这事儿说来话长。上礼拜三半夜刷手机,突然看见个帖子说寡妇客栈官网能订到白菜价客房,比平台便宜一半多。我老婆正好想去那附近泡温泉,顺手就点进了官网。
一、查官网差点栽坑里
刚打开页面就感觉不对劲。那个订房按钮死活点不动,鼠标放上去连个反应都没有。我叼着牙刷使劲戳屏幕,突然弹出来个抽奖转盘,哗响得跟老虎机似的。当时心里就咯噔一下——这路子咋跟以前中病毒的钓鱼网站那么像?
扭头开电脑搜真实评价,结果铺天盖地全是夸的。翻到第五页才撞见个说真话的帖子:"订完房信用卡被盗刷三次,老板娘还坚称是银行系统故障"。底下还有人骂楼主造谣,说客栈院子里养的走地鸡都是吃有机玉米的,怎么可能坑人。
二、上手扒代码现原形
第二天干脆开了虚拟机,用开发者工具扒他们后台。加载到第三秒钟的时候,控制台突然开始疯狂报错。有个命名为"*"的文件里,明晃晃躺着几行调用第三方追踪库的代码。更绝的是登录页的表单提交地址,http后面连个s都没有!
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
顺手把网页证书拽出来看,发现发证机构居然是个听都没听过的野鸡公司。那个锁定图标点开后写着:"此连接仅验证网站域名归属,不验证经营者身份"。合着挂羊头卖狗肉连装都懒得装。
三、装傻充愣试客服
当天下午假惺惺打电话问订房。接电话的东北大姐热情得很:"咱家都是官方直营,您钱直接打进老板私人账户就行!" 我故意说用信用卡支付,那边瞬间卡壳,支支吾吾改口要微信转账,连POS机都没准备。
夜里不死心又试官网留言功能。在客服对话框打字问:"请问客栈消防验收合格吗?" 消息刚发出去就被系统秒删。换成"房价能再便宜点吗"倒是回复得贼快,这筛选机制简直精准得可怕。
四、实锤安全黑洞
掏出抓包工具测支付流程。点完"立即支付"跳出来的界面里,银行卡号居然用明文传输!密码框更离谱,直接调的系统默认键盘。随便填了个测试卡号提交,你猜怎么着?页面直接显示"付款成功",连银行验证环节都省了。
最骚的操作在订单确认环节。把浏览器地址栏的orderID参数从10086改成10085,居然能看见别人家的订房信息和身份证号。合着订单编号全是连续数字,连基础加密都没做。
个人体验总结
- 证书是糊弄人的摆设,安全连接形同虚设
- 支付系统用明文裸奔,比二十年前小旅馆登记簿还不靠谱
- 所谓官网根本是钓鱼网站配置器,换张图片就能当新店用
- 客服话术比缅北诈骗集团还熟练
后来托当地人打听才知道,真客栈早倒闭两年了,现在网上全是山寨的。上个月还有个大学生在类似网站订房被骗光学费,老板娘收钱就拉黑,逮住人就说自己是临时工。反正我是连夜删了收藏夹,顺便把搜到过的相关网页记录全清了。这种火坑谁爱跳谁跳,我宁愿多花两百住连锁酒店,好歹半夜不会被盗刷信用卡。
