownSun  
       158 天前
    这给自己得账号冲得? 还是对方得
    sott
        20
    sott  
       158 天前
    @pppouj 看看你最新使用的小程序是什么?如果能看到就是它的鬼,参考 www.qwbm.com/mobile/anli/show.asp?id=1304
    pppouj
        21
    pppouj  
    OP
       158 天前
    @amaranthf 不是 链接是取的 ios 的免密支付授权
    pppouj
        22
    pppouj  
    OP
       158 天前
    目前在闲鱼申请卖家信息披露
    mcluyu
        23
    mcluyu  
       158 天前
    打开微信后怎么扣款的呢? 没有任何验证指纹人脸,没有点击任何按钮,直接显示扣款成功?

    还是是微信漏洞吗? 生成某个支付链接,开了免密支付的微信打开后自动扣款?
    silencil
        24
    silencil  
       158 天前   ❤️ 1
    @YaD2x 说明还有一个王者荣耀充值平台,以更低的价格吸引 A 用户购买,然后骗 B 用户充值王者。仅限猜测。可能是充值不好追踪骗子来源?各方扯皮难以追踪。
    murmur
        25
    murmur  
       158 天前
    我记得 appstore 扣款要按上面 2 次的,就算是人脸
    ochatokori
        26
    ochatokori  
       158 天前 via Android
    抢钱哇
    justfindu
        27
    justfindu  
       158 天前
    慢充, 洗钱, 诈骗. 这是微信漏洞啊
    shyukyo
        28
    shyukyo  
       158 天前 via Android
    建议报警,找微信或者苹果希望不大,当然了,话说回来,报警的希望估计也不大,因为太多了警察根本忙不过来的
    pppouj
        29
    pppouj  
    OP
       158 天前   ❤️ 1
    @shyukyo 警察不会管的
    BeforeTooLate
        30
    BeforeTooLate  
       158 天前   ❤️ 10
    @pppouj #12 > 这个链接是取得苹果免密支付权限,然后直接扣了 1000 多
    什么意思,只要一个链接就自动获取了你 iphone 的免密权限并扣款,这是闻所未闻啊,如果有这个能力,那诈骗太简单了,各种发链接就行了,是不是其中有些步骤并忽略了。另外 op 到现在有没有去苹果申诉?
    ahhui
        31
    ahhui  
       158 天前
    @pppouj 这个 jay****@hotmail.com 的 Apple ID 是楼主您自己的吗?不是的话,怎么付给别人的?是您自己的话,充值也是充到您自己的王者荣耀 App 里了(因为跟 Apple ID 走,不是这个 ID 的拿不到充值的内购),那骗子又是怎么赚到钱的呢?另外,根据信息看 https://help.wechat.com/cgi-bin/newreadtemplate? 这个网址有 xss 漏洞,或者本不应该用 schema_url 呼叫出付款的,这里可以通过 url 呼出,显然是漏洞了,起码没校验参数,可能还得向腾讯报告。可惜乌云已经没了。
    feiniu
        32
    feiniu  
       158 天前
    什么都没输入就直接扣款了?
    mapperv
        33
    mapperv  
       158 天前
    我理解为 代充业务 然后把生成的支付订单捆绑到 url 发给 up ,up 扫码之后走的微信免密支付?
    mapperv
        34
    mapperv  
       158 天前
    扫码-》点击链接
    FPL
        35
    FPL  
       158 天前 via iPhone
    如果可以的话,能否拿到楼主贴出所有聊天记录,以及具体过程?隐私打码可以吗?十分好奇整个流程,如何做到直接免密支付
    Bingchunmoli
        36
    Bingchunmoli  
       158 天前 via Android
    我第一反应是可能走了面容识别
    barbery
        37
    barbery  
       158 天前
    关注,有点离奇
    fazx
        38
    fazx  
       158 天前   ❤️ 2
    @ahhui https://security.tencent.com/ 腾讯安全应急响应中心,你要是能搞懂自己在说什么可以去提交,我反正是看不懂。这里 1 没有 XSS 漏洞,2 就算有 XSS 也做不到携带付款的后端请求。别不懂装大哥了。
    hkiJava
        39
    hkiJava  
       158 天前
    任何付款都会走面容的吧 我原先 app 订阅 qq 音乐必走面容 你可能没注意金额吧?
    gadfly3173
        40
    gadfly3173  
       158 天前 via Android
    自 2022 年 4 月 11 日起,URL Scheme 有效期最长 30 天,不再支持永久有效的 URL Scheme 、不再区分短期有效 URL Scheme 与长期有效 URL Scheme 。若在微信外打开,用户可以在浏览器页面点击进入小程序。每个独立的 URL Scheme 被用户访问后,仅此用户可以再次访问并打开对应小程序,其他用户无法再次通过相同 URL Scheme 打开该小程序。
    https://developers.weixin.qq.com/miniprogram/dev/OpenApiDoc/qrcode-link/url-scheme/generateScheme.html
    shyukyo
        41
    shyukyo  
       158 天前 via Android   ❤️ 1
    @pppouj 也不能说警察不会管,金额超过 1 千,你只要报警了就肯定要立案的,但警力资源确实有限,这也是客观现实,现在网络诈骗是案件的主体,占比很高的,光缅北那一摊就够忙活了,再加上各种街坊邻里的鸡毛蒜皮鸡飞狗跳,基层警察真的忙不过来的,你到派出所里走一趟就知道了。这种小额诈骗案能不能破全凭运气,毕竟不是命案,没有命案必破的压力。
    事已至此,只能死马当活马医,咸鱼微信苹果各个平台不断申述再加报警,有用没用都去试一下。
    GTim
        42
    GTim  
       158 天前
    苹果的免密码支付不是支付,而是免密码订阅,哪来的免密支付授权啊。

