产品控 支付宝充值 被骗子当钓鱼用具了,怎么办?

winnie · 2013年12月19日 · 最后由 winnie 回复于 2013年12月24日 · 11226 次阅读
  1. 我们网站是电子商务网站,有支付宝充值功能。
  2. 充值的金额 在消费满20%后,可以全额提款。
  3. 现在骗子在淘宝开店,然后骗子发 网站充值 跳到 支付宝 的 “充值页面” 给买家
  4. 然后,买家居然付款了。
  5. 一天发出来充值连接有几十条,每天成功的 居然有 好几条,金额有一般是几百块。
  6. 现在 买家 过来找我们协助调查。

请问大家,从技术的解决如何 防止 支付宝充值被骗子当钓鱼用具使用?

再补充一点,我们查证过了,骗子注册的信息

  1. 手机号是空号,不知道怎么通过我们短信验证的
  2. 真实姓名和身份证估计是假的
  3. 提款的银行卡目前不知道是不是他的
共收到 42 条回复

登录后才能充值

提款频率高吗,不高就加个延时24小时操作,高就需要用户提供更多身份信息了。

判断和分析http referer,记录异常情况,异常数据需要手动审核

“现在骗子在淘宝开店,然后骗子给发 我们网站充值 跳到 支付宝 的 充值页面 给买家” 这句没理解,骗子给发是什么意思

国内预防钓鱼,看来要监控发过来的地址,有可疑的接口需要提醒用户。

现在骗子在淘宝开店,然后骗子发 网站充值 跳到 支付宝 的 “充值页面” 给买家

  1. 手机号是空号,不知道怎么通过我们短信验证的

这个漏洞太神奇了

哎,骗子的准备工作做的很好,假身份证,假手机号,银行卡现在不确定是不是假的

@winnie 虽然骗子手段高明,但肯定会有蛛丝马迹可以遵循。 我能想到的:

1, 手机号是空号,不知道怎么通过我们短信验证的

短信还有成本,这个验证其实不靠谱。不如换成页面验证。比如楼上的说的,登录才让充值。

2, 判断和分析http referer,记录异常情况,异常数据需要手动审核

记录referer,有客户来报告异常,可以很快记录出一个特征库。以后拿这个特征库匹配,有异常的转到手功审核。并报告给支付宝,一起配合处理。

3, 假身份证,假手机号,假银行卡

建立和网络警察的沟通联系,就这个问题达成一个工作流。方便打击网络犯罪。

@xds2000 你是不是华侨?咋不懂中国国情呢?

  1. 目前是登陆才让充值,还是手机注册并通过短信验证的用户才让登陆
  2. 受骗者报告支付宝和淘宝了,两边都不处理,说不是通过旺旺交易的(骗子是通过QQ发的交易连接),他们让受骗者报警
  3. 找了网监了,网监说金额太少,请按网站流程处理。

#9楼 @winnie 这些在你们网站上面不是正常充值这些么?只是一些买家比较蠢被骗了吧?

@helloword “蠢”?可以这么说吧。哎,只是不忍心看到有人被骗,对我们网站也不好

#11楼 @winnie 没办法,要不就更多用户信息,和延长提款的频率,这样到你们网站上面还比较好处理;

@helloword 我们现在是: 要求手机短信认证实名注册,绑定身份证和银行卡才能提款 这么严格的要求,骗子也能对付:

  1. 手机号短信验证通过注册,而我们打过去是空号。
  2. 身份证和银行卡不确定是本人的,但是能够提款成功。这一块想冻结银行卡,得司法机关涉入,也是有金额门槛
  3. 一次充值的金额才几百块,警察不管

骗子的淘宝网站我也看到了,很小的店,没什么人气,一天过来充值的数量却是二十多单,上当率有10%以上。

受骗者也举报了淘宝店铺,但是没有旺旺交易记录,淘宝没有封店。。。

@winnie 这样的账号多么?

@helloword 不多,目前是一个,昨天我们冻结了他的帐户,他过来骂人。 我们如实告知他:受骗者已经报警,警方涉案了,请协助我们调查,他就软了,说钱不要了,继续赚就是了,我晕了,要不要提醒他,这是诈骗罪,会坐牢的。 然后,他又开始注册另外一个帐号,如法炮制,继续来

@winnie 我不是华侨,知道在中国做电商的困难。我只是有兴趣讨论一下这个话题。

1. 目前是登陆才让充值,用户还是手机注册并通过短信验证的用户才让登陆 这里,骗子通过手机注册并验证一次后,然后可以重复利用这个账号了。在交易的时候,你无法通过这个账户和手机号来验证这个用户的合法性。所以用手机防范不住骗子。用短信还增加你的成本。

