【阅读对象】:普通的购物网民、游戏电商类网站技术人员、第三方支付平台。 【历史】:一直以来,网上钓鱼诈骗活动日益猖獗,很多游戏电商类网站都中招了,很多网民都被骗过。 【焦点】:被利用最多的就是游戏娱乐类网站,这些网站经营虚拟商品服务,骗子骗到钱后能够瞬间脱手。实物类网站较少被利用。这些经营游戏娱乐、点卡充值类网站,我们统称为网站a。 【网民感受】:往往不明真相,报案无门。损失惨重,自认倒霉。 【骗子行骗原理】: 第一步:骗子在网站a上注册会员。人工或者使用自动程序,在网站a上获取下单,得到订单号; 第二步:骗子把订单支付网址发给被骗者,诱导被骗者支付。被骗者访问支付网址,就会跳转到第三方支付平台,接着进入网上银行支付货款。支付成功后,就等于花钱替骗子买了东西。 第三步:骗子瞬间把买到的东西挥霍一空。 【支付漏洞在哪里?】:网站a没有检测到下单者和支付者不是同一个人,没有及时冻结骗子会员账号。当被骗者四处打听,投诉举报后,网站a要冻结骗子会员账号的时候,骗子已经把买到的东西挥霍一空。 【支付漏洞解决方案原理】:笔者多方搜集整理资料,总结一些网站的教训经验,分析出骗子行骗原理,总结出网站a可以使用ip比较法彻底封堵支付漏洞。 【一些网站不成熟的检测钓鱼订单方法】: 1、限制每个会员每天订单数量法。限制每天每个会员只能提交n个单子。超过这个数量就不能再下单。存在问题:可以通过注册多个会员突破限制。 2、限制每个ip某个时间段的订单数量。比如限制1个小时最多下单n个,超过n个订单数量,就限制该ip继续下单。存在问题:通过变更ip突破限制。 3、限制单笔支付金额法。比如限制单笔最大5000,10000等等。存在问题:影响正常会员的正常支付。骗子还可以再限额范围内行骗。 4、第三方支付平台判断支付订单来源网站是否是商户号所对应的网站。发现来路域名不是订单商户号所对应的网站,就禁止支付,并且给出风险提示。存在问题:通过软件伪造模拟来路突破限制。 5、被骗者投诉举报后,网站客服人工冻结。存在问题:效率低。 …… 各种检测方法可谓五花八门,乱七八糟。但是并没有从根本上解决问题。 【成熟检测方法参考网站】:网易宝。yiguqi公益防骗安全小组分析了网易旗下网易宝和网易充值中心的做法,发现能够非常完美地检测到钓鱼诈骗订单。检测到是钓鱼单子后,网站程序立即自动冻结该会员账号,禁止操作。 【支付漏洞解决方案基本思路】:购物对用户来说,主要分为下单、支付两个操作环节。比较用户下订单时的ip地址和支付后返回网站时的ip地址是否相同。如果两个ip地址不一样。那么就可以肯定下单和支付不是同一个人,就可以自动封禁该会员,禁止该会员对账户的操作权限。如果ip地址一样,可以判定是同一个人,应该不是异常单子。 【技术细节】: 获取客户端ip的方法:获取用户头信息中的REMOTE_ADDR参数内容 asp用代码Request.ServerVariables("REMOTE_ADDR") 不要用Request.ServerVariables("HTTP_X_FORWARDED_FOR") php用代码 $_SERVER['REMOTE_ADDR'] jsp用代码 request.getRemoteAddr()) 其他网站的开发者请根据开发语言的各自特点编写获取客户端ip的代码。 记录ip的方法:在订单数据库中添加两个字段:下单ip字段、支付ip字段。在订单生成时,获取下单者的ip,记录下来。用户浏览器支付返回后,获取支付者的ip,记录下来。然后程序对两者进行判断。 【注意事项:判断是否是浏览器通知结果】:ip比较法,是比较用户下单时ip和用户支付后,浏览器返回时的ip。注意分辨支付平台服务器通知和用户浏览器客户端通知两种支付结果通知方法的区别。支付平台对支付订单有两种通知方法。第一种是支付平台服务器通知支付结果。第二种是用户支付成功后浏览器返回的通知方法。通过判断User-Agent参数,可以判断是否是浏览器通知结果。 【漏洞问题比较严重的站】支付宝(中国)网络技术有限公司、完美世界(北京)网络技术有限公司、上海巨人网络科技有限公司、中移电子商务有限公司中国移动手机支付、迅付信息科技有限公司、上海环迅电子商务有限公司、 广州市新泛联数码科技有限公司、广州市新宽联数码科技有限公司、江苏欧飞电子商务有限公司、金华比奇网络信息技术有限公司 ip比较法也有个小小的问题:就是如果用户电脑完全被骗子病毒软件控制的话,用户付款后,病毒软件自动关掉浏览器网页,导致网站a获取不到支付者ip地址。网站a对这种情况的应对措施是:对于只有支付平台服务器后台通知,而没有浏览器返回通知的订单,暂时冻结,要求会员出具网银截图,才给予解冻。 yiguqi公益防骗安全小组 (责任编辑:admin) |