    如果是免密支付,在微信里面有一个自动扣款。

    就这个截图没法证实用户自己所说的。
    hkiJava
        43
    hkiJava  
       158 天前
    闲鱼上你怎么能随便点外链呢 也是心大
    dagger2
        44
    dagger2  
       158 天前
    点击这个链接可以直接获取苹果免密支付权限?这什么逆天技术啊
    zzzb002
        45
    zzzb002  
       158 天前
    appstore 问题不大,直接找苹果 退就行了
    gadfly3173
        46
    gadfly3173  
       158 天前 via Android
    据我小程序开发经验所知,小程序应该是不能调起 apple pay 的,合理怀疑 op 隐瞒了信息/链接与扣款无关
    junkk
        47
    junkk  
       158 天前
    比较好奇这个具体的流程
    shyukyo
        48
    shyukyo  
       158 天前 via Android
    另,我比较好奇一点,按标题,是在咸鱼购买视频会员,一般视频会员金额都是几十最多几百,那么链接产生的自动付款 1 千多是怎么来的?整个过程中,没有输入或者确认金额的环节吗?如果有,应该足以让 OP 发现问题,如果没有,那么骗子为什么不多骗一些,搞个两三千甚至更多?
    hkiJava
        49
    hkiJava  
       158 天前
    @shyukyo 所以没图 op 说勾八呢
    SenLief
        50
    SenLief  
       158 天前
    @shyukyo 因为王者荣耀只有 1280 的付款。
    shuang930225
        51
    shuang930225  
       158 天前
    马克,关注下后续,我在闲鱼买视频会员遇到过联合会员转移的骗子
    hzzz0823
        52
    hzzz0823  
       158 天前
    "只要一个链接就自动获取了你 iphone 的免密权限并扣款,这是闻所未闻啊,如果有这个能力,那诈骗太简单了,各种发链接就行了"

