WooYun.org

我先贴一下淘宝的购物流程（摘自淘宝服务中心）。

图1 淘宝购物流程
那么在确认收货的时候，会校验数字证书和支付密码。如图2所示。

图2 提示安装数字证书
这是正常流程，那么如果我购物不顺利怎么办？淘宝也为我们想好了，有一个退款流程。

在该流程中，需要买家发起退货申请，并且卖家同意。然后买家将货品发回，卖家再确认收货并退款。这个流程看似没有问题，但却隐藏了一个极大的漏洞——发起退款申请时，无需校验支付宝数字证书和支付密码，即可以绕过支付宝数字证书和支付密码。由于淘宝在退款时，退款金额可以协商，即用户自己输入，假如我买了2500元的东西，申请退款100元，那么卖家可以直接将2400收入口袋。
目前已经有人在使用该漏洞闷声发大财，手法如下。
首先，通过在淘宝上架便宜的商品（可以是二手），比如iphone5只卖2500元。再在某些渠道将这些链接推送出去，比如论坛发链接留QQ。在商品拍下并付款后，假借补个运费或送个赠品之名，发送伪装成淘宝的钓鱼链接，目的是为了套取淘宝账号和密码。骗子操作发货，并登录这些买家的账号，通过退货流程，迅速将买家的钱搞到手。2500元，退个百十块给买家，一笔就能赚好几千。