因为咸鱼 APP 产品漏洞导致被骗

￥ jLFM1x086Lm ￥
淘口令到现在还能识别，而且已经换成什么陪玩了。但是咸鱼应该修复了虽然能识别但是打不开产品页面了

贴吧看到有人卖话说 RGO 耳机我加 Q 联系后
整个被骗流程如下
对方发一个淘口令给我我复制后打开咸鱼 APP，咸鱼 APP 能正常识别到这个淘口令提示的是我要购买的耳机产品
当我点击确认后打开的是一个耳机产品的详情页面
然后我点击右下角的我想要跳转到付款页面使用支付宝 APP 付款
付款后我在我咸鱼的订单里面没有这笔交易

整个流程都是在咸鱼内完成
我联系了咸鱼客服，咸鱼客服不作为已经跟他反馈产品漏洞以及被骗经过不但不严谨处理还跟我玩踢皮球
让我报警？

首先这个确实很难防，如果对吗发的是链接或者是钓鱼的确实可以避免
但这个一切都是在咸鱼 APP 里面进行的咸鱼至始至终没有提示任何风险
而且假的淘口令尽然能在咸鱼官方 APP 能够识别试问一下多少人能避免不被骗？

拨打杭州 12315，告诉我说他们受理不了这个投诉让我走网络法院起诉

JasperYanky

2020-07-06 10:44:30 +08:00

我想说的是，就算有白名单也没用，因为淘宝管理不严格，部分在白名单里面的域名过期被抢注掉，根据这些域名发展的一些列的灰产已经是生态了~ 不能多说了

lurenn

2020-07-06 13:08:26 +08:00

打 12345 市长热线试试看。一般会帮你转达给相关的受理部门。
要不就不要在市级投诉，考虑上升到 sheng 级，例如找 sheng 长邮箱写信访信件，省级转达到市级，市级会更重视。

takemeaway

2020-07-06 13:55:34 +08:00

咸鱼有一部分责任，口令没有白名单验证。

应该是利用咸鱼内置浏览器跳转到片子的 H5 页面，调用支。付宝支付的。这属于咸鱼漏洞。

建议楼主去收集支。付宝方面的信息，应该能够查出骗子的。

anyclue

2020-07-06 14:57:06 +08:00

看了下，好像是淘口令在千牛里生成的时候可以选择自定义网址和有效期（这是关键点），骗子以手机网站的形式高仿了个闲鱼 App 的界面，点击我想要的时候跳转到了支付宝网页版的付款界面（进入正常流程），最终调用楼主的支付宝 App 支付。

淘宝在淘口令的生成上确实有问题，不应该允许自定义网址的生成。

既然是支付宝付款，联系支付宝客服应该可以追回被骗的钱财了吧？

楼上说黑产牛逼的真不能认可，这操作一点也不牛，而且高仿闲鱼还有调用支付宝支付这里，还是有一些细节差别的，仔细看是可以分辨出来的，可能楼主对闲鱼不怎么熟悉所以没能及时止损吧。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/687482

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.