我是这么试出来的
前天老王在群里发了个链接,说是看到循环支付更新了,号称安全性能拉满。他搞便利店收银的,天天折腾支付问题,我就随口问了句:“新版本吹这么牛,到底靠谱不?”老王支支吾吾,只甩了句“官方说挺安全的”。得,指望不上,干脆自己动手试试看。
一大早我就去下了最新版循环支付,装是挺快,界面花里胡哨的。我琢磨着,光看界面有个屁用,得戳它软肋。先找了个本地银行的测试支付接口,绑上我那个专门搞测试的卡,里面就存了五块八毛二,丢了也不心疼。
第一步:假装自己手滑
我故意在设置里把“记住银行卡信息”选项勾上,关掉那个烦人的支付密码确认弹窗——想看看这破系统到底会不会偷偷存敏感数据。结果退出重进的时候,好家伙,卡号直接显示在付款页面!连星号都懒得打全!我当场拍了张屏,这要是黑客撞库成功,分分钟卡被刷爆。
第二步:学老头老太搞不明白操作
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
我又搬出家里那台十年高龄的电脑,装上老掉牙的浏览器插件。用循环支付付了一块钱测试订单,页面突然卡死了,刷新一看——显示支付失败,但银行卡记录居然被扣了三次钱!赶紧翻后台日志,发现是数据验证出错,钱扣了却说自己没干活。我手动扒拉了半天才找回扣款记录,普通用户早懵圈了。
- 发现问题一:卡号裸奔太离谱
- 发现问题二:老旧设备直接崩盘
- 发现问题三:失败交易吞钱不吐
本来想接着测试网络断线会不会出幺蛾子,结果老王突然微信炸了语音过来,嗓子都劈叉了:“完了完了!我刚装的新版本被刷了!”赶紧跑去他店里看,收银后台弹出一串外地交易,全是买高价显卡的订单,加起来十几万。老王抖着手给我看记录:那些交易根本没经过指纹验证,循环支付后台显示所有操作都来自老王自己的登录设备!后来查明白,犯罪团伙用假基站截了短信验证码,加上他之前图方便没关的免密支付功能,钱就跟泼水似的流走了。
我是怎么知道的?
上礼拜帮老王跑派出所立案,警察指着电脑屏幕直摇头:“又是你们这些爱用免密功能的”。翻笔录时候看到,这俩月附近商圈被同样手法搞过的店,光我们区就报了七家,用的全是同一个版本。老王蹲在派出所门口抽了半包烟,嘟囔着:“官方客服非说是我手机中毒...” 我扭头就把他收银台装的循环支付卸了,装回他嫌土的老系统。昨天去他店里买烟,老头指着收银机上贴的纸条直乐:“看!老子手动记账!”
