惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Stack Overflow Blog
Stack Overflow Blog
Simon Willison's Weblog
Simon Willison's Weblog
B
Blog
V
Visual Studio Blog
G
Google Developers Blog
云风的 BLOG
云风的 BLOG
S
SegmentFault 最新的问题
博客园 - 司徒正美
博客园 - 【当耐特】
T
Tenable Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
宝玉的分享
宝玉的分享
N
Netflix TechBlog - Medium
S
Secure Thoughts
Hugging Face - Blog
Hugging Face - Blog
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
IT之家
IT之家
Google DeepMind News
Google DeepMind News
Last Week in AI
Last Week in AI
大猫的无限游戏
大猫的无限游戏
PCI Perspectives
PCI Perspectives
H
Hackread – Cybersecurity News, Data Breaches, AI and More
阮一峰的网络日志
阮一峰的网络日志
P
Privacy International News Feed
N
News and Events Feed by Topic
H
Hacker News: Front Page
MongoDB | Blog
MongoDB | Blog
Google DeepMind News
Google DeepMind News
F
Full Disclosure
Google Online Security Blog
Google Online Security Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
H
Heimdal Security Blog
Project Zero
Project Zero
C
CERT Recently Published Vulnerability Notes
MyScale Blog
MyScale Blog
AI
AI
月光博客
月光博客
C
Cyber Attacks, Cyber Crime and Cyber Security
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
WordPress大学
WordPress大学
L
Lohrmann on Cybersecurity
TaoSecurity Blog
TaoSecurity Blog
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
C
CXSECURITY Database RSS Feed - CXSecurity.com
Spread Privacy
Spread Privacy
Apple Machine Learning Research
Apple Machine Learning Research
GbyAI
GbyAI
SecWiki News
SecWiki News
C
Cisco Blogs
The Last Watchdog
The Last Watchdog

