转藏到我的个人馆
女子购物被骗扫二维码 卡内转走900元
女子购物被骗扫二维码 卡内转走900元
女子购物被骗扫二维码 卡内转走900元
来源： 华龙网
来自重庆市沙坪坝区公安分局消息：一名粗心的母亲在淘宝购物，被所谓的“淘宝退款”忽悠，泄露了自己的验证码和二维码，卡上被瞬间转走 900元。
来自重庆市沙坪坝区公安分局消息：一名粗心的母亲在淘宝购物，被所谓的“淘宝退款”忽悠，泄露了自己的验证码和二维码，卡上被瞬间转走 900元。
5月18日21时许，沙区110快处民警接警，称有人在淘宝购物被诈骗。报警人陈女士（化名）告诉民警，当天下午，自己在网上给孩子添置衣物， 购买了一件几十块钱的衣服，可是不久就收到一个“客服”发来的短信，称自己店里的衣服有质量问题，为了保证信誉度愿意主动为陈女士退款。
陈女士以为这位所谓的“卖家”出于一片好心，于是就点进短信中的网址中，并且填写了网址上一系列要求填写的银行卡号码、身份信息等。之后，她收到一个验证码，陈女士也如实告知了这位“客服”，随后就收到了退款的通知。
陈女士也没注意款项多少，便想着尽快把衣服退还给淘宝卖家。不久后，她又接到“客服”的短信，称之前退款金额不够，需要陈女士扫一个二维码，收 取剩余的费用。陈女士没多想就扫了二维码。意想不到的事发生了，她接到了银行扣款900元的信息，这才意识到自己被骗了，连忙报警求助。
民警经过了解，告诉陈女士这是典型的通过验证码和二维码共同实施的诈骗行为，第一步骗取信任，第二部就是骗走钱财。于是民警将陈女士带往派出所立案侦查。
对此，提醒广大市民，二维码已经很常见，扫码给人们的工作生活带来了很多方便，也带来了风险。二维码提供者可能会借此收集你的个人信息从事不法活动，比如把信息卖给不法分子进行电信诈骗。
另一个更大的风险则是，这个二维码本身就是一个木马病毒，只要扫了，木马病毒会在你不知情下进入手机系统，搜集手机中的个人信息，包括手机银行、支付宝等账户信息，有了这些信息，你的钱就有可能不知不觉被转走。因此，来历不明的二维码会潜藏很大的风险，切莫轻易去扫。
网络二维码诈骗
“我的银行卡里莫名其妙被汇入了8万元，问了身边的朋友都说没有汇过。”19日上午，在鄞州区开店的闻女士称，18日上午11点多，自己卡...[详细]
手机逛佰佰优惠更多
以下网友言论不代表佰佰安全网观点
您还可以输入200字&&为保障您顺畅购票，请下载安装。
余票动态信息网上购票常见问题铁路常识货运办理常见问题
版权所有 &
中国铁路信息技术中心 中国铁道科学研究院 京ICP备号-3&&|&&京ICP证150437号分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
当你浏览器登录支付宝的情况下，你敢用手机支付宝客户端扫其他网站的二维码吗？
详细说明：
技术细节：
支付宝二维码页面：/login/homeB.htm?redirectType=parent
该页面请求之后会返回securityId（如web|authcenter_querypwd_login|2fb227a3-e5c0-469e-b27f-471b584cf070），barcode(如/plpyjknzdbjrluty4b)
securityId主要是来给前端轮询二维码扫描状态的；而barcode是二维码中的字符串，给手机客户端扫描用的。
轮询接口：/barcode/barcodeProcessStatus.json?securityId=web|authcenter_querypwd_login|2fb227a3-e5c0-469e-b27f-471b584cf070&_callback=light.request._callbacks.callback2
二维码的状态信息有waiting(等待扫描)、scan（已扫描）、confirm（手机扫描之后点击确定登录）还有timeout（超时失效）。
二维码扫描之后确认登录请求：/scanResult.htm
