大家有见过这种远程盗取银行帐号密码的情况么？

这个问题来源于一个网民向乌云的求助，邮件原始内容如下：

您好！

我之前帮一个朋友在淘宝上面买东西，我是开QQ远程控制他的电脑，用自己的网银付款的（就是哪种只要输入“银行卡，密码，短信口令”就可以付款的）但是我操作付款后，银行有扣款的短信通知，但是我朋友在淘宝已购买宝贝中查看买的东西是未付款状态的。而且当时我记得我特意看了银行付款页面的URL是正确的，下图是我之前操作的付款页面。

https://payment.cib.com.cn/payment/onlineb2c/validate!payConfirm

乌云平台的各位大哥，能否告诉我，这种问题以后如何能够预防！这种问题也类似于淘宝刷单远程付款一样，很多商家被骗了！

兴业银行网上支付

有俩重点：

1）QQ远程控制支付

2）受骗的是商家？

我个人猜测是他朋友电脑种马了，支付被篡改，各位还有其他可能分析或知情的么？

更新：

百度搜索，淘宝刷单远程付款，淘宝店长刷单

有很多人帮淘宝店长刷单，那么如果恶意用户在刷单用户电脑上预先安装木马的话。。。

[原文地址]

各种讨论：

zeuser (很高兴和大家交流~~) | 2014-05-22 18:00

你是付款给支付宝了。但不一定是为淘宝订单支付的。给支付宝打个电话问下钱付给哪个商户了。

可能是你朋友的电脑种了劫持木马了。

也没听你说是否全程看到了你朋友淘宝购物交易的过程。他只给你一个网银付款页面，就算商户显示支付宝付款，也未必是淘宝交易的付款。

寂寞的瘦子 (LISP异教徒) | 2014-05-22 18:12

他朋友设下的圈套？

梧桐雨 (‮ofni.uygnotuw‮) | 2014-05-22 19:22

@寂寞的瘦子网址是对的。。。但是会不会是hosts的指向。。我阴谋论了。。

无敌L.t.H (:‮端异是都乳贫持支Ѿ乳巨是须必神肉) | 2014-05-22 19:40

@梧桐雨除非他的根证书被改动，不然很难伪造一个EV SSL。

二狗子 (农村非主流) | 2014-05-22 20:06

超级授权？

zeuser (很高兴和大家交流~~) | 2014-05-22 21:42

跟授权无关系,授权界面不是这样的.这明明是付款界面嘛.

Siro | 2014-05-22 22:16

因为，QQ对面的根本不是他的朋友？

马丁 (我快要饿死了!!!!) | 2014-05-22 23:36

@Siro 好阴森

疯狗 (你在乌云这么叼，你家人知道么？) | 2014-05-22 23:38

@寂寞的瘦子 @zeuser @Siro 哎这个人描述就不清楚

10#

liyang (<script>alert("xss")</script>) | 2014-05-23 08:59

http://zone.wooyun.org/content/2529 参考这个我觉得应该是木马篡改了支付的请求只是实际上网页显示的没有变～～

11#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-05-23 10:07

很有可能，是你朋友电脑中木马了，或者是你朋友动的手脚。

没有完全流程的话，这个不好判断。

12#

疯狗 (你在乌云这么叼，你家人知道么？) | 2014-05-23 11:31

@liyang 我也觉得是截取了认证信息后给其他单子支付了，编一些理由骗用户在自己电脑上支付，暗装好木马是个新骗术。

http://www.baidu.com/s?wd=%E6%B7%98%E5%AE%9D%E5%88%B7%E5%8D%95%E8%BF%9C%E7%A8%8B%E4%BB%98%E6%AC%BE&rsv_spt=1&issp=1&rsv_bp=0&ie=utf-8&tn=baiduhome_pg&rsv_n=2&rsv_sug3=1&rsv_sug=0&rsv_sug1=1&rsv_sug4=37

我百度了下，似乎真的有这种远程支付的例子。。。

13#

zeuser (很高兴和大家交流~~) | 2014-05-24 01:57

@疯狗 @核攻击 @liyang @马丁 @Siro @二狗子 @无敌L.t.H @梧桐雨 @寂寞的瘦子这年头,哎,骗术啊........

14#

Cougar | 2014-05-24 02:28

隐藏支付马把？

15#

CplusHua | 2014-05-24 15:32

支付订单号没在签名里？导致篡改成功？

16#

HackPanda | 2014-05-25 14:23