    同意, op 目前说的东西站不住啊. 怎么可能这么简单
    shyukyo
        53
    shyukyo  
       158 天前 via Android
    @SenLief 因为没有玩王者荣耀,所以我不懂这个,顺便问下,这个 1280 是封顶金额还是单价?我的意思是说,可不可以购买两份乃至 n 份 1280 ?
    pppouj
        54
    pppouj  
    OP
       158 天前
    @hzzz0823 点击链接 输入了面容
    pppouj
        55
    pppouj  
    OP
       158 天前
    @shyukyo 应该可以的,但是我很好奇为什么只买一份
    Ericcccccccc
        56
    Ericcccccccc  
       158 天前
    点链接然后自动用 faceID 扣钱是有点吓人.
    pppouj
        57
    pppouj  
    OP
       158 天前
    @ahhui 不是我的 ,应该是他生成的
    pppouj
        58
    pppouj  
    OP
       158 天前
    @hkiJava 楼上有图 爬楼看看
    jst0701
        59
    jst0701  
       158 天前
    哪有这么麻烦,直接苹果退款页面找到这个订单退款就好了,稍微描述一下 基本都会退
    beixiao
        60
    beixiao  
       158 天前 via iPhone   ❤️ 9
    刷了面容自己支付了,怎么变成“免密支付”了😅
    pppouj
        61
    pppouj  
    OP
       158 天前   ❤️ 1
    @Ericcccccccc 也不是很恐怖,如果我点链接,不输入面容是不会被骗的,应该是潜意识按了两下关机键,苹果这点做的可以,是我自己不够小心
    fru1t
        62
    fru1t  
       158 天前
    你自己没看,迅速付款了吧?
    不可能像你说的这么简单啊。
    kylinC
        63
    kylinC  
       158 天前   ❤️ 1
    上次也是扫咸鱼二维码直接唤起支付宝免密支付被骗
    kingwrcy
        64
    kingwrcy  
       158 天前
    你看到了商品名称是 王者荣耀 点券,完了还 输入了 面容? 如果是这样,好像自己的问题多点
    hkiJava
        65
    hkiJava  
       158 天前
    @beixiao 而且能看到付款多少的
    qiyilai
        66
    qiyilai  
       158 天前
    不敢点 有没有详细点的说明过程 感觉不应该啊
    pppouj
        67
    pppouj  
    OP
       158 天前
    @kingwrcy 没有看到王者荣耀点券和价格的,弹出来的是免密支付的权限确认
    pppouj
        68
    pppouj  
    OP
       158 天前
    @kingwrcy 的确是自己问题。 当时小心点就好了,我买电视会员问我是苹果还是安卓的手机,原来是为了骗我 rmb
    shyukyo
        69
    shyukyo  
       158 天前 via Android
    @pppouj 你的意思是,整个过程中没有金额确认的环节,那么,如果真的可以购买多份 1280 的话,那只能说,你遇到了一个良心骗子,业界楷模!这算是不幸中的万幸了。
    beixiao
        70
    beixiao  
       158 天前 via iPhone
    @pppouj #67 设置-钱包-支付设置-免密支付 看一下
    qiyilai
        71
    qiyilai  
       158 天前
    一层层看了回复 说白了还是刷脸支付了。。。
    goodryb
        72
    goodryb  
       158 天前
    @pppouj #61 所以你理解的是没有输入密码就是免密支付吗, 面容支付也是验证环节,和密码一个效果

    想想怎么追回吧,咸鱼投诉、微信投诉
    yyf1234
        73
    yyf1234  
       158 天前 via iPhone   ❤️ 1
    分析一波。

    1. help.wechat.com/cgi-bin/newreadtemplate?t=help_center/点击这个会跳到微信
    2. 链接里面的微信没做参数校验,没过滤 urlschema ,weixin://dl/business/?ticket=xxxx ,这条会在微信里面打开任意网址
    3. 这个网址应该是骗子高仿了一个什么页面骗过了 op ,通过微信的 jsapi 发起了支付。

    op 应该是碰到黑产了
    cyru1s
        74
    cyru1s  
       158 天前   ❤️ 1
    https://cloud.tencent.com/developer/article/1487697

