这是一个创建于 518 天前的主题,其中的信息可能已经有所发展或是发生改变。
新鲜出炉的被骗经历,分享一下,请朋友们当心。
闲鱼购买某平台会员,买家引导至第三方平台 url 沟通。在第三方平台提供手机号码后,买家给链接,引导同意支付宝联通话费充值自动扣款。
同意后,发现会员到账天数不对,继而发现支付宝被某地联通扣款 498.5 。
与卖家沟通被拒,闲鱼消息被拒收。小红书搜索后,发现属于新型骗局,被骗金额百元至千元不等,各地联通都有,被骗金额不一定能拿回来。
目前已向支付宝、闲鱼举报。
自己大意的点: 闲鱼卖家出售商品多但是成交数少,引导第三方平台沟通时消息用的是截图。因为之前购买类似充值时遇到过相似情况,没有唤醒警惕。
困惑的点: 支付宝弹窗同意联通话费自动充值协议&免密支付、但不显示扣款金额的情况下,为何可以扣费?据以往消费经验,如果涉及订单扣费,应该会在弹窗中显示扣费金额。
第 1 条附言 2024-05-19 15:35:23 +08:00
更正下困惑的点:
联通自动充最后的签约支付宝验证链接,为何能转发其他人、由其他人完成签约验证?
联通自动充最后的签约支付宝验证链接,为何能转发其他人、由其他人完成签约验证?
 | 1 ysc3839 2024-05-18 22:33:57 +08:00 via Android “不显示扣款金额的情况下,为何可以扣费” 印象中微软商店绑定支付宝时开通自动扣款也是不会显示金额的,大概是设计就能这么做。 |
 | 2 dwelling OP @ysc3839 绑定动作的验证流程应该更谨慎? 搜了下,我这属于支付宝话费自动充服务,可以为他人手机号码开通该服务。 所以是骗子拿到客户手机号码、通过短链接请求开通自动充服务授权。但是支付宝授权弹窗中没有提示给哪个号码开通自动充服务,页面上只有提示是同意自动扣费&免密支付协议,所以客户被误导只是自动充值&免密支付协议。 一时不知是客户缺心眼,还是骗子专业,还是该吐槽支付宝自动充流程漏洞 orz |
 | 3 efcndi 2024-05-18 23:18:02 +08:00 “卖家引导至第三方平台 url 沟通”,到此还敢继续也是心大。 |
 | 5 512357301 2024-05-19 00:40:56 +08:00 via Android 第三方平台买会员,通过充话费形式支付,啧啧啧,到这步就得赶紧停止! 太明显的洗钱手段了,很容易被判定帮信罪的。 |
 | 6 0n1 2024-05-19 01:00:15 +08:00 via iPhone 看完第二段的一系列操作,着实开眼界了(并不在感叹骗子的骗术并没有多高明、新颖)。 |
| img src="https://cdn.v2ex.com/avatar/13d7/06ee/649552_normal.png?m=1733739641" class="avatar" border="0" align="default" alt="0n1" data-uid="649552" /> | 7 0n1 2024-05-19 01:02:23 +08:00 via iPhone @0n1 (并不是在感叹骗子的骗术有多高明、新颖) |
| 8 dwelling OP @512357301 @0n1 同开眼界,戒备心靠骗子提高 :) 俺怀疑联通有内鬼,支付宝话费自动充也有漏洞。 测了下,找了个吉林联通号码申请开通自动充,最后要输入支付密码验证身份。其他省份联通号码测下来也是要么支付密码要么手机验证码。即,作为普通用户,并没有权限发送授权弹窗给其他人。看爆出来的都是联通受害者,联通嫌疑最大。 支付宝算风控漏洞?按照自动充明面上的规则,谁申请自动充、谁验证身份然后用自己的支付宝扣款,并不允许用户 A 申请自动充,然后让 B 来验证身份并付款。 因此,看起来是支付宝在验证环节有漏洞?俺当时遇到的是一个干净的吉林联通自动充弹窗、下方小字提示确认后将同意自动充跟免密支付协议,没有任何风险提示。这违反了《网络交易监督管理办法》第二十一条的规定(网络交易经营者向消费者提供商品或者服务使用格式条款、通知、声明等的,应当以显著方式提请消费者注意与消费者有重大利害关系的内容)。 |