V2EX

我用 AI 写代码,但终端管理反而成了累赘——于是我做了 codux - V2EX [调研] 各位在公司都用什么 ide 和 agent 写代码? 老运维 share 一个运维平台 新电脑 brew install node 之后,一个小设置可以提升对供应链投毒的防御 - V2EX GLM-Coding 调用持续报错: z.ai 的 Lite 套餐几乎无法使用,官方 Pro/Max 是否稳定? - V2EX 上海漕河泾内推,本组有 2 个 hc,一个后端,一个前端,预算都是 20k 左右,不打卡,氛围好 如果 V2EX 上有一组不永久保存聊天记录(比如只保存 7 天或者 24 小时)的聊天室,那么会开启哪些有用或者有趣的可能? - V2EX gemini cli 貌似挂了,一直返回 403 - V2EX 第一次在自媒体上赚到钱 收集了最近在使用的低价 GPT, Gemini,邮箱等 AI 会员的小店合集 讨论个大实话:现在企业还在说 AI 编程提效 20%, 30%的,真的太落后,没用懂 AI。因为包括很多前沿公司,已经狂奔到提效 200%-500%的情况 [招聘][远程][币安] 前端/后端/QA/iOS/Android 至少 3 年以上经验 目前有大量 HC 欢迎投递 Chatgpt Pro 用量用不完的可以开这些设置 面试的时候好像遇到钓鱼了,给各位避个坑 cursor 年续费 22 号到期, 自动续费是否还是老的计次套餐呢 - V2EX 被两件破事毁掉的一下午,琐碎的内耗消磨人的精力 使用 Planet 存储 Codex 的会话或者重要信息 - V2EX 如果业务部门领导不要你开发功能,而是要求你教会它用 claude code 开发功能,你会怎么做? 分享一个 MacOS 接绿联 CM818 USB 转 DP 转接器使用感受 - V2EX 我的 HR 朋友 10 年老 Java ,非全大专,大家帮忙看看简历 开源了一个 AI 口语练习工具,音素级发音评分,完全免费可自部署 V2EX 上有哪些你觉得很有趣、印象深刻的妹纸? 字节为啥不出个国内版 Vercel? 有在大马的朋友吗? 问个运营商问题 你们在有领导的公司大群发过的最大胆的消息是什么 公司裁员,目前没有工作。想试试摆摊,做一个移动鲜啤打酒车 我的硬盘 Memblaze Pblaze 5 Linux 下不识别,给 Linux 内核提交了补丁, AI 说有望被合并 - V2EX 只有我一个人觉得 codex 不好用? 做了个 AI + 真人专家监督的广告投放平台 Auxora, 7 个品牌跑出 6x ROAS 如何走出至亲的离世 Claude Web 端貌似 claude-opus-4-7 偷偷上了? 现在 Apple 开发者帳號應該是用哪个地区会更好? - V2EX 用回测筛选因子的一点经验分享 给女儿 vibe 了一个故事类的 app,做完发现,这类应用似乎上线难度极大? - V2EX 手机格式化 bitget 钱包没了,里面开通的银行卡还有机会拿到吗 - V2EX [送码] TransVoice - 我的第一款 App 上架啦!实时转写+翻译+字幕,会议听课好助手! PictureHub 高清摄影作品的画廊 Planet 的第一个使用 macOS 26 SDK 构建的 Insider 版本 20260416-1 - V2EX 成都二手房是不是在涨价,有点坐不住了 - V2EX claude 生态(skill mcp plugin)等 Studio Display XDR VESA 适配器脱落 有在用印度区 applestore 的大哥嘛,请教一下礼品卡去哪里买呢 - V2EX 我好像知道京东家政爆火的原因了 - V2EX 薅了公司的 a 家 api key,用机场 ip 做代理容易被封吗 如何在初期就识别 HR 在刷 KPI,没打算招你? [分享]精心打造一个 AI 编程知识库(算法/设计模式/提示词/Skills),助力程序员转型 港版 iPhone 在国内支持联通 5GA 吗?在广东用 想办港卡 AI 对 it 行业影响太大了 我做了个把照片变成 iOS 小组件贴纸的 App ChatGPT Pro 5x 套餐 量真的很足! I have found a method to directly generate advertising video materials using scripts 在小城市开个店,给人写软件,有前途吗 chrome 最新的 147 版直接卡爆炸了 - V2EX 为什么厂家不在 skill/mcp 这类的工具中塞广告呢?这样不是可以大赚嘛? minimax 真是脸都不要了,工作日下午 14:00 定时开启 529,脸都不要了。训练模型居然占用用户使用时间 外资非核心部门 vs 另一家外资的核心部门,该跳吗? iTad 标签 扩展 加小动作 ? - V2EX 去年 H200 能买,不让买是代替快出来了? - V2EX AI 赛事通 - 2026 年 4 月中国区新增 AI 竞赛和黑客松汇总 - V2EX V2EX › 登录 现在安卓开发都在做啥 - V2EX 浏览器插件 沉浸式翻译 是不支持自定义模型了吗? - V2EX Codex 里的 GPT5.4 也能降智?上午让它改两个问题,改了一个小时了, plus 额度用了一半了还是没改好,和前几天用的体感完全不一样。要它改的问题也不复杂。服了。 目前有使用 claude code 的收到人脸认证的吗 - V2EX 分享一个自己做的 Nginx 管理工具,实时请求动态预览!(无奈市面上实在找不到好用的,自己撸了个) - V2EX claude code 崩了么? 今天在反重力上用 claude 一点都不丝滑,有同样的感受吗? opencode 消息周知插件 今天 claude opus 和前两天比,质的飞跃 - V2EX 999 包月价? - V2EX 一个版本, 50 项更新:我们几乎重做了整个播放页 本地大模型多大显存够用? GOGDNS 一款简易的私人 DNS 服务器 - V2EX API key (GLM) 怎么使用 claude code desktop ? Claude 这样订阅有问题吗 - V2EX 帮我爸找回了一篇赛博兰亭集序 求推荐稳定、高性价比使用 Claude Opus 4.6 的渠道/平台 搞个云端 claude code 防止 封号 - V2EX 用 Claude 要实名了,内地用户怎么办? OpenAI Plus 和 Team 都缩水了吗 海外 Android 手机有什么好用的国内第三方应用市场推荐吗 - V2EX 把电脑伪装成电视,用 DLNA 投屏拿到视频号直播流地址 - V2EX claude 认证莫慌 北京互联网法院有什么攻略么?起诉北京智谱华章科技股份有限公司退款可行么? - V2EX Claude 开始引入身份验证 求 vscode 做笔记软件的插件推荐 - V2EX 讯飞星辰的 Coding Plan 如何? Anthropic 宣布在 Claude 平台推行身份验证机制 科普一下低价 gpt 是怎么来的 有没有长期关注 Claude 的朋友,我建了一个 Channel 自动抓取 Claude Team 的推文 啃了那篇 54 页的 Agent Harness 综述, 给大伙讲个省流版 现在那家的 coding plan 还能买到 是不是最近会有什么更聪明的大模型要发布了呀? 用多了 AI 后,有没有觉得 AI 生成的文章有很强的既视感? 如何 实践 Harness 工程? 今日份 GPT 5.4 笑话 如何建一个自己的号池,让 cursor 真正实现 token 自由 写了三个月 Agent Harness,我终于敢让 Claude Code 全自动写代码了
[深度揭露] 你爸妈的银行卡可能正在被"偷钱"——保险灰产的精密收割术
skyflower · 2026-01-13 · via V2EX