postdata：securityId=web|authcenter_querypwd_login|2fb227a3-e5c0-469e-b27f-471b584cf070
正常的流程是：
1.用户浏览器访问扫码登录页面，页面生成二维码并一直在轮询二维码状态；
2.用户用支付宝客户端扫描二维码，二维码状态变成scan，等待用户确认登录；
3.用户在手机上确认登录；
4.二维码状态变成confirm，浏览器实现以扫描手机的支付宝用户登录支付宝。
但是在第三步，即确认登录请求接口却有一个csrf！
1.攻击者访问扫码登录页面，自己写个浏览器插件实时提取出里面的securityId和barcode，并更新securityId状态到本地，若timeout则刷新二维码；
2.攻击者从本地将barcode当字符串生成自己的二维码图片放在自己的网站上，js一直轮询本地的securityId状态；
3.受害者浏览器登录支付宝的前提下，访问攻击者页面，用手机支付宝客户端扫描上面的二维码；
4.js轮询到securityId变成scan，在一个隐藏iframe里提交form表单来做确认登录请求；
5.攻击者访问的扫码登录页面实现登录受害者的支付宝账号。
漏洞证明：
情景模拟：
当你浏览器登录支付宝的情况下，如下：
你看到了一个第三方站点的二维码如下：
如果网站上有一些欺骗性的语言，如支付宝客户端扫描得红包，抑或你刚用支付宝买完东西，提示你扫码可以返现之类的社会工程学来诱使你用支付宝客户端扫描二维码。
其实，攻击者那边可能有一个页面一直在等待着你上钩：
一旦你扫描了，然后攻击者的浏览器里就登录了你的支付宝，如下：
1.受害者扫描之后会发现手机上的确认登录页面，但是此时攻击者已经达到了想要的目的；
2.受害者浏览器支付宝的登录用户和手机上的必须一致，一般人都只有一个支付宝账号。
修复方案：
确认登录接口做下csrf防范吧。
版权声明：转载请注明来源 @
厂商回应：
危害等级：中
漏洞Rank：8
确认时间： 10:51
厂商回复：
感谢i8u对支付宝安全的关注，CSRF问题已确认正在修复中。
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
神奇的i8u ._.
虽然看不到详情,看&简要描述&莫非是clickjacking?
@jusker &漏洞类型： CSRF&
扫码之后伪造转帐请求？靠，没密码呀。
@超威蓝猫 好吧
我只能说这只是一个请求啊，还差一步呢。。。
过程写的很用心，赞。如此详细的手法在wooyun里应该提倡一下 @xsser
@破锁 还差一个cookie值？
登录后才能发表评论，请先借贷宝会不会是骗局啊！我今天在路边看到借贷宝在路边在搞活动 说扫二维码免费送一个保温杯 可是要注册_百度知道
借贷宝会不会是骗局啊！我今天在路边看到借贷宝在路边在搞活动 说扫二维码免费送一个保温杯 可是要注册
会不会对个人造成什么损失之类的啊，大家有没有遇到过呢！我今天在路边看到借贷宝在路边在搞活动 说扫二维码免费送一个保温杯 可是要注册才可以 要认证身份证还有手机号码 还要识别自己的头像借贷宝会不会是骗局啊
这样很容易被陌生人知道自己的资料　　真的。　　最安全的方法是去软件市场或者苹果商店里自己搜索借贷宝下载，现在注册账号是真有20块钱，我还专门打客服电话咨询过：CWK9CAR(字母大写），下载软件后注册账号时记得一定要填写官网的一级推荐码，最后绑定银行卡就可以把钱提现到银行卡了，然后完成身份认真就可以拿到注册红包了。　　你要是有什么疑问可以继续问我，其实只要不随便扫别人的二维码或点别人发的链接注册都没事，被倒卖资料的风险实在太大了
其他类似问题
为您推荐：
二维码的相关知识
其他2条回答
骗局，当时不会。你将要成为他们的客户资源。
是不是还填邀请码？
你也遇到过吗？
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}