支付宝远程代付被骗，想问一下是怎么死的

被骗金额 ¥1000
前提一：帮我好朋友问的，他就想知道怎么死的，钱无所谓了
前提二：我也不支持淘宝刷销量
正文开始：（据他描述）
事情发生在昨天下午，刷销量的具体流程是这样的
1. 我朋友发链接给刷单的人
2. 刷单的人浏览之后拍下来，但是不付款
3. 刷单人申请远程（剩下的就是我朋友这边操作了）
4. 我朋友去刷单人“已买到的宝贝”，点击“立即付款”，然后跳转到支付宝页面，选择“银行卡”，填写我朋友自己的“银行卡号”，选择“网上银行”支付，跳转到银行的付款页面，填写“支付账号”，填写“手机号”，填写银行发送的“验证码”，完成付款。

完成付款之后，完成的并不是我朋友的订单，所以他很淡定的告诉我被骗了，我觉得也比较有意思，所以就问了一下具体过程。

首先我认为是刷单人的 hosts文件被修改了（从支付宝跳转到银行那一步），所以请求付款我朋友订单的页面，实际上是跳转到了刷单人自己待付款订单页面，但是我给他重现了一下，发现 https页面通过修改 hosts文件是重定向不了的。

然后我又从“已买到的宝贝>立即付款”跳转到支付宝付款那一步做重定向，未果。

其次，我又想到了 DNS劫持、ARP 投毒、中间人攻击、可是我又想就是刷个单，用着这么费劲的来骗人吗？忘大神们不吝赐教，热烈讨论。