支付宝内置浏览器被用于诈骗 在闲鱼进行交易时请勿进行任何扫码 – 蓝点网

自假期开始就有用户在知乎以及小红书等平台分享自己在闲鱼上购买商品时被卖家利用保价进行诈骗的支付置浏经历。

最初受害者多数是宝内被用在闲鱼上购买破解软件和源代码的用户，而现在已经有更多诈骗者利用这种手法进行欺诈。览器蓝点

从网友分享的于诈鱼进易被骗经历来看主要问题来自支付宝，尽管不算是骗闲安全漏洞，但支付宝的行交逻辑处理被诈骗者利用。

而关键环节就是请勿买家轻信诈骗者发送的二维码，所以在这里也提醒大家，进行不要看到二维码就扫很可能有大坑。任何

诈骗者大概的扫码操作流程：

大家在小黄鱼上交易主要看中的就是平台提供担保交易，即买家收到货后检查无误确认收货后卖家才能收钱。支付置浏

也正是宝内被用如此一旦用户确认收货那就视为商品无误交易完成，此时平台向卖家放款如有问题再申诉也难以处理。览器蓝点

诈骗者利用自建网站伪造所谓的于诈鱼进易闲鱼尊享寄，0元可获得10,骗闲000元保价，正常情况下买家肯定愿意领取保价。

所以在卖家发来二维码时很容易轻信描述而扫码并使用支付宝打开 ，接着就是按页面提示操作支付1元运费。

问题就在于这个所谓的保价页面是伪造的，当用户输入密码进行支付时实际网页调用的是咸鱼确认收货功能。

因此买家在没有收到货或存在问题的情况下就会确认收货，此时平台向诈骗者打款，随后诈骗者将用户拉黑。

黑锅得支付宝背：

这个问题并不算是什么严重漏洞，但是这段时间被诈骗的用户应该大量增加，已经有用户向当地派出所报警。

那黑锅该谁被呢？该支付宝背，因为实际这就是支付宝内置浏览器和相关业务接口没有进行校验导致的问题。

按理说无论是淘宝、天猫还是闲鱼这类平台调用支付宝确认收货时，支付宝都应该校验页面域名放行白名单。

而支付宝本身内置浏览组件，如果不校验白名单用户使用支付宝打开钓鱼网站，实际上难以分辨页面的真假。

目前支付宝似乎也已经发现这个问题 ，但只是对满1000元的交易进行二次确认，低于1000元没有二次确认。

这种处理方式显然还是不够的，建议支付宝还是老老实实对接口进行鉴权，同时为内置浏览器挂上安全提示。