登录后才能充值

提款频率高吗，不高就加个延时 24 小时操作，高就需要用户提供更多身份信息了。

判断和分析 http referer，记录异常情况，异常数据需要手动审核

“现在骗子在淘宝开店，然后骗子给发 我们网站充值 跳到 支付宝 的 充值页面 给买家” 这句没理解，骗子给发是什么意思

国内预防钓鱼，看来要监控发过来的地址，有可疑的接口需要提醒用户。

现在骗子在淘宝开店，然后骗子发 网站充值 跳到 支付宝 的“充值页面”给买家

1. 手机号是空号，不知道怎么通过我们短信验证的

这个漏洞太神奇了

哎，骗子的准备工作做的很好，假身份证，假手机号，银行卡现在不确定是不是假的

@winnie 虽然骗子手段高明，但肯定会有蛛丝马迹可以遵循。 我能想到的：

1, 手机号是空号，不知道怎么通过我们短信验证的

短信还有成本，这个验证其实不靠谱。不如换成页面验证。比如楼上的说的，登录才让充值。

2, 判断和分析 http referer，记录异常情况，异常数据需要手动审核

记录 referer，有客户来报告异常，可以很快记录出一个特征库。以后拿这个特征库匹配，有异常的转到手功审核。并报告给支付宝，一起配合处理。

3, 假身份证，假手机号，假银行卡

建立和网络警察的沟通联系，就这个问题达成一个工作流。方便打击网络犯罪。

@xds2000 你是不是华侨？咋不懂中国国情呢？

1. 目前是登陆才让充值，还是手机注册并通过短信验证的用户才让登陆
2. 受骗者报告支付宝和淘宝了，两边都不处理，说不是通过旺旺交易的（骗子是通过 QQ 发的交易连接），他们让受骗者报警
3. 找了网监了，网监说金额太少，请按网站流程处理。

#9 楼 @winnie 这些在你们网站上面不是正常充值这些么？只是一些买家比较蠢被骗了吧？

@helloword “蠢”？可以这么说吧。哎，只是不忍心看到有人被骗，对我们网站也不好

#11 楼 @winnie 没办法，要不就更多用户信息，和延长提款的频率，这样到你们网站上面还比较好处理；

@helloword 我们现在是： 要求手机短信认证实名注册，绑定身份证和银行卡才能提款 这么严格的要求，骗子也能对付：

1. 手机号短信验证通过注册，而我们打过去是空号。
2. 身份证和银行卡不确定是本人的，但是能够提款成功。这一块想冻结银行卡，得司法机关涉入，也是有金额门槛
3. 一次充值的金额才几百块，警察不管

骗子的淘宝网站我也看到了，很小的店，没什么人气，一天过来充值的数量却是二十多单，上当率有 10% 以上。

受骗者也举报了淘宝店铺，但是没有旺旺交易记录，淘宝没有封店。。。

@winnie 这样的账号多么？

@helloword 不多，目前是一个，昨天我们冻结了他的帐户，他过来骂人。 我们如实告知他：受骗者已经报警，警方涉案了，请协助我们调查，他就软了，说钱不要了，继续赚就是了，我晕了，要不要提醒他，这是诈骗罪，会坐牢的。 然后，他又开始注册另外一个帐号，如法炮制，继续来

@winnie 我不是华侨，知道在中国做电商的困难。我只是有兴趣讨论一下这个话题。

1. 目前是登陆才让充值，用户还是手机注册并通过短信验证的用户才让登陆 这里，骗子通过手机注册并验证一次后，然后可以重复利用这个账号了。在交易的时候，你无法通过这个账户和手机号来验证这个用户的合法性。所以用手机防范不住骗子。用短信还增加你的成本。

2. 受骗者报告支付宝和淘宝了，两边都不处理，说不是通过旺旺交易的，他们让受骗者报警 这里绝对是中国特色，支付宝和淘宝都是提供服务的，它们处理不了这么复杂的情况。相应的你也处理不了。不过一旦受骗者报告那个淘宝店上当了，你这边如果可以记录一下链接，交易过程的数据，那是再好不过的证据的。这一块应该是可以做到的。

3. 找了网监了，网监说金额太少，请按网站流程处理。 保持和网监的沟通，积极了解这方面的动态。这里不会只有你一家遇到这种情况，业界是如何处理的，那这个搞清楚不是一天两天能解决的。在中国做电商需要付出的不是一般的多。

