各位独立开发者还是需要稍稍警惕中间人攻击

背景

我是某些 Android 应用的开发者。因为下载量大几百万了没有在这里打广告的必要。

由于有少数用户会在平板、手表等没有支付宝微信的环境里安装，所以至今还保留了古老的网页端扫微信收款码，来获取 app 激活码的接口。

事件

有天半夜有人来买，第二天中午申请退款，理由是 iPhone 看不了。我一头雾水，我 app 压根就没 iOS 版，看什么看不了？

加了他聊了半天，才理清楚事情：

受害者应该对互联网不太熟悉，从 x 被网黄引导到 tg 加群看片，群主说要看完整内容需要付费，从我的 app 中抠出了微信付款发码给受害者，让他付款后把激活码转发过去。群主（诈骗犯）收到我的 app 的激活码后，转手闲鱼出掉。得手后还讽刺了受害者一番最后说「有种来举报我的微信啊」

后续

无语之余，我也只能对受害者退款了事。和他核对了时间线，从我的服务端记录看，受害者把激活码给骗子后不到半小时就转卖激活掉了。事发后骗子 tg 群也解散了，号也没上线过了。应该是每骗一个人就新建一个号吧。

由于骗子全程隐身，也没法对他做什么，报警也无从谈起，毕竟金额也就 20 来块。

改进措施

辛亏微信扫码付的人一天也没几个，我停掉了自动化发码，加了一段自动回复「感谢购买，注意：所有让你代扫码，转发激活码给他的都是诈骗。千万不能把激活码告诉别人。确认请回复『{手机型号}+{安卓版本}+已正常安装 xxx ，确认购买』来获取激活码」。

发出来是想提醒一下各位独立开发者，特别是早期创业支付渠道还不完善的，务必小心谨慎。稍不注意就成了别人中间人诈骗 play 的一环。

little_cup

143 天前

@shyr0ck
事实上每一步都几乎不可能。
首先如上所述受害者的我不可能报警。
第二我服务端只能知道激活者 IP ，我的 app 是单机的没有社交功能也不强制账号登录。事实上我事后查了一下当天这个码在 3 个不同省的 IP 激活过，猜测骗子还搞了一码多卖（新登录旧的稍后会下线）。
第三闲鱼也不可能凭一个 IP 给买家卖家的联系方式，怎么相信我是受害者，而不是搞开盒的呢。

summerwar

143 天前

@shyr0ck #15 卖家拿不到购买账号的信息，只能拿到收货人的信息。

其实类似的这种骗局，想要破解，记住一点就可以了，尽量少贪小便宜。（这里指主要被骗的人，像贴主这种当作渠道的不算，只能在页面醒目位置提醒。你看现在天猫虚拟区的产品是不是都有了这种提醒）

为何骗局很多，最终破案的少，主要是这种骗局利用至少 2 个平台，多的好几个平台来增加破案的成本，而这种骗局的案子，金额小，需要沟通的平台多，动用的人力资源多，成本太高，以至于破案的成果还没耗费的成本和精力大，往往得不偿失，大家就都不愿意，简单点来讲，不在 KPI 之内。

summerwar

143 天前

@sn0wdr1am

实名制不是规避风险的银弹，规避风险的方法只有一条：把所有的交易放在一个篮子里。

什么意思呢，就是你在淘宝上的交易，就只在淘宝里进行，需要聊天就在旺旺里聊，如果实在需要电话聊天沟通细节的，沟通完要在旺旺里把沟通的最终结果确认下，然后让对方文字确认下。只有在一个平台里，发生问题了，平台在自己的范围内就可以调取所有的记录，解决问题的成本低。

为了增加解决问题的成本，骗子是如何做的呢？他们先在抖音、咸鱼等地方发布信息，然后想方设法的让你在别的地方（网站或者其他 app 比如 telegram ）跟他们确认交易内容，最终会让你通过微信或者支付宝付款，你看，一个交易，A 引流，B 确认内容，C 收款，如果你是警察，真要破解这样的骗局，就需要在 ABC 三个平台之间同时获取信息，才能真的了解事情，要获取信息，就涉及到与平台沟通，那么就要发函、找平台负责人、确定沟通的时间、从平台数据库调取数据、四方甚至是六方人员同一时间开个网络会议确认信息，你看，这一套下来，光里面花费的人员的工资，算算都多少了，几个平台和警察的经费就都在燃烧了，破一个 1000 不到的案子，花了几千块钱，这还是好的，如果平台的人员少，那么整天就要处理这些事情，对于平台来讲，天天不增加收入，整天处理这种事情，多少人都来不及，自然而然就不愿意花费精力了，协调的周期就更长，成本就更高了。

所以当这个事情在一个平台发生了，只需要平台调取所有信息，一看就知道谁对谁错，相比较之下，问题就很容易处理了。

所以规避风险的方法是在抖音上聊的人，就在抖音上解决问题，咸鱼里买东西就只在咸鱼上聊天，微信里的就只在微信里，实名制解决不了多方平台的问题。