最新淘宝网和支付宝的漏洞，大家一定要小心，我自己本人的损失300+经历！

boblisa

楼主前两天去上海看世博会了，没想到这个帖子产生这么大的影响，希望引起大家注意的目的，至少是有了点效果，我很欣慰！

也有些朋友可能觉得我的描述比较长语言上比较罗嗦，没仔细看，就下结论说我sb，说我自己上当不怪别人，好吧，我觉得没必要解释什么。

--------------------------------

袁广伟 2010-10-23 17:54



付款了之后不是可以退款的吗？？？？其中没有讲到这点啊，很疑惑

回复



严秋涛 2010-10-23 18:40

回复袁广伟：这个是即时到帐交易，有别于我们平时的担保交易，钱打出去了就回不来了。我们平时在淘宝购物是由支付宝进行担保交易的，也就是说钱是先由支付宝保管的，所以才能退款，但骗子创建的是一个即时到帐交易，即时到帐就是不经过支付宝保管直接进入对方账户的

回复

这条回复说的很精练很准确，在此引用了，谢谢 严秋涛！！

--------------------------------



有人说只需要不运行不可靠的程序就ok，我想问，网络上的什么程序是可靠的！！！你能保证自己不从网上下载软件回来运行吗？！你知道程序捆绑吗？只要恶意的程序想任何办法在你的电脑上运行一次，你的电子交易就完蛋了，难道这还不可怕吗！！！非要等到自己产生经济损失才重视吗？！



另外我只是一个普通网友，虽然有超过10年的电脑使用经验，但是也是第一次遇到这样的问题，有遇到相同情况的朋友要求助的话，我也不知道该怎么办。



这里有个维权群：28685127，大家集思广益想办法吧！

---------------------------------------------------------------------

淘宝在23号对我做出的答复：我真的很无语！！！



---------------------------------------------------------------------

起因：在实体店看中了一件外套，比较贵，就到淘宝搜了下，一共两件，拍了，然后第二天客服告诉我其中一件没有我要的尺码，然后我搜了整个淘宝网，都没有我要的尺码，不死心，又扩大搜索范围，结果就悲剧了。



用淘宝搜索到了我要的衣服，价格也差不多，然后我就用旺旺跟对方沟通，，期间我还特地跟对方确认，有没有我要的尺码，对方说他在实体店，然后我还不放心，特地要对方拍摄一下我所需要的衣服的吊牌，确认有我要的尺码。



过了1、2分钟，对方把图发给我了，正好是我所要的尺码的吊牌——这是我放松警惕的最关键一个点，其实我后来才发现，对方是盗用了另外一个店的图，，而且这个店的图正好是我想要的那个尺码，实在是悲剧性的巧合！！心里的警惕性放松了，然后问他从哪边发货，对方说从厂家（其实也是根本文不对题，我问的是从什么地方，对方胡诌说是从杭州，其实此人在扬州，但是外地代购发货地和网店不在一起也是常有的，也就又放松了警惕）。



拍好了，准备付款之前，对方说发个专柜正品证书，陷阱的最后一环，如果我忽略也就不会悲剧了，问题是该死的好奇心，，对方用淘宝旺旺发了个rar，我好奇心接收了，解压之后，是个Exe文件，也担心是病毒，但是想到自己有杀毒软件和安全卫士，就没放在心上。右键点击看了下大小有5.16MB，看样子不像病毒，脑子里印象病毒或木马体积都比较小，结果运行之后，报了个错误，但是安全卫士和360杀毒都没异样。。。



然后就去支付宝付款了，噩梦已经开始了，下面两张图是我模拟当时发生的情况：

---------------------------------------------------------------

假设我想要买一个小说，出现了支付宝的支付画面，输入支付密码，点确定-->



-->出现了下面这个窗口，不仔细看，以为支付失败，比如网络速度慢，支付宝会要求我们重新支付，发现金额跟之前一样：




但是仔细看，商品名称这里，变成了“网易产品”，非常不显眼！！！如果点开向下的箭头，你就会发现问题的所在了，可是此前这里的交易项目是收拢的，不仔细看非常容易忽略掉。输入支付宝帐号，密码，好了你的钱已经不是你的了。

-------------------------------------------------------------

而且也不在卖家那里，而是网易开在支付宝的一个帐号，对，没错，你的钱以卖家的名义被存入了网易在支付宝的帐号。也就是说你替卖家完成了一笔交易！即使你申诉冻结恶意卖家的支付宝帐号也没用，因为钱根本没进对方的支付宝帐号。



交易劫持！其实输入完帐号密码按回车，我的脑海里忽然浮现出这四个字，但是还是迟了。

回过去一看，原先的交易没有付款，而是支付了另外一笔我不想付的交易。





---------------------------------------------------------------------------



然而问题还没结束！！！骗子此时来问我，你付款了吗？（其实骗子已经知道我的交易已经完成了）我说遇到问题，他还叫我继续再付一次，再来一次的话，我就会再损失一笔钱，我说等一下！！！然后骗子就隐身再也不出现了。



问题的确是还没结束！！！这次我又拍了一个小东西，尝试付款，结果反复跳转到那个网易产品的交易页面！卸载掉支付宝的控件重装，依然如此，同时安全卫士和360杀毒一直都在工作！

--------------------------------------------------------------------------



在那个交易的评价里，发现有好多人也上当受骗了，然后有人办了一个群，都在讨论这个事情，有人说钱是被网易给黑了，，冷静分析一下就知道，是卖家那边的问题。回顾之前自己做过什么，，对了，就是运行了那个“专柜正品证书”。