@xds2000 不好意思啊，我说话语气不好，向你道歉

#15 楼 @winnie 牛 B 的人啊，他自己肯定也知道是神马罪的，只是以为你们不知道他做的勾当而已

@xds2000 目前我们的处理流程如下： 要求双方在一周内 提供 充值的银行回执单，上面有支付宝的交易号 我们核对交易号，如果有一方正确，我们的充值金额原路退回充值银行卡。

但是，现在的情况是：

1. 有些金额骗子已经消费掉
2. 骗子在继续钓鱼
3. 大部分受骗者没有向我们举报。

刚刚的消息，我们找到了支付宝 api 有相关的防钓鱼参数，先试试再向大家报告。

@winnie 了解。网络上技术交流不太可能表达出准确的语气。所以大家都是技术人，我不会介意。

防钓鱼也解决不了，不过会少一些，我们这边也有这样的用户，一般不怎么消费，加黑处理，如果提现时等过一段时间（比如 1 个月）再处理，有人投诉处理，时间过去之后按照网站流程处理

网上有很多方法可以生成假的手机号码来收短信，之前我们刷百万亚瑟王的注册的时候经常用

打过去是空号不一定真是空号，只是骗子不想接而已，360 就可以这样设置

记录每次充值的方式和帐号，提款只允许按原路退

结论汇报：支付宝的防钓鱼参数也不行。

关注中

#26 楼 @winnie 很难解决吧，坐等比较好的解决方案

想请问楼主 你们的支付宝充值是什么方式？我确认我使用的支付宝付款方式 把生成的 url 发送给别人是不能支付的 支付宝提示 "对不起，您要支付的收银台订单存在钓鱼风险，无法完成后续支付操作。请重新发起支付操作。" 能贴一个测试订单的支付地址给我试试么 有同学在阿里安全 可以帮忙看看 另外 @Rei 大哥说的方法是可行的 提款只能原路退回

@zj0713001 安全浏览器都是提示：对不起，您要支付的收银台订单存在钓鱼风险，无法完成后续支付操作。请重新发起支付操作。

但是你用 IE 试下就不提示，或者你用 httpwatch 之类的抓取软件可以抓到支付地址，比如：

假设我是骗子，我把上面这个地址给你付款，你是受骗者，用 IE 打开试下，chrome 也可以

有很多卡是特殊卡，只能收发短信的，打过去是空号 现在国家在搞手机号实名制，但实际上很多匿名的卡还是存在的 所以不能以这个为主要依据 像微信的公共账号是以个人照片 + 身份证来验证的

#31 楼 @winnie 对不起，您要支付的收银台订单存在钓鱼风险，无法完成后续支付操作。请重新发起支付操作。

#31 楼 @winnie 好的 我去让阿里安全的同学试试 我用 macos 的 chrome 打开是不行的

@shiny @Rei @zj0713001 三位试这个 https://www.alipay.com/cooperate/gateway.do?_input_charset=utf-8&partner=2088901739669961&service=create_direct_pay_by_user&return_url=http%3a%2f%2fwww.68cai.com%2fonlinepay%2freceive.aspx&notify_url=http%3a%2f%2fwww.68cai.com%2fonlinepay%2fnotify.aspx&out_trade_no=1000017379&subject=www.68cai.com&payment_type=1&total_fee=10&seller_email=caipiaoqun%40outlook.com&body=68%e5%bd%a9%e7%a5%a8%e7%bd%91_%e5%bd%a9%e7%a5%a8%e5%b8%90%e6%88%b7%e5%85%85%e5%80%bc&show_url=http%3a%2f%2fwww.alipay.com&paymethod=directPay&sign=4c45b7a91088d7e8ff53569bad965865&sign_type=MD5

#36 楼 @winnie 显示了支付页面

出现了

@rei 骗子就是把这个给小白付款的，小白可能没看清楚就支付了。 就这样钱被充到我们平台了，然后骗子再用钱消费，中奖就提款，我们一点办法也没有。

#39 楼 @winnie 堵不了入口堵出口啊

#39 楼 @winnie 刚刚还说可能是漏洞 但是后来发现不对啊 这个应该是你们服务器回跳得到的那个 url 吧 这个额 还是堵出口吧 哪里充的退回哪里

"小白可能没看清楚就支付了。"

真的，如果是缺少社会经验，真的是很容易上当的。特别是年龄小的人。还有笨的人。

犯罪风险小，惩罚小，收益高，成本低。金额小的话，警察也没精力的 (违法、执法 : 成本、收益）

最新动态：支付宝最新 api 有两个参数：防钓鱼时间戳 和 校验远程 IP。 测试结果：用上这两个参数之后，再发支付网址不会出现充值页面。 骗子动态：晚上在疯狂尝试找漏洞，充值尝试了近一百次，目前还没有充值成功。