2. 受骗者报告支付宝和淘宝了,两边都不处理,说不是通过旺旺交易的,他们让受骗者报警 这里绝对是中国特色,支付宝和淘宝都是提供服务的,它们处理不了这么复杂的情况。相应的你也处理不了。不过一旦受骗者报告那个淘宝店上当了,你这边如果可以记录一下链接,交易过程的数据,那是再好不过的证据的。这一块应该是可以做到的。

3. 找了网监了,网监说金额太少,请按网站流程处理。 保持和网监的沟通,积极了解这方面的动态。这里不会只有你一家遇到这种情况,业界是如何处理的,那这个搞清楚不是一天两天能解决的。 在中国做电商需要付出的不是一般的多。

@xds2000 不好意思啊,我说话语气不好,向你道歉

#15楼 @winnie 牛B的人啊,他自己肯定也知道是神马罪的,只是以为你们不知道他做的勾当而已

@xds2000 目前我们的处理流程如下: 要求双方在一周内 提供 充值的银行回执单,上面有支付宝的交易号 我们核对交易号,如果有一方正确,我们的充值金额原路退回充值银行卡。

但是,现在的情况是:

  1. 有些金额骗子已经消费掉
  2. 骗子在继续钓鱼
  3. 大部分受骗者没有向我们举报。

刚刚的消息,我们找到了支付宝api有相关的防钓鱼参数,先试试再向大家报告。

@winnie 了解。网络上技术交流不太可能表达出准确的语气。所以大家都是技术人,我不会介意。

防钓鱼也解决不了,不过会少一些, 我们这边也有这样的用户,一般不怎么消费,加黑处理,如果提现时等过一段时间(比如1个月)再处理,有人投诉处理,时间过去之后按照网站流程处理

网上有很多方法可以生成假的手机号码来收短信,之前我们刷百万亚瑟王的注册的时候经常用

打过去是空号不一定真是空号,只是骗子不想接而已,360就可以这样设置

记录每次充值的方式和帐号,提款只允许按原路退

结论汇报:支付宝的防钓鱼参数也不行。

27楼 已删除

#26楼 @winnie 很难解决吧,坐等比较好的解决方案

想请问楼主 你们的支付宝充值是什么方式? 我确认我使用的支付宝付款方式 把生成的url发送给别人是不能支付的 支付宝提示 "对不起,您要支付的收银台订单存在钓鱼风险,无法完成后续支付操作。请重新发起支付操作。" 能贴一个测试订单的支付地址给我试试么 有同学在阿里安全 可以帮忙看看 另外 @Rei 大哥说的方法是可行的 提款只能原路退回

@zj0713001 安全浏览器都是提示:对不起,您要支付的收银台订单存在钓鱼风险,无法完成后续支付操作。请重新发起支付操作。

但是你用IE试下就不提示,或者你用 httpwatch之类的抓取软件可以抓到支付地址,比如:

假设我是骗子,我把上面这个地址给你付款,你是受骗者,用IE打开试下,chrome也可以

有很多卡是特殊卡,只能收发短信的,打过去是空号 现在国家在搞手机号实名制,但实际上很多匿名的卡还是存在的 所以不能以这个为主要依据 像微信的公共账号是以个人照片+身份证来验证的

#31楼 @winnie 对不起,您要支付的收银台订单存在钓鱼风险,无法完成后续支付操作。请重新发起支付操作。

#31楼 @winnie 好的 我去让阿里安全的同学试试 我用macos的chrome打开是不行的

#36楼 @winnie 显示了支付页面

出现了

@rei 骗子就是把这个给小白付款的,小白可能没看清楚就支付了。 就这样钱被充到我们平台了,然后骗子再用钱消费,中奖就提款,我们一点办法也没有。

#39楼 @winnie 堵不了入口堵出口啊

41楼 已删除

#39楼 @winnie 刚刚还说可能是漏洞 但是后来发现不对啊 这个应该是你们服务器回跳得到的那个url吧 这个额 还是堵出口吧 哪里充的退回哪里

"小白可能没看清楚就支付了。"

真的,如果是缺少社会经验,真的是很容易上当的。特别是年龄小的人。还有笨的人。

犯罪风险小,惩罚小,收益高,成本低。 金额小的话,警察也没精力的(违法、执法 : 成本、收益)

最新动态:支付宝最新api有两个参数: 防钓鱼时间戳 和 校验远程IP。 测试结果:用上这两个参数之后,再发支付网址不会出现充值页面。 骗子动态:晚上在疯狂尝试找漏洞,充值尝试了近一百次,目前还没有充值成功。

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册