近期,家里人发现银行卡连续深夜出现不明的京东支付保险扣款,持续时间长达数月,账单中的关键词有:

"网银在线"、"网联"、"协议扣款"、"保通"、"泰康"、"4001000150"

如果你也在银行账单中,发现每月有几十到几百元不等的陌生京东支付保险扣款,那你很可能已经中招了。


前言

一开始,我简单以为只是我的家人在某次购买保险时,忘记取消续保,但当我打开京东金融查询保单和账单,准备退保时,App 展示的却是一片空白。

难道被盗号了?不该吧,经过一番仔细研究后,我发现这居然是一套针对特定人群的精准保险营销套路……

京东金融保单

在你继续阅读之前,我先帮你快速梳理下这套“骗局”的核心点:

8 个关键的忽悠技术点

① 低价诱导:暗改保单,高额续费

首月 第二个月起
¥0.60 或 ¥0.99 ¥28 ~ ¥100+

套路:对特定人群(中老年、青年等),拨打骚扰电话、群发定向垃圾短信、广告弹窗等,使用超大高亮文字,提示用不到 1 元的价格诱导你"尝试"购买各种一年期大额医疗险。

当你点击确定后,会在很不起眼的地方,标注从第二个月起开始收取高额保费,并在你毫无感知的情况下持续扣费。新费用并不会显示在保单中,只会单独放在一个叫批单的地方。

② 京东支付成"帮凶":表面快捷支付,实则静默签约代扣

看到这,你可能想的是,大不了我去京东金融的 App 把卡解绑或者查询下扣款账单,那么恭喜你,你踩到了第二个坑:

  • 京东金融 APP 完全查不到这笔签约(因为交易是在第三方网站,只是支付走的京东支付通道,和京东金融无关)
  • 无法在京东金融里解绑或查询账单(原因同上)
  • ✅ 只有去银行 APP 才能看到"网银在线"的扣款、签约记录(查询非常不便,因为不是每家银行都能关键词搜索)

这是整个“骗局”最坑的地方——当你在保险的页面上用京东支付付那 0.6 元金额的时候,银行会给你发一条短信,显示**"快捷支付签约"。你以为只是付个款,实际上你已经授权对方可以从这张卡持续扣钱**了。