 | 9 IvanLi127 2024-05-19 01:48:34 +08:00 看起来只有 op 意识不够被骗了,支付宝没啥问题,风控也没毛病可挑。这锅可不好甩...联通更无辜了,完全看不出联通有啥毛病。信任平台才能开自动扣款,不然平台在限额内想扣就扣... |
| 10 dwelling OP @IvanLi127 信任平台所以同意自动扣款,这一点没有问题。问题是自动扣款适用于交易发生时,而交易应满足知情条件。 无论是支付宝还是联通,在让用户在支付宝 APP 上同意自动充协议时,都没有以任何方式揭露自动充前面的、由其他用户或者平台完成的充值号码设置&支付条件设置。这就需要给个说法了。 |
 | 11 summerwar 2024-05-19 09:40:52 +08:00 在 A 平台买东西,然后到 B 平台聊天和发货,有没有感觉哪里有问题? |
 | 12 yinmin 2024-05-19 09:56:18 +08:00 via iPhone 查到充钱的手机号,然后直接报案。 |
| 13 IvanLi127 2024-05-19 11:00:22 +08:00 @dwelling 其实问题就是你想看到的被签约的手机号信息,应该是由自动充平台给你显示的,然后跳转到支付宝让你签约。骗子把这个界面之后的链接发给你了,所以你看不到。理论上支付宝是不应该知道手机号的,所以不会显示。 你想知情的内容已经让骗子知完了,然后你信了骗子谎称的信息... |
 | 14 docx 2024-05-19 11:54:46 +08:00 via iPhone > 引导至第三方平台 url 沟通 从这里开始已经没有往下的必要了 |
| 15 docx 2024-05-19 12:01:46 +08:00 via iPhone 自动充能给别的号码签约这很正常的,家人朋友不可以代充吗?怎么能算验证漏洞?又不是没让你验证密码/验证码。 OP 可别瞎搞,用自动充给家人充话费很方便的,总不能每个手机号都开个支付宝才能用自动充吧? 自己的问题好好反省,而不是把责任怪到无辜的功能方。首先跳出平台沟通就不应该,其次付款验证也不看清条目就授权…… |
 | 16 SenLief 2024-05-19 14:27:16 +08:00 这和支付宝没啥关系吧,平台都提示多次,不要跳平台,只能说从一开始你就错了 |
| 17 dwelling OP @docx 用户用支付宝给家人朋友充值话费当然没问题。 问题是:如果你的家人操作给任意联通号码申请自动充,最后支付验证环节能发你链接、让你的支付宝账号来点击链接、完成验证、同意自动充协议么? 如果能的话,帮忙提供证据(截图、录屏;以便后续投诉报警立案 wq ),我转你 100 块支付宝红包。 注意: 1. 不是你来申请给任何人的手机号码自动充,只是由你的支付宝账号通过点击链接、拉起支付宝弹窗来完成验证; 2. 联通自动充协议里面服务内容:当您为指定办理号码开通自动充服务时,可根据您选择的充值方式与扣款方式向您指定的通信账户进行充值/交费。 3. 今天找魔都本地联通营业厅工作人员测过,中国联通 APP 只能给自己的联通主号申请自动充,付款方式选择支付宝后,直接拉起支付宝验证弹窗,无法转发链接。 |
| 18 dwelling OP @IvanLi127 对。自动充平台目前俺只搜到了微信、支付宝、运营商官方 APP 。顺手找了个当地联通手机号码测了下: - 微信: - 入口:手机充值小程序-服务大厅-自动充 - 充值规则:只支持从下个月开始每月充值日定时充,不支持低额充 - 支付方式:只允许微信支付,不允许支付宝支付 - 支付宝: - 入口:充值中心-(充值服务)自动充 - 充值规则:只支持低额充、不支持每月定时充 - 支付方式:只允许支付宝支付。设置完手机号码与充值规则并二次确认后,直接进入签约、当前页面要求验证(支付密码) - 联通 APP: - 入口&充值规则:可以直接搜索自动充,或者(根据公开新闻稿)点服务-交费-自动充-选择话费不足自动充/上月话费自动充 - 支付方式:可以选择沃钱包、支付宝或者微信。支付宝扣款方式提示首次开通得 1.5 红包(这一点与订单金额 500 、实际支付 498.5 、使用红包 1.5 对的上)。 所以俺才怀疑是联通这边有缺陷。 感慨下:还是移动 APP 谨慎,因为移动 APP 上只允许和包支付 XD |