……

……

……

重启之后，这个木马依然在生效，意味着所有我的支付宝交易都不能进行了！

经过反复试验，我发现支付宝的控件被劫持了！！！以前在点支付宝的时候，那个页面是直接出来的，但是中了木马之后，支付宝付款页面，在刷新之前会变成一个淡黑色，然后有个小的提示，支付宝正在检测控件！！！其实就是木马在虚构一个真实的交易并且把你的支付帐号关联在那笔你不想付款的交易上。并且跳转到一个新的页面，因为没有离开支付宝，所以人很容易麻痹，以为自己还在进行前一笔交易，实际上，你已经踏入火坑了。





可惜我没能把那个“正在检测支付宝控件”的画面截图，因为自己已经手工清除了那个病毒。理论上说，你的支付宝交易密码也有可能被盗取，实际上木马只是绑架并劫持了你的交易会话，木马还需要你来帮他付款，所以它并不是直接盗取你的密码，实际上考虑到数字证书加密还是比较可靠的，不过最好还是修改一下自己的支付宝登录密码和交易支付密码。



杀毒软件和安全软件不能识别这个病毒，我手工让它识别也说没问题！



只好手工找病毒在哪里，资源管理看不到，开机自启动也没有，插件也正常！但是我的360流量监测提示程序错误，，应该问题就在这里（并不是真正的360流量监测，真实的程序运行正常）在这里发现它了：



C:\Users\Administrator\Documents\netview.exe
C:\Users\Administrator\Documents\360netview.dll

手工直接删除，过几秒钟自动会重新生成它，好了就是它了！！！！





用安全卫士强力杀除，并且“保证文件不再生成”打勾，然后重启，问题解决了！！！







木马粉碎掉之后，重启电脑，然后我又拍了一笔小东西，付款，支付宝的交易正常了，真正的卖家可以收到我的付款了。





我的钱估计是打了水漂了，也申诉了但是估计效果不大，因为钱是直接进了网易在支付宝的帐号，而收款的原因是骗子虚构的一笔真实交易，比如网易的游戏点卡之类的，也就是我代替骗子支付了他在网易的某笔交易的费用。



零知识验证问题！！！脑子里又浮现出这几个词，我信任他，网易信任他，他把跟我的交易变成了我代替他进行另外一笔交易！！！MD，亏我自己还是搞技术的，居然也大意了。



淘宝上还在有人被骗，，所以我坚决要投诉这家店，同时通过淘宝网找到了此人的相关信息，一并公布出来：

================================恶意卖家的信息在这里：
昵称： 俊wsj 旺旺在线 真实姓名： 徐家俊 城市：江苏 扬州
联系电话：0514-1377359556 邮件：yzxjj1986@yahoo.cn 发送站内信 支付宝：yzxjj1986@yahoo.cn


================================





总结一下：

我之所以上当，有几个忽视的地方：

1）对方发给我的图片，正好是我想要的内容，虽然真伪不知道，让我疏忽大意了；
2）没有仔细查看对方店铺，其实他店里没有衣服，只有点卡和游戏充值，，但是用搜索可以找到他卖衣服的那些页面，其实也是盗链的别人的店铺信息和图片，一定要关注某店的信用值！高的不一定可信，低的一定不可信。
3）对方发给我的文件，不该运行！！！

4）支付宝的付款内容和事项被收拢的很小，不仔细看很容易忽略，只看了一眼金额是一致的。代人支付一项，是支付宝的一个漏洞，感觉很容易被利用来做手脚。




-------------

最后来看一张很痛心的图，不是我，而是维权群里的一个朋友的，损失超过6000+







-------------------------------------------

总结一下：

1）骂我sb的     re:每个人的言行代表了这个人的修养，网络好比镜子，可以看到自己也可以看到别人；

2）说我是托儿的 re:淘宝有漏洞，paipai想必也会有，其他网络支付平台也会有，小心为上

3）说我水平不行的 re:您是高手，未必您的亲朋好友认识的人都是高手，所以一篇小文不可能照顾全面，见谅；

4）同样是上当被骗的 re:握手

5）被骗未遂的幸运的同学 re：握手

6）引起注意和警惕的 re:握手

7）仇视360的 re：那些说360不行的，某些品牌的误杀和系统资源占用率过高的缺点为什么你们不提出来，坚信自己认可的某一款杀毒软件比其他品牌更好的，希望您的信任值得托付；张嘴就骂人其实等同于眼高手低，我们没必要为这类事例添砖加瓦



8) 说陌生人的软件不能运行，exe文件不能运行的 re:除非所有程序都你自己一个人来写，否则我们总是会或多或少用到别人分享的软件和程序，假如骗子以后可以利用了你对熟悉的人的信任来制造和传播恶意程序，，你比我也高明不了多少，，只有降低麻痹心理才能降低受骗上当的风险。

9）因为经验所限不能完全看懂内容的 re:学无止尽

0）酱油俯卧撑、围观通道 re:感谢您的参与



每个人都可以发表自己的意见，这就是网络！！！

makepalm

我有一次也差点上当，给女友买衣服，商家给我发来一个链接，我看了一眼，前面的地址是tpskip.taobao.com/xxxxxxxxxxxxxx的格式， 我就没在意，点了，然后一看界面，感觉不对，就没有执行任何操作，关闭了IE，马上检查木马，幸好没有问题。
现在骗子太多，还是小心。