2010年1月8日

一同事居然被钓鱼taobao骗去几千，已经报案，但如今该骗子还在继续，等警察叔叔处理恐怕要等到下世纪。

先从被钓鱼的角度把过程回放一下：

1、首先他用qq之类的与你联系，借口taobao店里面货没上架什么的，然后说再发一个地址给你。地址如下：

http://item.taobao.com.auctiuion.com/auction/item_dateli-0db2-e863103672.asp?cf5e5d52f485fab.jhtml

2、有点常识的人，一眼就知道这个URL真正的域名是顶级域名auctiuion.com，其他taobao.com只是他自己域名下的子域名。从表面上看，这个页面跟taobao一样。点“现在购买”进入登陆页面，其实随便输入什么都能登陆。

也就是这一步，如果看不出来，那么噩梦就要开始了。

3、然后填写购买信息后，进入支付页面，还是假的。他会提前骗你说出你的银行是哪家的（借口开发票之类的），你在这里选择什么银行都一样，都会跳到你告诉他的那个银行支付页面。如果你银行也告诉他了，那就彻底完了。

4、进入最后一个页面--跳转到你的网上银行--这回银行是真的，银行上面显示的支付宝公司也是真的，你乖乖把钱付了，这也是真的！！可是最后的结果呢，他说没有收到阿，你去支付宝帐号查询，也没有任何支付记录。这回他还会让你再试一次，可能支付没有成功。如果你够傻，你还会再给他支付一次的……

稍微看了一下，从钓鱼者的角度把过程推演一次（有部分是我自己推想的，但应该差不多）：

1、首先从国外申请一个域名（如这个骗子的auctiuion.com），并自己设置增加子域名item.taobao.com，就是item.taobao.com.auctiuion.com，很像taobao的URL（成本100不到，查过该域名09.12.29才注册的）

2、租个国外的空间（查过该服务器就是在美国），这个主要是为了防止国内的封锁。这个成本估计也就是几百。

3、开始在baobao上开个店（0成本）。在支付宝申请一个商家，开通即时到帐交易（这个年费600，强烈bs支付宝，给钱基本就能开通）。在开通一个用来支付的普通帐号（0成本）

4、万事俱备，开始钓鱼。

4.1、首先自己taobao店里的东西很便宜，吸引一些人过来。然后找借口用qq跟他们聊（避免留下直接证据，这样taobao就不会那么快关了他的店），把客户需要的物品在taobao上看好，然后马上把真叶面保存下来（很逼真了），稍作修改（可能是用程序，把里面的每一步的链接都改好了），传到服务器。给他们发假的taobao地址。

4.2、骗来客户的银行，先到支付页面，用自己注册好的支付宝帐号给自己的商家下一个跟客户的价钱一样的定单，把下订单整个过程的页面都拷贝下来，等着客户来为支付就是了。因为支付宝需要选择银行，而且每个订单选完一个银行就不能选择其他银行了。所以必须把他们的银行要过来，这样才能生成正确的银行支付页面（支付含一些校验串，用于给银行校验页面请求的真实性，自己生成不了）。

4.3、客户选择完支付，就等于为自己下的订单支付，但是支付的流水是记录到骗子自己两个帐号的，客户自己是找不到的，找支付宝投诉，人家也不会理你，因为你的帐号根本没有发生交易！taobao更不用说了，整个过程都没有在taobao上发生，更不会有任何记录。所以一时taobao和支付宝都没有办法，骗子可以骗很长的一段时间！

4.4、收到钱后，马上去别的店铺买东西，洗钱。因为即时到帐，那也只是到了支付宝的帐号，钱还在支付宝那呢。但是可以马上消费掉。

总结一下：

1、从个人来说，买东西看URL就行了。不要点别人给你发的地址。真正的域名是taobao.com结尾，其他都不认。

2、从技术上看，支付宝和银行是有责任的。银行有办法去判断一个交易请求的来源（可以对商家地址预先保留），这样骗子就没有办法从他自己网站给银行提交支付宝的交易请求。对于支付宝来说，在接到用户投诉后，要第一时间查封骗子的帐号并退款。当然还有其他的一些手段，比如银行可以校验生成单子和实际支付的时间，如果太长就要作废。等等，方法很多。但是事不关己，他们不会关心的！建议被骗的人联合起来把支付宝和银行一同告了！

     银行的责任：技术问题，没有把好关！

     支付宝责任：一是没有对即时到帐的商家进行严格审查，并从中获利600元年费，是共犯；二是没有在第一时间认真处理客户投诉，造成真正损失，不作为。三是技术上存在过失，实在是无能，应与银行共同解决！

     因此，由支付宝赔偿98%，银行1%。客户自己1%的责任。