官方微信 手机客户端

网店交易论坛

淘宝的淘口令及闲鱼登录漏洞乍现 黑产诈骗横行

[复制链接]
查看: 476|回复: 0

108

主题

110

帖子

328

积分

等待验证会员

积分
328
发表于 2020-7-7 20:51:06 | 显示全部楼层 |阅读模式
近日,网络上出现了利用淘宝及闲鱼登录漏洞进行诈骗的神操作,可谓是脑洞大开的一种黑产诈骗手法,其利用的就是淘口令的API及闲鱼的登录跳转漏洞!
具体漏洞如下
淘口令开放API接口:第三方网站和软件可以自主生成淘口令!一些黑产人员利用此漏洞,利用闲置域名创建一个淘口令,且该淘口令是合法的,闲鱼APP可以直接识别。
61f835e912a74cea8cca0e6342519124?from=pc.jpg
包含钓鱼页面的淘口令

闲鱼登录跳转漏洞:闲鱼登录页面后的跳转未做白名单处理!此漏洞不会盗取账号密码,只会让用户登录后跳转到钓鱼页面!
然后这些黑产人员开始大肆在各个渠道发布低价信息,论坛,贴吧,微博,Q群和微信群等!本来1000块的东西,他只卖50块钱,就是为了引你上钩!
等你加了他的联系方式,他会告诉你使用闲鱼交易,而且会发给你一个淘口令。你兴高采烈的以为捡到了宝,复制了他的淘口令,打开了闲鱼APP,闲鱼马上识别了该淘口令(因为是合法生成的),然后就提示你登录(已登录的会直接登录),然后利用登录的跳转漏洞跳转到了钓鱼页面,该页面设计得和闲鱼的界面完全一样,你根本看不出来,然后你就稀里糊涂的付款了,被宰了!
242dfdbc824740eca979091282f07aa7?from=pc.jpg
利用跳转漏洞跳转到钓鱼页面

你看,一切的逻辑都那么的正规,淘口令没错吧,闲鱼APP也没错吧,但是就是经过这种脑洞大开的骚操作,就让你不知不觉的中招!
现在去百度搜索淘口令API,你会发现这类黑产诈骗操作已经存在一段时间了,如下图所示,一些第三方网站上已经出现了这类广告。
23a655c0d97e475daeb1ce39bb5a80f9?from=pc.jpg
黑产出售淘口令白名单资料

fc7cb531edfa4ac6ae93491347ec6f92?from=pc.jpg
可以自定义淘口令域名的软件

网络险恶,传统的钓鱼手法已经不太管用了,但是像这种看起来完全没毛病的诈骗,真的是让人防不胜防!希望淘宝能尽快修复此漏洞!

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发布主题 快速回复 返回列表
返回顶部 关注微信 下载APP 返回列表