而这个提醒无论是页面上还是银行短信里,都非常不明显。你根本看不出来后续会扣多少钱、扣多久。

不像支付宝、微信,人家要是搞订阅扣费,会明确弹出一个免密支付/自动扣款签约协议,写清楚每月扣多少、扣多久、怎么取消。

京东支付的快捷支付签约,你什么都看不出来,甚至根本不需要使用者拥有京东或者京东金融的账户,也能绑定、支付成功。

这就是这类保险付款时,为什么选择京东支付的原因——隐蔽性极强,一旦绑定,普通消费者根本不知道去哪里解绑。

③ 网页自动播放音频:绕过保监会的录音监管

部分保险销售页面居然还能发声!!这类自动播放声音的网页,并不会直接群发到用户手机中(可能怕吵?),而是需要搭配保险的电销场景:当特定人群接到保险电销电话时,这类电话会诱导你打开免提,同时下发有自动播放音频网址的短信到你手机中。因为这不是电话,所以不受电话销售必须录音的监管约束

这些语音文件一共 48 个(我放在了文末),极具蛊惑性,强指引用户点击“同意”、“立即下单”,而完全忽视健康告知、费用变化等问题。

这类保险页面会在你点击任何地方时自动播放语音,模拟电话销售。

window.onclick = playAudio;  // 点击任何地方都会触发音频
window.ontouchstart = playAudio;  // 触摸也一样

④ 扣款账单商户名写电话号码:故意引导你打电话而非投诉

为了避免有“刺头”去找媒体或者银保监会,这类扣款账单里的商户名不是保险代理公司的名称,而是这类公司的联系电话。

如果有人查到觉得账单不对,就可以"顺手"打这个电话,他们会秒退款——因为一旦退款,大多数人就不会再向监管部门举报了。

⑤ 涉及的保险公司(被代理推广的保险产品)

序号 保险公司 涉及产品数量
1 泰康在线 被推广得最多
2 国任保险
3 众安保险
4 平安财产保险
5 融盛保险
6 中路保险

⑥ 金事通 APP 查不到保单

金融事务通(金事通)是银保监会推出的官方保单查询平台。

但通过这些渠道购买的保单,在金事通 APP 里完全查不到

PS:我对这个保险行业并不了解,我猜是不是和在航旅上查不到春秋一样,不是每家保险公司都加入这个系统?懂的朋友可以说说看。

⑦ 查保单时故意设置障碍

即使消费者想去保险公司的官方 APP 或公众号,查询保单时也会遇到各种问题,包括但不限于:

  • 1.保单的 PDF 文件无法在小程序正常显示
  • 2.保单的批单藏在另一个地方
  • 3.从保司官方渠道申请发送保单到邮箱,收到的不是保单附件,而是一个短有效期的链接

更有过分的保险代理机构,从他们的小程序或者公众号,压根无法正常登录,完全无法查看保单。

以上种种,很难说没有故意为难人的成分,或许正符合他们就是要让你知难而退,不想让你查看保单扣费详情的的预期。

⑧ 比支付宝还顺畅的绑卡体验:银行卡自动检测 + 倒计时绑卡

这是我准备发帖梳理时,新发现的一个极其恶劣的套路:

当你进入他们支付绑卡页面时,保险代理公司的系统会自动通过你的身份信息检测你名下有哪些银行卡,然后把对应银行的选项,直接展示在页面最顶部,甚至配合倒计时自动跳转到银行完成绑卡流程

这意味着:

  1. 他们直接根据你的身份证,查询你有哪些银行的卡(这个甚至可以查询任何人)
  2. 老年人根本来不及看清楚提示就被"自动"带入了绑卡流程
  3. 整个过程像是好心"帮"你选好了银行卡,你只需要输入验证码,其它所有的事都不需要关心

不只是少数人中招

在我写这篇帖子之前,在小红书、微博,甚至V2EX上搜了搜,发现很多人都遇到过类似问题

  • 1818 黄金眼近期报道过,见微博热搜话题 #收到扣费 600 多元短信发现买过保险#
  • 有人发现银行卡每月被扣几十块"保通"的钱,扣了好几个月才发现
  • 有人说打电话退款很容易,但根本不知道当初怎么被签约的
  • 有人抱怨京东金融里查不到任何记录,投诉无门
  • 有人说帮父母检查账单才发现,老人根本不知道被扣钱了

