今早只睡了三个小时，下午从Betacafe北京店开业现场回来，带几位朋友在和平街附近刚吃完饭到家，回了北京市公安局的电话，来好好梳理下今天混乱的思绪。事情得回到昨晚在淘宝上买邮票...
今早只睡了三个小时，下午从Betacafe北京店开业现场回来，带几位朋友在和平街附近刚吃完饭到家，回了北京市公安局的电话，来好好梳理下今天混乱的思绪。
事情得回到昨晚在淘宝上买邮票，通过搜索找到目标货物，东西暂时不便透露，但量是100件。当时客服回话说“加下我们老板吧，要的多，价格得他订。”我加了这位QQ号为442165303的骗子，聊了会儿感觉还不错。但我发现他们这个是新店，并且仅有的十几个信用都是刷的，于是提出质疑，他答复说是新开的店。我想想现在确实很多卖家这么做，没深究。
后来我要求发实物图看看，对方发了个rar压缩包，看到大小只有126K也没提出质疑，因为可能手机拍的。解压后是个类似“图片”的文件，于是我点了，然后就报错（典型的木马病毒）。我当时就问对方“为什么发.exe可执行文件？”并同步迅速检查了系统管理设置，还有进程服务，没发现异常。对方也回答“发成店铺装修工具了”，然后重新又给了份。虽然意识到可能已经中木马，但想到淘宝、支付宝是双重验证机制，并且有证书支持，应该不会这么容易出问题。所以，又没深究。
最后我们确定了一笔￥39,000的订单，下单时间是0点10分。付款时间大概是0点30分，印象中顺利付款成功，因为这个过程用好几年淘宝从来没在意过。为预防钓鱼网站，我每一步都仔细验证了是否真正的淘宝链接，确认都没问题；为预防键盘记录，我在输入密码采用了交叉和混淆的安全措施，应该也比较保险。过了约20分钟，骗子告诉我说还有20件，一起给我算了。我想想也合适，于是在0点58分下了第二个￥7,800的订单，随后马上进行了付款操作。但奇怪的是，网银支付成功后最后返回淘宝确认的页面居然出现错误！如下图

我第一反应从没见过这种提示，第二反应可能淘宝出问题，于是毫不犹豫点击了“请您重新支付”，返回“已买到的宝贝”看到状态也确实“等待买家付款”，于是我马上又重新支付了一次（这个循环目地在于把钱骗干净）。这回我特地留意了每个步骤，原来网银确实提示支付成功，但只是返回淘宝后出现“错误”，而返回“已买到的宝贝”列表看到也确实还都是“等待买家付款”状态。我开始感觉有点不对，但又找不到具体原因。骗子一直说“是有网络问题，我以前也碰到过。”并劝我早点休息，不断打乱我思路，很没头绪。
而后我在招行网银活期交易记录里，看到三笔订单都已经支付，于是我怀疑可能是网银或者淘宝出问题，这不是没有可能。最终问题的关键点，我发现在订单号上。之前支付宝交易订单号都是10位，而新操作的三笔订单都是6位，说明很有可能这几笔订单根本没支付给支付宝。如下图（第四笔订单为后来测试）

