网络安全 频道

拍拍网漏洞遭攻击 卖家险些被偷4万元

        【IT168 资讯】看到拍拍网公告要求“验证身份信息”,卖家葛先生赶忙输入账号、密码、手机验证码等信息,没想到自己财付通账户中42300元余额瞬间被扣光。所幸的是,葛先生看到扣费短信后立即修改了支付密码,4万多元钱款才失而复得。360网购先赔中心根据葛先生举报的资料分析,发现他所看到的“公告”实际上是由黑客利用拍拍网漏洞炮制的。目前,360已将此漏洞通报给腾讯公司,协助对方尽快修复漏洞,保护更多商家避免遭受损失。

  据葛先生介绍,不久前他的店铺收到“拍拍客服”发来的消息,称由于拍拍商城与QQ网购刚合并,要求商家尽快完成身份验证,才能获取交易权限。根据对方提供的链接,葛先生打开页面,发现确实是拍拍官网的地址,页面上方挂着一条公告,标明“点击此处进行获取权限”。

拍拍网漏洞遭攻击 卖家险些被偷4万元
图:骗子利用拍拍网漏洞传播钓鱼链接

  葛先生按提示操作后,页面先跳转到“验证身份信息获取发布权限”的网页,接着又跳转到了财付通登录界面。于是葛先生输入账号和密码登录财付通,又按要求输入了姓名、身份证、手机号等身份验证信息。期间,他还根据提示填写了安装数字证书时的手机验证码。等这些操作全部完成,系统提示“验证成功”后,葛先生突然收到了财付通扣款42300元的手机短信提示。

  原来,葛先生看到的“拍拍客服”消息,根本就是骗子假冒客服发来的,拍拍网上显示的公告,则是骗子利用拍拍的漏洞,通过一系列网址跳转把葛先生带到钓鱼网站上,从而盗走了他的财付通账号信息。幸亏葛先生眼疾手快,看到短信扣费后立刻修改了财付通支付密码,导致骗子在确认收货时输入密码错误,才有幸追回了钱款。

  360网购先赔中心表示,接到葛先生反馈这起钓鱼诈骗案例后,360第一时间对此类钓鱼攻击进行拦截,并联系了腾讯安全应急响应中心的相关负责人。经对方确认,所谓拍拍网“验证身份获取发布权限”全是诈骗信息,拍拍网从未对商家发出过此类提醒。目前,针对被骗子利用的拍拍网站漏洞,腾讯表示正在积极修复中。

拍拍网漏洞遭攻击 卖家险些被偷4万元
图:360协助拍拍网修复漏洞

0
相关文章