    原理大概是这样的,至于怎么通过骗子的网站绕过到 appstore 订阅里就很神奇了
    darksword21
        75
    darksword21  
       158 天前 via iPhone   ❤️ 18
    看了半天以为现在这么牛逼一个链接直接骗钱,结果后面才说是自己刷脸了,浪费了我几分钟时间谢谢你
    pppouj
        76
    pppouj  
    OP
       158 天前
    @shyukyo 我卡里面没有多少钱(手动狗头)
    aelloncs
        77
    aelloncs  
       158 天前
    我还以为点击链接直接免密支付,结果是自己刷脸支付的,浪费时间,c
    ccnocc
        78
    ccnocc  
       158 天前
    插旗,还有就是有必要买会员吗?
    344457769
        79
    344457769  
       158 天前   ❤️ 11
    大概猜一下过程:

    前提条件骗子发现两处可以利用的地方:

    1 、在某网页(也许是苹果官方的网页)充值王者荣耀时选择使用微信支付,发现该网页唤起微信支付是利用的 URL Scheme ,这是浏览器里 H5 网页唤起 APP 通常使用的方法。
    2 、OP 发的那个网页里有利用 URL Sheme 唤起微信的漏洞,即可以唤起任意 weixin 开头的 URL Scheme 。

    于是,骗子生成了一个充值的 URL Scheme 并拼接上述网页地址发送给 OP ,OP 打开之后直接唤起微信支付,由于开启了人脸支付,OP 没来及的细看便下意识的触发人脸支付,Ding ~支付成功,OP 发现被骗,来到 V2EX 发帖。
    kingpo
        80
    kingpo  
       158 天前
    楼主是否开了免密支付?面容支付?支付页面没有其他提示吗?
    x86
        81
    x86  
       158 天前
    @YaD2x #16 它给别人做慢充,拿你的钱去冲,三方平台收的别人的钱
    x86
        82
    x86  
       158 天前   ❤️ 1
    这种"0day"拿来骗你 1000 块是不是有点浪费了
    tearnarry
        83
    tearnarry  
       158 天前
    原来是刷脸了,我说这么厉害没有任何确认一个链接就能直接扣钱
    qiaobeier
        84
    qiaobeier  
       158 天前
    @pppouj #61 原来如此,之前我也有过,我女儿让我买游戏,以为 68 一次性购买,结果是每周。。。
    yiqiao
        85
    yiqiao  
       158 天前
    游戏充值不是只能 648 吗?怎么还能 1200+
    letwewell
        86
    letwewell  
       158 天前
    肯定是自己点错了 被骗的人都说不是自己的问题
    jacksonj297
        87
    jacksonj297  
       158 天前 via iPhone
    @letwewell 微信支付有个账户被盗险 100 万,但每次被骗都不理赔。
    @tearnarry @x86 @344457769 @yyf1234 @goodryb
    shyukyo
        88
    shyukyo  
       158 天前 via Android   ❤️ 7
    借着 OP 这个帖子分享一下自己曾经的一次差点被骗的经历吧,供各位 V 友借鉴参考。
    我在某鱼挂单卖 steam 账号(小孩子私自注册一个新号并购买了一款游戏,但过了期限没法 steam 退款),为了引流去贴吧发帖,贴吧有人回复我(注意特征:都是打着高价回收游戏账号的旗号,我通过这次经历判断,99.99% 都是骗子,有使用贴吧的 V 友请留心)并在回帖中引导你去加 Q 群,群简介会给一个新的贴吧账号,引导你关注这个新贴吧账号私聊,如果你进群应该也有其他套路,但应该差不多,我没有进群,直接贴吧私聊,我说账号已经挂了某鱼,让他去拍,他说某鱼骗子多(其实他自己就是骗子,贼喊捉贼),说要去某转交易,我没用过,但为了能出手,我还是同意了,于是特意去研究了一下,在某转挂单,并把某转的购买链接发给对方,对方秒发一张付款截图( P 的),同时发一个二维码给我,说是某转对第一次在平台交易的客户,进行担保(我确实是属于第一次在某转交易的情况,也没有经验),让我扫码和客服联系完成交易,到这里其实就有点不对劲了。