所以,我感觉这绝对不是个例。而是一套大规模、系统化的灰产运营。


背后的保险代理公司

我顺藤摸瓜,发现这些推广页面主要和以下三家保险代理公司有关(还有一些,但是推广数量比较少,就放在文末了):

i 云保 / 上海豹云网络信息服务有限公司

项目 信息
成立时间 2015 年 8 月
法定代表人 李哲
定位 互联网保险产品推广平台,号称"科技赋能保险从业者"
融资情况 已完成 C 轮融资,投资方包括加拿大永明金融集团
备注 官网明确将"保通保险代理有限公司"列为友情链接

保通保险代理有限公司

项目 信息
成立时间 2013 年 8 月
法定代表人 李哲(和 i 云保是同一个人)
注册资本 5000 万元
注册地址 广州市南沙区金隆路 26 号 712 房
经营范围 保险代理业务、第二类增值电信业务
分支机构 号称全国 40 余家
风险提示 企业信息平台显示存在司法案件、裁判文书等风险信息

广东人人保险代理有限公司

项目 信息
成立时间 2005 年(前身:广东万诚保险代理有限公司)
注册资本 2000 万元
注册地址 广东省佛山市南海区大沥镇金贸大道 6 号中盈广场 4 层
客服热线 400-030-0305
更名记录 2023 年 12 月从"广东万诚保险销售有限公司"更名
备注 推广页面域名 channel.rrbxw.cn 正是指向该公司

这些推广链接到底有多少人点?

我通过奇安信的威胁情报系统,查询了其中 2 个短链接域名近 3 个月的访问趋势数据,可以明显看出不同域名之间,访问量基本稳定,平均一个短链接每天访问 2000-4000 人左右(避免访问量过大被封),而这类短链接有很多。

这些短链接有个特点,那就是存活周期短——一旦用户访问购保成功或者一段时间后,链接则失效不再支持访问。

//短链接中的原始内容如下,主要作跳转使用,跳转地址受服务端控制,一段时间后再次访问将不返回营销页面地址
<script type="text/javascript">
function doRedirect() {
  window.location = 'https://channel.zhelibao.com/mktprod/rp/ZYBX/TK36/Promotion1?channel=*****&infoNo=******';
}
setTimeout(doRedirect, 100);
</script>

短链接域名访问趋势:

ay4.cn 访问趋势

g5d.cn 访问趋势

哪些保险代理公司参与了?

一开始,我以为可能只是一两家保险代理公司的擦边行为,但是通过对其中一个保险购买页面的源码分析,我发现里面包含了一堆保险代理公司的域名,并且他们都使用了和前面一样的套路、源码。

以下是我整理出来使用相同套路的公司域名:

域名 备注
channel.zhelibao.com [主要] 保通保险代理有限公司( i 云保)
channel.rrbxw.cn [主要] 广东人人保险代理有限公司(广东万诚保险销售有限公司)
m.tkcn.cc 泰康在线财产保险股份有限公司
loveuserlovebaoxian.anbxyx.cn 爱邦保险经纪有限公司
oiisf.zabxib.com 众安在线保险经纪有限公司
js-bprod.tiancaibaoxian.com 天彩保险经纪有限公司
insurenowforpeace.yinheshikong.com 北京银河时空保险经纪有限责任公司
ins.yuanibc.com 北京远安保险经纪有限司
yryb-f1.hexiangibc.com 合翔保险经纪有限公司
bx.page.l46.cn 中转域名(已失效,不知道是谁)

感谢各位阅读到此,以下部分,则是完整“被忽悠”的记录


一、这套“骗局”是怎么运作的?