| 19 dwelling OP @yinmin 说得好,很多受害人朋友也在走这条路,但是发现: 1. 收钱的当地运营商往往拒绝透露被充值的号码(支付宝是不会提供的,可能联通 APP 发起的支付宝验证没有给支付宝充值号码信息); 2. 就算当地运营商好心给了(或跟工信部 12300 有效投诉后当地运营商被迫来跟进的),号码主人( 70 后、05 后)也往往会表示自己只是借出了号码、然后拒绝沟通/还在上学、慢慢还/; 3. 跟闲鱼客服申请卖家信息披露,很有可能是虚拟手机号码( 00 开头)、联系地址是帝都某派出所…… |
 | 21 Tartarus1 2024-05-19 21:24:28 +08:00 @dwelling 老哥,请问只有支付宝上的商家订单号,也可以查到充值的手机号吗?我的是被充向山西联通的,咨询当地联通客服后,他们说查不到,支付宝也说查不到。。。。。 |
| 22 dwelling OP @Tartarus1 联通运营商是可以的,但是山西联通不想透露给你。查不到意味着需要警方介入才能查,毕竟涉及用户隐私。但是刑事立案 3000 块金额门槛,派出所只负责片区内发生的案件,受害人一般也不敢故意再被骗、凑 3000 块门槛。 可以向工信部投诉,这样山西联通会回访,但是可能还是不给充值号码。就算给,那个号码大概率是话费慢充,运营商觉得合理,警方不立案、那个号码就不会涉嫌诈骗(&被封号)。 但是你有了那个号码,可以考虑去 [山西信管局] 投诉山西联通。 骗局的充份条件: 骗子同时有话费慢充渠道+卖会员的渠道,并拿到了联通不应该泄露的联通自动充的支付宝签约链接,且支付宝签约链接也不像微信自动充那样会强提示服务内容。 骗局运作大致流程: step 1. 慢充买家 A 从话费卖家骗子那边买慢充服务(比如实付 480 、到账话费 500 ) step 2. 骗子通过卖会员啥的的渠道吸引资金来源受害者 B (也就是我和你还有另外几百位小红书姐妹) step 3. 骗子先在中国联通 APP 上申请给 A 的手机号码开自动充、充值方式选择低额充(低于 5 块自动充 300 或 500 ),付款方式选择支付宝,然后 [通过魔法手段] 获取中国联通自动充的支付宝签约链接,发给买会员的买家 B step 4. B 打开骗子 B 的中国联通自动充链接,看到弹窗上的中国联通和 3 个协议短链接,大意地确认同意、输入密码/指纹/faceID ,完成签约 step 5. B 自动立即为 A 充值(例如 500 ) step 6. A 确认收货,骗子收到了洗干净的 A 的货款(如 480 )。 |
| 24 dwelling OP @Tartarus1 还有个方式就是走卖家协商退款的渠道。以闲鱼为例,在闲鱼举报卖家(只有两次机会),举报成立后,以提起诉讼名义跟闲鱼客服申请信息披露,拿到卖家详细信息(姓名、用户名、注册电话、身份证号码),以诉讼+失信+帮信罪(如果出借身份)好(wei)好(bi)沟(li)通(you)(快),或者让对方协助你举报慢充骗子卖家(慢)。 |
| 25 dwelling OP 另,有点好奇这种情况,算欺诈还是盗窃。 因为当被害人有对财物的处分行为时,根据主客观一致的原则: - 如果没有处分意识,算盗窃罪; - 如果有处分意识,算欺诈罪。 |
| 26 Tartarus1 2024-05-19 22:48:00 +08:00 @dwelling 闲鱼卖家的身份我已经走信息披露拿到了,但不出意外的那只是个出售/租自己闲鱼号的傻穷逼大学生,在网上找了个兼职啥的把自己闲鱼号借给他人用了,他还被骗了押金,诈他赔偿不愿意,让我直接报警让警察处理,关键是他当地的警察不接警说让我在属地报案,然后再让我这边的警察出协助调查函,但显而易见的,基层派出所那些大爷们不可能为我这几百元山长水远的大动干戈。至此一切闭环,骗子无敌了。 |