于是我就试着扫了一下码,跳出来一个聊天界面,客服的套路和很多电信诈骗差不多吧,主要的话术就是让你不要离开聊天窗口,否则会导致交易失败(引导你处于封闭空间里),然后给我二维码支付交易保证金,说什么等下交易成功后就会全额退保证金云云。我前面是用浏览器扫码联系这个所谓的客服,聊天界面显示浏览器地址根本不是某转的官方域名,这就很明显是善举了,我迅速去转转 App 里看了一下,发布的宝贝果然还在,根本没有被拍下(所以前面的付款截图肯定是 P 的),到这里骗局就演不下去了,对方也不废话,直接遁了,寻找下一个目标。所有过程我都截图了,本来想在贴吧曝光一下相关账号,但一想,其实意义不大,这种套路和模式,养的账号千千万,曝光一个账号有什么用,把这个套路和过程介绍一下或许还有点意义吧。
    要点:1 )骗子抓住卖家急需出售账号回笼资金的心理弱点做文章。2 )不要扫或者点任何非官方二维码/链接,尤其是私聊中,对方提供的。3 )交易需谨慎,付款要三思,尤其是什么保证金、退款……等不在交易范围之内的款项。4 )陌生平台更要谨慎,这个案例中我一开始被套路很大程度上源于我对某转的不了解。当然了,熟悉的平台也不要掉以轻心,有时候骗子就是利用这种熟悉环境下心态放松警惕性下降的弱点。
    最后说一句,各种骗术层出不穷,小心小心再小心,重要事情说三遍!
    momo1pm
        89
    momo1pm  
       158 天前   ❤️ 2
    搁着标题党呢,刷脸了怎么叫链接点了就扣款了,uc 毕业的?
    shenqi
        90
    shenqi  
       158 天前
    我想围观下后续。
    imaple
        91
    imaple  
       158 天前
    不是为啥会刷脸支付了呢?想想也不合理啊,条件反射付钱就自动双击确认?
    hemingcn
        92
    hemingcn  
       158 天前 via iPhone
    @momo1pm 还好我挡住摄像头哈哈😄
    lx271896700133
        93
    lx271896700133  
       158 天前
    打苹果客服电话,肯定会给你退。
    wuxidixi
        94
    wuxidixi  
       158 天前
    真牛逼,一个链接就能破了苹果的防,都不用刷脸和指纹的么,这玩意谁研究的
    shyukyo
        95
    shyukyo  
       158 天前 via Android   ❤️ 2
    补充说明一下,其实当时我就把上述案例在贴吧发了一个主贴进行分享,希望能给后来者提个醒,但被秒删,也不知道是触发了贴吧系统的敏感关键词审核还是什么的,甚至一度怀疑贴吧是否有人(例如,吧主或者其他系统管理员等)和这些黑产勾结,反正也管不了那么多了,不让发贴就不发吧,意兴阑珊了
    ByLCY
        96
    ByLCY  
       158 天前
    @imaple op 在 61 楼说了有刷脸操作,所以大概率是点击链接后唤起了 apple pay 的付款,然后 op 没细看就双击刷脸支付了
    stardew
        97
    stardew  
       158 天前
    牛逼
    vivisidea
        98
    vivisidea  
       158 天前
    @shyukyo 大概率是奇怪的敏感词误删了,有些敏感词你都想不到。。
    shyukyo
        99
    shyukyo  
       158 天前 via Android   ❤️ 1
    通过 OP 这个案例可以得到经验:面容支付慎用!因为可能会因为太便捷付款速度太快导致你根本没有反应时间来不及思考,就那么“咻”的一下,钱就没了。相对来说,指纹支付操作反应时间更长一丁丁点儿,稍微好一丢丢吧,但也是同样有这个问题,没办法,便捷性和安全性是一对永恒的矛盾!
    nexo
        100
    nexo  
       158 天前
    应该是各种繁琐操作把你给虎了 最后以为是免密支付
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   821 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 46ms · UTC 20:26 · PVG 04:26 · LAX 13:26 · JFK 16:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.