想到这里不仅倒抽一口冷气，基本确认被诈骗，三笔订单总计达到￥54,600！。联想骗子不断“拖延时间”的托词，可能是在等待提现或支付。于是马上打95555客服咨询资金去向，当时已差不多凌晨1点30分，居然还有人工客服。结果确认了我的猜想，三笔订单根本没支付给淘宝，而是到了上海的“汇付天下有限公司”，并且提供了4008202819这个客服电话。接着打到上海，同样也还有人工客服，对方告知现在正在“结算”，无法查询这三笔订单到了哪里，需要等到今早6点才可以。并且对方男性客服提供了很多参考建议，包括提醒我到支付宝后台尝试给自己“充值”1毛钱，看能否顺利到帐。我测试了1块钱，支付宝余额果然没变化，也就是上边截图中的第四笔订单。
此时已过凌晨2点，算下到6点还有四小时，本打算“坐等”，但后来实在熬不住3点睡了。
5点50被闹钟吵醒，爬起来等刚过6点再给上海打电话。接电话还是那哥们，很顺利告知钱已打到“网之易信息技术有限公司”，三笔订单号分别是：185511506, 185517495, 185517748，也提供了客服电话020-83918160，说公司的游戏部门在广州。这会我才反应过来，这不就是广州网易吗？难怪眼熟呢。马上打客服电话，没有这种业务选项，我随便挑了个游戏进人工服务。客服先说他们查不了，我表示非常严重后，他好像在记录，又说只有“订单号”无法查询，需要“流水号”，然后需上报处理等等。
其间，我不断在网络上搜索资料，终于发现了“支付宝大盗”这类木马病毒。已有不少淘友有投诉，而且我看了有类似经历，只是金额太小，公安机关不予立案，但媒体已经在关注。如果说我们这样的互联网从业者都会上当受骗，难以想象普通老百姓会如何。
这条路走不通，我选择打广州110，此时快早上7点了。广州110的意思，需要在事发当地立案，他们才可以受邀协查。于是我直接打北京110，接线员大致了解了案情和金额，让我在家等。大概10分钟，民警给我打电话到了楼下来接我，我们一起去了和平街派出所。一位民警同志先了解了情况，然后做了个临时立案，因为金额较大，需要刑警过来处理。大概8点，我抽空给网易公司的朋友彭毅打了个电话，希望网易公司能先主动冻结资金。电话陆续反馈过来，第一确实有这回事，第二钱已经全消费了，第三买了1万多的游戏点卡和4万的手机充值卡（已充给100多位用户）。
刑警大概9点过来，重新做了遍笔录，这位同志对这种事儿了解还比较多，沟通很顺畅。基本都认同，高科技团伙作案，分工明细效率极高。最后他的意思，往后警方会找网易（消费出口）和其他公司调查，但结果很可能和目前通过朋友得到的消息没什么差别。
出派出所后与彭毅联系了下，正好网易支付技术团队在北京，打车去五道口清华科技园D座25层网易公司，我们和技术人员简单碰了下。然后我就先回家了，13号线上不仅坐过柳芳到了东直门，更悲剧还是被列车员叫醒的。迷迷糊糊那会儿，心情真是跌到了冰点，主要挫败感所致。
这个事情我倒没怎么着急，来回反复考虑，自己肯定有责任，但淘宝、支付宝、网易也都脱不了干系。首先淘宝店铺是实名认证的，骗子不使用旺旺而是用QQ沟通应该有原因。其次支付宝我认为应该是被“劫持”了会话，伪装很好，但好像也太容易了吧？第三网易游戏平台居然几小时内就支持能把几万块洗干净，而且还是在后半夜，显然不合理的。
其实也认识很多淘宝、支付宝、网易公司的朋友，而且我们公司还是淘宝合作伙伴。说来也巧，正好下午去参加Betacafe北京店开业酒会，可以碰到很多淘宝、支付宝、网易的家伙。截止上午11点，网易方面除处理了帐号，也已单方面报警，并且对交易操作及时做了限制。
骗子车轻驾熟，分寸把握的很好，很多细节都是对后来的铺垫。整个过程精心策划，充分利用了各平台的弱点。资金要倒好几手，正好我这边又是网银支付而不是余额支付，查询资金去向浪费了不少时间。现在其实资金能否顺利追回已经不重要，关键怎样规避这种问题再次发生，净化电子商务环境。希望更多淘友看到避免上当，也包括各家有干系的公司从中得到教训迅速改进。
好吧，还是说点轻松的事儿，本来咱们UCDChina的朋友约好今天早上十点在Betacafe北京店碰头。我在八点电话把Angela老师吵醒之后，正在与警官讨论时，收到条群发短信“周董开会，鸟哥又进公安局了，姐要被小猪安排去应酬……”
2月27日 上午11:27
网易广州客服来电，主要表示这个事情会全力配合警方，另告知三笔订单确实是充值到了“网易宝”某账户上，并已对账户做了相关处理（昨天已知）。在我表示他们也有责任的时候，客服说“我们也是无辜的，也不知道淘宝购物的钱怎么会充值到网易宝上边。”



http://blog.rexsong.com/?p=12451

本文可以随意转载。

sb无极限

这样的傻逼不骗你人家骗子好意思么？

点了exe，自己都觉得中木马了，还TMD去充值？

整一SB，纯的

神了，跟进看看什么手段

直接说您用的啥杀毒软件算了

3w多元的交易居然用qq来达成？连旺旺都不用，实在是过于托大了。。。。。

这是中了木马 盗了账号？

没有盗账号。
QQ也只是聊天沟通工具，用旺旺也一样。
正所谓被淹死的往往都是会游泳的。
由于本文作者是IT人士，接收了EXE文件后有怀疑这一环没有怀疑到底，只是查了下进程就以为没问题。

杀毒软件还真扛不住木马，特别是国产木马，我现在是专门开了一个anti-spyware来协查

太sb了 从来不点不接受任何陌生人发的文件啊 就算认识的也要防止是盗号的来骗钱的

其实最容易骗的就是这种稍微懂一点的，完全不懂也就不搞网购了。

原来去betacafe都是这样的2b

主要还是金额少于5000公安部压根不鸟你。。。。
在淘宝买东西基本就找老店买。。。新店太不靠谱的居多。。。
然后不接收卖家发给的文件，。。。大多杀毒软件靠不住
关注下后续

