提醒: 转转APP有严重漏洞被利用,专骗无人机用户
前段时间有多个飞友反馈, 差点在二手市场上翻车。
事情的经过大概是这样的:骗子在闲鱼发低价商品, 然后谈好交易之后告诉用户这个是转转的严选商品, 需要到转转交易, 然后发了一个转转的链接。用户在浏览器点击链接之后, 跳转到了转转APP, 看到了一样的商品, 然后下单付款……
如果最后这一步付款了, 那么用户其实就上当了!
问题在哪里呢?在于链接。这个链接一般看起来是这样的:http://zhuanzhuan.756td4.cyou/*******(已失效) , 咋一眼看上去似乎是转转的官方网站, 但其实这是一个钓鱼网站, 只是设置了一个二级名字叫zhuanzhuan域名。这个迷惑性比较大, 没留心的或者没有域名常识的用户很可能会中招。
当晚, 因为很多用户去围观骗子, 骗子改了商品标题, 恐吓用户。
另外一个更加迷惑的问题是, 这个下单付款操作看起来的确是转转里面进行的, 为何就不安全了呢?
原因就在于转转有个挺大业务漏洞,这个漏洞是, 转转APP里面有个页面功能(//jump/core/web/jump)可以跳转到外部网页, 这简直是专为钓鱼网站开的方便之门。因为APP不像浏览器,使用APP打开任何网站用户看不到网址所以都是无感知。所以你使用转转APP打开了钓鱼网站之后, 你后面的任何操作都在骗子的掌控之中了。
其实这个套路也不是很新鲜, 但如果用户不足够警惕很可能就会上当。文章提到的用户之所以没付款是当时觉得价格实在很低, 所以一再犹豫, 仔细核对, 最终没有踩坑。
以前闲鱼也有类似的漏洞, 后来闲鱼停用了网站, 只有App, 而且App是不允许打开链接的。
任何APP打开第三方链接都是有潜在风险的, 一般有安全意识的APP都不允许打开外部链接, 即使打开, 也会提示安全风险。转转APP问题是允许外部直接调用跳转页面, 传入跳转url的参数就可以跳转到指定链接。
至于骗子为什么专盯无人机用户, 也是不难理解, 因为无人机(大疆)二手产品比较保值, 单价比较高,市场很活跃, 这些特征都非常符合诈骗的标的产品。
目前这个诈骗已经形成一个黑色产业链, 有专门开发好的钓鱼网站系统, 有专门买卖闲鱼帐号, 骗子只需要在买来的闲鱼帐号上给用户发钓鱼链接,引导用户到浏览器打开,一个大坑就挖好了……
打手写文章时, 测试了转转app依旧可以通过链接调用,url跳转功能也还执行, 但有弹窗提示不能跳转。目前尚不确定此漏洞是否修复。
总之, 再次提醒大家, 二手交易一定要遵循平台交易规则, 切莫因为便宜而冲动。
往期推送:
微信扫码关注该文公众号作者