不了解事情原委的同学务必看一下原文和网友的评论，从中能让我们学到一些教训。

大致理了一下诈骗套路：

1. 骗子新建一个淘宝店，发布些特价商品，刷一些信誉；

（这一步很简单，识别出新店和刷信誉并不难，难得是人们能禁得住低价的诱惑，在“新店容易用低价拉客户”“贪便宜”的心态作怪下，人们都往往不愿意相信自己面对的骗子。)

2.  卖家故意阿里旺旺不在线，留QQ号做交易联系；

   （骗子钻了一个漏洞，淘宝网只对阿里旺旺里面的聊天记录负责，对QQ的聊天记录无法查证，也无法作为证据）

3.  以发商品图片为名，在商谈过程中，把木马压缩成rar格式传递过来，借口解释为错发成网店装修工具；

    （此处是上当受骗的最关键一步，看到rar格式的陌生人文件，打开之前务必用杀软扫描，exe格式的文件后缀更是不应该双击打开。）在这个案例里面我学到一些新的东西，就是作者意识可能是木马以后，第一反应是查看任务管理器，没有发现异常的木马进程和后台服务。有网友指出，现在哪里都没有的隐形木马很常见，有的是利用dll hook加载在别的exe上调用，有的甚至dll都没有，用ntfs流，用以前的老方法根本查不到木马进程。所以，最根本的防范方法还是提高自己的安全意识。

4.  木马劫持淘宝后台跳转至网银这一步骤，在网银支付给支付宝时把支付宝的账户替换成第三方账户上海的“汇付天下有限公司”；

这一步是骗子的高明之处，待受骗人中木马以后，不需要知道你的任何账户密码，只是在付款过程中，用相同金额的订单，替换了支付宝的订单。木马改变了网银到支付宝付款的对象，重定向了的支付链接，当你用银行卡支付的时候，被指向另一个商家了。我们能做到的只能是在网银付款时刻意留意下收款对象。

5.  如果一次诈骗成功，骗子会尽快使出招数，以更大诱惑尽快促使你完成第二次，第三次的诈骗交易，尽可能多的诈骗钱财；

6.   转移赃款，洗钱。

• 迅速把汇付天下有限公司账户里骗来的钱转到广州网易公司的网易宝账户上；
• 迅速把网易宝里的钱全部消费完毕，买成点卡或者充值卡；
• 把充值卡充到100个分散的手机账户里，化整为零，使之无法追讨。

===============================

千鸟是网络上的著名设计师，UcdChina发起人之一，在IT圈内人脉关系也不错，案发后通过个人关系查案的速度比警方都快。单就这样的老鸟被骗，只能说原因有两个方面，一个是千鸟太大意了，自信有点过了头，再一个就是骗子的骗术太精巧了，一环扣一环，对这些网络工具的漏洞了如指掌。这种骗子不仅仅是技术高手，能够用木马劫持支付宝到网银的付款路径，而且精于算计和洗钱，能够第一时间诈骗成功并及时逃脱。

有网友评论：骗子的这类行为和技术关系不大，也和支付宝关系不大，而是更为麻烦的东西，黑客行业里把这类行为叫做——社会工程学。

很多人都在为千鸟这样老鸟受骗感到惋惜，但想想如果把千鸟换成没听过木马，不知道什么叫exe可执行文件，只会用IE浏览器普通网友，这种骗子的成功几率会有多大呢？我想成功率在90%以上的可能性也都不为过吧。

这场骗局涉及了淘宝，支付宝，QQ，汇付天下，网易宝，充值卡，100个手机号，一连串的不同公司，一定会给案件的侦破带来相当大的难度。这个案例涉案金额有5万多，已经相当大了，但愿我们的公安机关能够有所作为，帮助失主追回损失。

或许有人认为，招数也不新了，还是我们太大意了。

网上购物还是刚处于初级发展阶段，以前人们是不敢在网上买东西，网上购物作为一个新兴事物，在淘宝带领，拍拍，有啊拥簇的脚步下，也逐渐的为大众所接受，甚至成为了一种时尚。买东西就要花钱，可是网上支付是第一道难关，就卡主了不少人。作为一个非IT行业从业人员，可能有一些知识层次的原因，我这个所在行业电脑普及平均水平比较低，所以大多数人并不会网上购物，但这里面的问题，却不得不值得人去思考。

这几天帮好几位同事在网上进行支付，总结了一下他们不会支付的理由：

1.淘宝网 支付宝 ID不统一，很多人记不住自己的淘宝网帐户，支付宝账户，淘宝网登陆密码，支付宝登陆密码，还有支付密码。这几个东西太复杂把很多人都搞晕了，其实我觉得除了支付密码以外，淘宝网和支付宝的账户密码应该打通，统一起来，把这些东西精简到3个。

2.网上银行，可能还是对网银安全性的质疑心理存在，很多人的银行卡没有开网银，或者开了网银，也没有怎么存钱，要么是用多少存多少，要么是存一小部分钱，付款的时候余额不够，反正我还没有见到几个敢把工资卡开了网银的。

3.控件问题，无论是支付宝还是网上银行，无一例外的需要按照安全控件，这个东西真的是搞死人，太复杂了，要知道大多数公司的电脑和网吧里的电脑都不是管理员权限，控件根本装不上的。支付宝不装控件不能输入密码，网银更操蛋了，不装控件根本不能用。这一项就限定了，网上购物付款只能在指定安装过这些“安全控件”的电脑上去付款，不能保证你随时随地，任意一台电脑都可以操作付款。