加QQ和点exe文件就错了，估计杀毒软件也没装。

学到了，这学费交的。。。

平时网络购物也就买点小东西，你让我买这么值钱的货，绝壁不干

干吗不换台电脑付款，以后备2电脑，另一电脑只付款

这种人完全是sb，纯的

去betacafe是什么来福士戴尔的地方，求科普

我也遇到一次，买件NIKE还给个细节图，解压缩用看图软件一看是EXE，一看就是木马。

早知道就投诉丫了~

正好我这边又是网银支付而不是余额支付，用qq聊天~

卖家不论是旺旺和QQ经常给我发文件包，我都是立马点开，今天看了这帖子颤抖了

不太明白，买什么东西需要发文件验证呢？

再仔细看。。其实觉得。。。这写帖子的人的逻辑很喜感

我觉得有些人把这些骗案想的太简单了～中午和同事研究了一下，确实觉得很恐怖～
1）加QQ这个确实不是什么致命的事情～我也有不少卖家的QQ～不见得都是有问题的～
2）发文件也不是必然的，有时候购买的东西多了，店家会先发个excel之类的发货清单～
3）关键在于执行exe的这一步～其实如果对方发一个压缩包，压缩包里头有一个图片图标的文件，而且文件名很长导致后缀名没有显示～我估计马上双击打开的人至少超过一半～包括我～
4）这个木马估计做了一件很简单的事情。改本机的host文件，所以不需要驻留～。改完的host文件让正确的域名指向了骗子的服务器，这就不是我们常说的山寨域名的钓鱼网站这么简单了，这就是完全正确域名的钓鱼网站，单靠肉眼估计根本不可能分别了～

陌生人发来的RAR，用看图软件一看是EXE，肯定就是木马这不是常识吗

一句话, 不运行非官方大型网站的exe文件

我有次头脑发热也差点中了
当时立即举报后马上在另外一个电脑更改密码
然后本机重装了，怕杀不干净……

同26楼，这根本不是木马好么，就是修改host文件，做dns劫持。你输入taobao.com会转到其他ip网站的页面。做得像的话的确很难区分，而且现在为了支付省事有直付通，不用经过网银页面直接支付。这招是挺阴险的。不过一般安装杀软修改host都会有提示。

付款一定要充到支付宝，用余额付款。再没把握就手机支付宝付

有程序修改HOSTS文件大部分防御软件都会报的，包括360。

如果这个exe是一个jpg图标，然后本机又隐藏了已知文件后缀名的选项～
当你看到这个文件的时候，你会双击这个文件期望打开这张“图片”，还是先打开看图软件，然后通过看图软件的打开菜单一步一步的打开这个“图片”？
99%的人第一个反应就是双击吧～

作者真是自以为聪明

打开压缩包就可以知道类型啊
而且，下的或者收的文件扫描一下再打开绝逼是好习惯

这种还是小心点最好~

不过受骗者不管如何还是被骗的人也不用过多去责骂了~现在骗钱的手法也越来越高明了，千小心万小心也未必不会踩到屎~

LS那些认为作者SB的，其实是没有遇到，真的防不胜防。大部分人估计都是直接双击的吧

其实最好的防御方法，就是日常只用普通帐户，WIN7的话把UAC打开

[本帖最后由 离神最近的人 于 2011-2-28 15:13 编辑]

我看到这东西类似图片，于是我点了

我看到这东西类似大便，于是我吃了

这sb应该人道毁灭啊，如果继续活在地球上，以后万一结婚生子了，这种2b基因会集训流传下去的，岂不是对人类最大的威胁么？

如果他真的觉得这个是图片，点了还好说，但丫自己都觉得不对劲，还点这个就……

比如卖家原先淘宝上面没实物图或者是实物照片模模糊糊（传说中的帕金森？）然后你提出质疑卖家会给出图片或者视频的压缩包文件什么的，你点开看就是了，不过以后我不敢那么大胆了，看了吓死了，幸亏社会上好人多，没人放个木马病毒给我点

还一个法子, 就是家里搞一台电脑专们助理网络支付等相关的东西, 平时不联网, 要支付才联网, 其实大家都有很多破电脑的, 搞一个专用的也不难, 当然没多余电脑也可以装一个虚拟机, 专门支付

图片的话，我一向都是右键浏览的。。。。
如果是EXE的话，会显示不出预览的那个选项吧

这明显太大意了
自己都怀疑木马了 还交易个鸡毛

所以不要隐藏文件后缀名

可以隨便改hosts,應該是裸奔的xp系統吧.

另外對於傳文件這個問題,能騙到的人實在太多了.

其實淘寶或者支付寶平台應該這樣做.自己搭建一個平台,需要傳的圖片或者文件資料,請商家傳給淘寶或者支付寶.再由客戶去瀏覽.
一來防毒,二來貨到了東西不一樣,還有對證存在交易平台,沒法抵賴.

这么大额度交易，怎么如此不谨慎？

我电脑从来都是打开后缀名显示

我就奇怪了，当感觉自己中了木马之后为什么不马上全硬盘扫描一遍，用至少2中杀毒软件彻底检查木马，最后用安全软件再彻底查一次~~~光看看进程就什么都不管了，简直是让人无奈啊~~~~要是我，只要看到出现什么失误什么的状态绝对不会2次付款的~~~

有点奇怪的是, 居然转这么多钱,银行没发短信出来吗, 我这要转转,支付成功,银行都发确认短信的, 这功能还是有必要开通的

还在用XP？Vista下你改个host试试。