本文仅限于反诈骗知识学习、讨论和分享，不得违反当地法律法规。 用户应对因传播、使用本文提供的信息而造成的任何直接或间接的后果和损失负责。 本文作者对此不承担任何责任。 后果请自行承担！

0x01 前言

最近我在社交平台上看到一个寻求帮助的帖子。 大致内容是：博主在电商平台下单购买了一款电子产品。 卖家谎称快递员来取货时需要对电子产品设置保价。 平台上，聊天窗口向博主发送了顺丰速运二维码。 该博主无法通过电脑点击链接，因此点击手机上的二维码后，弹出了一个平台的快递保价二维码。 如果快递员来取包裹的话设置价格保险似乎很合理，而这个链接确实是快递平台官网的价格保险系统。 结果刚付完5元保价，就发现刚买的电子产品还没到，但系统却提示发货成功。 博主这才意识到不对劲，当他尝试退款时，却发现卖家已经消失了。

0x02 行为分析

为了帮助读者更好地判断和防范今后新的网络诈骗手段。 下面详细的行为分析，将深入了解电商平台自动发货的诈骗行为，让读者警惕网络诈骗新情况。

网络钓鱼（）是社会工程的一种。 与现实生活中的网络钓鱼类似，攻击者冒充受信任的发件人，向受害者发送欺骗性消息，设置“诱饵”，诱导受害者点击恶意链接，并向受害者提供虚假网页。 敏感数据。 利用获得的信息，攻击者可以直接交易受害者的个人数据以获取经济利益，或利用其发起进一步的网络攻击。 攻击者还可能在网络钓鱼消息中包含恶意软件。 受害者打开钓鱼邮件的恶意附件后，攻击者的恶意软件就可以潜入并在受害者的系统上运行。 此外，攻击者还可能误导受害者将资金或资产转移给他人。

博主被骗子发送的恶意链接所欺骗，诱使他们点击。 查看诈骗行为流程图，了解受害人的行为。 先下订单。 订单成功下单后，支付数据将返回至电商平台。 此时，电商平台收到数据后，会将成功订单的订单号发送给卖家（诈骗者）。 诈骗者获取待发货的订单号，发送至诈骗系统后台，生成链接或二维码。 访问该链接或二维码会跳转至诈骗者冒充的快递平台的商品价格保障程序。

欺诈行为流程图

这种通信方法非常普遍，以至于一个欺诈者可以煽动或诱使多个潜在的犯罪者。 通过诈骗程序后台生成钓鱼链接或钓鱼二维码，向潜在的不法分子和有犯罪意图的人传播犯罪行为。 这些人在电商平台上发布价格远低于同类产品的产品，以吸引买家低价购买。 使用一些看似合理的词语，诱导买家点击钓鱼链接或二维码。 此时，如果买家点击链接并支付保价金额，则会提示已成功收到货。

欺诈传播方法树结构图

0x03 代码分析

通过分析犯罪分子发送的链接并查看源代码，我们发现了一段使用了自执行功能的JS代码。 该方法可以立即执行函数的内容。 在 JS 代码中，函数可以作为参数传递给其他函数。 代码中添加了功能，让买家在点击钓鱼链接或钓鱼二维码后自动执行代码块。

第三行代码逻辑是假快递平台的网页上有一个点击按钮。 当买家点击支付按钮时，代码中注册的CSS点击事件监听器将会被触发。 然后就可以看到核心部分的代码开始运行了。​

(function() { ready(function() { document.querySelector('.tradeno').addEventListener('click', function() { AlipayJSBridge.call("tradePay", { tradeNO: "0000000000000000000000000000" //此参数为支付宝交易号 }, function(result) { //处理支付结果 }); }); }); })();

, . 稍后容器会被初始化，生成一个全局变量，然后触发这个事件。 注入是一个异步过程，所以在调用接口之前尽量监听事件。 强烈建议使用它来简化调用。

这部分就是问题所在。 这是支付宝内部接口调用。 我们可以查看支付宝的H5开放文档。 文档中的代码需要判断JS代码是否准备好。 如果事件已经触发，则直接执行回调； 如果没有触发，则在注入事件触发后执行回调。

function ready(callback) { // 如果jsbridge已经注入则直接调用 if (window.AlipayJSBridge) { callback && callback(); } else { // 如果没有注入则监听注入的事件 document.addEventListener('AlipayJSBridgeReady', callback, false); } }

0x04 my.简介

源代码的核心部分有这样一段代码，那就是：“……”。 根据官方文档：my. 是用于发起付款的 API。 该API目前仅企业支付宝小程序支持。

tradeNO: "0000000000000000000000000000"

常问问题

问：如何在网页端进行支付？

答：也可以通过我的付款。 Web视图中的API，但不支持H5网页支付。

以上内容是官方文档中常见问题的解释。 这也可以解释为什么犯罪分子发送的诈骗链接在电脑端无法访问。 使用该接口调用支付接口时，不支持H5网页支付。 因为我的。 是支付宝内部定义的API接口。 在非支付宝软件中调用该API无效。 在支付宝小程序中操作似乎增加了可信度，让买家和用户认为这是支付宝的内部支付程序而不是第三方欺诈程序。

参数类型：

类型，参数如下：

范围

类型

必需的

描述

否（调用小程序付款时需要）

访问小程序支付时传递该参数。 该参数为支付宝交易号。 请注意，参数区分大小写。

否（调用支付宝预授权时需要）

从服务器获取的完整支付参数组成的字符串。

不

调用回调函数成功。

失败

不

调用失败的回调函数。

不

调用结束时的回调函数（无论成功还是失败都会执行）。

表格来自【支付宝文档中心/my.】​

也就是说，诈骗者将用户下单的交易订单号传入该参数，当他点击二维码支付保额时，就会调用支付宝内部的API接口。 一旦买家成功付款，将根据交易订单号确定买家已收到货，并将款项发送给诈骗者。

AlipayJSBridge.call("tradePay", { tradeNO: "0000000000000000000000000000" }, function(result) { //处理支付结果

0x05 预防措施

Ⅰ需保持警惕，切勿轻信、盲目跟风。 始终警惕卖家发送来自未知来源的信息、链接或请求。 如果确实无法识别，可以联系平台客服确认并帮助识别。

Ⅱ 请记住仅在平台内进行交易，不要进行第三方交流。 同时，您可以检查对方的身份和信用等级，尽量避免购买信用等级较差的卖家的产品。

三、如发现可疑行为或因钓鱼诈骗遭受损失，请及时向相关平台举报，并向当地监管部门提交证据材料，申请协助调查。

0x06 参考