我查了好几家银行，都是需要安全证书，usb-key，U盾，电子口令卡之类的玩意，招商银行的大众版网银只需要一个卡号，一个支付密码就可以付钱，但是需要装控件，好像只有浦发银行一家可以使用支付密码+手机动态口令的，不过还没有试过。（在我看来，对于很多对电脑并不是十分熟悉的人来讲，安装这些控件，证书，真的是一件非常难的事情。)

中国的统计数字从来都是很有趣的，往往统计中国有几亿几亿的网民，是多么多么的有市场，可是有没有统计过多少台电脑上装着支付宝控件，多少台电脑上装着各式各样的网银插件呢？如果这些安全控件有QQ，迅雷，360一样的装机量，我相信这个市场才是真的有那么几亿大了。

4.非IE兼容问题，几乎大多数的网银都是只支持IE，这个让非IE用户十分的不爽，选商品，拍宝贝……一路下来，支付不了，换回IE，重头再来，用户体验简直是糟糕透顶。为什么不用IE呢？因为IE本身就是一个用户体验非常糟糕的玩意。

这么糟糕的用户体验，其实网上也早就有人指出来过了《支持非IE浏览器真的那么难吗？》，但是我不知道这个改进的难度有多大，因为我读到了这篇文章《非IE版网银的真正障碍是CFCA》，里面提到：

这不是firefox的错误，firefox中国团队目前就是在努力，估计也是改变不了。对于工行、兴业等银行来说，其安全基础在于证书+口令卡或 者短信认证。虽然证书用户较少，但是却是核心用户群。而国内银行证书全部是CFCA的产品，CFCA（中国金融认证中心），就这一个名字就知道背景和来 头。

如果没有意外，CFCA目前还没有一个真正有效和完整方案来支持firefox，firefox要想在网银渠道打开一条通途，CFCA是绕不过去 了。

是的，IE用户是主流用户，但是IE的市场逐渐在衰落，现在都下滑到62%的市场了，我相信网银不会只盯着62%的市场，新闻上看到网银都支持手机了，抛开纯粹的商务用户，手机银行能有多大市场，比非IE市场还要大？更要值得一提的是，非IE用户对互联网的熟知程度，比大多数的IE用户平均水平要稍微偏高，这个应该是不容质疑的事实。这些用户不喜欢，我相信在网络上的口碑就很难培养起来，40%的口碑不好的影响力绝对要大于60%口碑好的影响力。

联想到前几天《马云痛骂支付宝 “烂到极点”》的新闻，今天又看到白鸦在twitter上推送的支付宝被网民评选为“最佳用户体验中文 网站或应用”的第三名！！，再对比下这些网银，支付宝做的真的要进步很多了。支付宝虽然有不足，但是界面很漂亮，很让人赏心悦目，比淘宝，还有各个网银都要强，设计上也比较注重细节，时尚，可能是支付宝的设计师们大多数苹果粉丝的缘故吧，对UI美工有异常的苛刻，支付宝支持非IE浏览器，网上拍下商品，可以找人代付，（不知道这个是淘宝还是支付宝的功劳了)……这些想法都很不错，总是在体现着不断关注着用户体验。

为了大多数用户的账户资金安全，我可以忍受第4点（网银不支持非IE浏览器），但是我不可以忍受那些复杂的安全流程。我心目中的网银，不需要安装任何的控件，任何的证书，也不需要在电脑上插什么U-盾；相反需要拥有Gmail一样的在线体验，支付时需要拥有类似于中国移动查询话费详单时的手机动态密码，这样给我的感觉就应该已经很安全了。或许这样才能扩大网银的使用范围，只有支付宝一家步子再大，中国网银支付发展也快不到哪里去，更何况支付宝的本身安全体系的设计和网银存在同样的问题。对比下国外Paypal简单易用，中国的网银使用门槛真的是太高了。

2010年，都时兴“云计算”、“框计算”了，中国网银的那片“云”在哪儿飘着的呀？

哇靠，一不留神写着么多了，回头看看乱七八糟的，不管了，洗洗睡了。

基本上写独立博客的朋友都知道嘛叫K站，看看这张图片，就知道月光同学说的是什么了。

还好，我试着百度了一下“支付宝”，还是能看到支付宝网站链接的。

淘宝曾经为了打压有啊，在百度C2C产品“百度有啊”即将上线的时候，阿里巴巴的淘宝网站曾经屏蔽百度搜索爬虫，禁止百度搜索引擎抓取淘宝网站的网页内容，淘宝官方的解释是“杜绝不良商家欺诈”。不过实际上，至今为止，我们在百度中搜索site:www.taobao.com，依旧可以看到淘宝网的内容。

咱不是搞搜索引擎的，不懂这是什么原因，估计是技术故障，就是喜欢围观结果，凑个热闹。

如果百度有啊和淘宝哪天真的干起仗来，百度一下狠心，把“淘宝网”和“支付宝”这2个关键词删掉，弹出来的页面显示“抱歉，没有找到与“淘宝网”或者“支付宝”相关的网页。”如果百度再恶毒一点，即使搜索这两个词，可以找到淘宝和支付宝的网页链接，但是把链接劫持到“百付宝”和“百度有啊”的网站页面。相信对于淘宝网来说，这估计绝对是釜底抽薪的致命打击，不过对于百度来说，可能会招来骂声一片，对品牌产生负面影响。

呵呵，最后这一段，象这种破罐子破摔的打架路数，纯属作者YY之想法，切莫当真。