我竟然被淘口令骗了500大洋...

更多渗透技能  欢迎搜素公众号：白帽子左一

可也许你在正常交易时碰到过这样的事情：

开始解析

￥jLFM1x086Lm￥淘口令解析结果：

淘口令链接：https://login.taobao.com/member/ … rd-Outside.windvane

淘口令标题：陪玩#可夜

淘口令剩余时间：28天0小时3分9秒

然后先把短连接打开，发现会自动跳转http://suo.im/6bvtlW

解析后的原链接：http://zhuanzhuan-58.com/xy/?i=5 … 17u&ClickID=616

后面参数先不要管，打开，这个网址贼骚，检测到你电脑访问就跳转咸鱼，手机访问正常

（现在手机也打不开了，全部跳转咸鱼，主站跳转百度，骗子日常操作）

什么买耳机被坑，这不是搞陪玩被骗了，这是一个高仿咸鱼的网站。

点击我想要，会提示淘宝打开，然后出现付款。

（楼主说咸鱼有网页支付，但是咸鱼客户端付款是不支持网页支付，这里因为是网页打开，所以出现了网页支付）

接着调用支付宝，然后你懂的！出现付款界面，收款商家为那个交易猫，老规矩，冲q币洗白。

至于跳转后面的参数百度搜索TaoPassword-Outside.windvane，会发现好多类似熟悉参数的淘宝客链接或者聚划算链接之类，这一堆参数估计是为可以生成淘口令用的（淘口令生成有严格参数限制的），没玩过淘口令就不解析了。

事情总结

这事应该淘宝背锅，竟然不搞白名单，咸鱼兼容淘宝口令的方式通过网页版打开淘宝链接的，而且是自动登录的

所以假如一个假的淘口令，当你复制到咸鱼后，他会自动登录你的淘宝账号，然后跳转到http://suo.im/6bvtlW，

所以故事是这样的：

正常路径：

用户复制淘口令到咸鱼，咸鱼会以网页形式打开链接，并自动登录（大家可以复制一个淘宝口令试一下），不用登陆可以下单购买，付款只能支付宝付款（没有网页付款）

被骗路径：

用户复制伪装的淘口令，咸鱼以网页形式打开淘宝，然后自动跳转到到http://suo.im/6bvtlW，就好比你自己手机开个浏览器打开http://suo.im/6bvtlW，剩下不解释了，都是常规骗人套路

只能说想到这个方法的人牛逼啊！！！！！！！

总结：

各位在QQ 、微信等聊天工具、复制淘口令时，应注意 URL 地址以及付款时的页面！避免被骗！

以上信息来自 https://www.hostloc.com/thread-712363-1-1.html

本文仅用于技术讨论，切勿用于非法途径