| 27 Tartarus1 2024-05-19 22:50:44 +08:00 @dwelling 为今之际,只能揪住山西联通,甚至直接工信部投诉让他们提供充值的号码,一直找号主扯皮,威胁他举报封号,上短信轰炸啥的,让号主赔偿。 |
| 28 dwelling OP 对跳转链接持有执念,睡前找到一个类似场景分析:《我看刑,运营商高危在野业务漏洞被利用到网络诈骗》 https://mp.weixin.qq.com/s/IxEuLeLSxguWpMnnm2PBpg 如: - “主域名是联通的域名,二级域名是联通核心资产沃钱包。在点击该链接将不会有更多的提示,比如充值的手机号,金额,将没有更多的显示,主域名及二级域名均是联通的将会大大降低受害者防范。并且,在签约完后将会提示签约失败”; - “https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx 的链接。点击同意开通将会被扣款” - “沃钱包……其实它存在设备环境检测以及代理检测……利用相关技术,尝试对其绕过越狱,并未成功……通过修改可执行文件的代理检测代码,使用 Trollstore 安装到设备,亦未成功”; 假设黑产是通过 app 这个入口进行抓包,获取到 https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx 这个链接来发送给受害者,意味着他们已经能够将这些安全机制绕过。 - “假设黑产是通过 app 这个入口进行抓包,获取到 https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx 这个链接来发送给受害者,意味着他们已经能够将这些安全机制绕过。但是,但凡运营商在提供的链接的时候能够更多信息描述,受害者也不会这么容易上当受骗” |
| 30 dwelling OP @Tartarus1 俺打算抓住联通运营商支付漏洞问题(参考 28 、29 楼证据),不跟卖家或者实际充值号码主人打交道。 另,可以参考《教你如何投诉电信运营商( Plus 版)》: https://mp.weixin.qq.com/s/KklRA63sA4F16tpYrmi2eQ |
| 31 dwelling OP @dwelling 如果这是个一个游戏,对普通玩家来说,它算 HARD 级别。 游戏里的角色有: - 分钱的怪: - 有引流的号贩子(闲鱼、QQ 、微信) - 诈骗网站客服骗子 - 搭建&维护诈骗网站的技术骗子:网站风控迭代速度比联通快多了 - 利用运营商漏洞的技术骗子/运营商内鬼 - 号贩子跟骗子层层分销的上线 - 潜伏在受害人社群中收集信息、举报炸群的小鬼 - NPC: - 闲鱼+支付宝投诉客服 - 闲鱼风控人员(曾允许虚拟号注册,反应速度比联通快、比骗子慢) - QQ/微信客服 - 运营商客服(线上客服、熟练掌握推诿与激怒技巧的省客服、最后被献祭的地级市客服):运营商 APP 线上客服、10015 集团热线客服、归属地省份客服、扣款发生地省份客服、扣款商户省份客服、充值号码归属地客服/被充值发生地客服客服、你附近运营商营业厅工作人员 - 派出所民警 - 反诈中心网警 - 12315 消协工作人员(欺诈交易投诉,需要等跟运营商投诉后等 15 天再找他们) - 工信部工作人员(充值退款投诉) - 通信管理局工作人员 - 代写诉状的&帮查个人信息披露的卖家&法院/法律援助中心工作人员 - 小红书&抖音其他受害人 - 匿名好心人 - 队友 - 受害人社群 - 知名不具好心人 - 中立玩家: - 借出闲鱼/QQ/微信号的个人(未成年人、大学生、老人、不孝子的家长;也可能骗子/号贩子,会不停地激怒、挑衅、嘲笑你) - 被充话费的慢充买家(知情/加装不知情的钱驴) - 运营商产研风控人员 而你,可能只是个要带娃的宝妈、最笨的大学生、开了支付宝 faceID 所以连密码都需要就被扣了一周生活费的小孩。 希望反诈中心能把这些诈骗案例做成游戏。俺愿意氪金 Uェ*U |
Select Language