1.1 一条"催付款"短信的陷阱

某天,我家人收到了一条短信:

[暖易保] 急!急!急!尊敬的尾号 XXXX 客户 [打码姓名] ,您投保的泰超能百万医疗,被保人余宽,尚未支付成功,为保证您的保险利益,请您 1 小时内尽快完成支付:ay4.cn/****。感谢您的支持和信任!链接有效截止日:X 月 X 日 23:59:59 。拒收请回复 R

问题是:他从未投保过这个保险!,但是短信却精准的显示出了他的名字(虽然在个人信息满天飞的今天,这好像也没什么奇怪的)。

1.2 点进短链接(有效期很短)

A 、短链会根据后台配置,动态跳入不同的展示页面,这些页面已经贴心帮你预填好了姓名、身份证、手机号。此时网页播放背景音,蛊惑立即投保。

有趣的是,在这个页面,所有的协议默认全部打勾同意,不需要你去阅读(这个后面我会详细说他们是怎么规避监管,避免这个默认勾选同意被监管部门发现的): https://i.imgur.com/xehKOok.png

B 、点击立即投保按钮后,弹窗一个又大又明显的“加强保障”提醒,中间灰色小字写次月变更保费 83 元,最底部很弱的提示次月扣费事宜。此时,网页背景音换成强调若不投保,医保不能全部报销——这完全是废话,医保本身就不能全部报销呀!

ay4.cn 访问趋势

C 、点击同意并继续后,页面来到付款流程,这个页面看起来付款金额只有 0.99 ,但实际上已经开始签约代扣协议。网站甚至还“贴心”的帮你查询你有哪些银行的卡,然后把这些银行置顶。

付款页面 1

有些渠道的支付页面,甚至还带有自动跳转银行倒计时,方便你更快来到最后一步:

付款页面 2

D 、等你跳转到银行页面,会收到银行发来的快捷支付签约短信(短信里的网银在线就是京东支付),一旦你在页面上输入这个验证码后,你的银行卡就会持续签约扣费,你甚至都无法从这一步看出扣费的金额和周期。

短信

E 、接下来,在扣取了 0.99 的首月费用后,你就会在下个月的某个凌晨,直接被划扣 83 元,之后每月持续扣费一年。

短信

1.3 如何控制默认勾选

我在逆向分析了这些页面的 JS 代码后,发现页面里面有这段逻辑:

// https://static-cdn.iyb.tm/mktprod/mktprod/rp/static/js/chunk-f1590c4c.4909570c.js
this.orderInfo.checked = this.orderInfo.channel >= 1e3

简单说就是网页会读取 URL 地址中 bizParams 参数中的值(值经过 Base64 处理),根据里面的 channel 渠道号不同,页面展示不同的勾选效果,具体如下:

  • 渠道号 < 1000 (可能是监管检查)→ 不勾选,让用户手动勾选(合规)
  • 渠道号 >= 1000 (营销短信渠道)→ 自动勾选(违规)

而我收到的短信里,channel 的值远大于 1000 ,所以打开页面后,自动勾选了协议。如果不带任何参数直接访问,也是不会默认勾选同意协议的。

自动勾选示例链接: https://oiisf.zabxib.com/marketfront/insurancecdn/ZYBX/YBGR03/Index6?bizParams=eyJjaGFubmVsIjoiNTc2MzY5IiwiY2xkIjoiNDQwMDEzNzMiLCJyZWxhdGlvbiI6MSwic291cmNlIjoiSVlCUEFaWDAzSW5kZXgxMyIsInNvdXJjZVBhZ2UiOiLkv53pgJrlubPlronkuqTpgJrph43nlr7ogZrlkIhWMjUwNDAyIiwibVRlbCI6IkgxXzdFQUY0MjQ1REU5NEMwMThGMEI2RjIwRTlBM0U4N0RGIiwib3BlbklkIjoiIiwiYml6X25vIjoiaXliX2hzX2J3YmUiLCJtYyI6IiIsImFjdGlvbiI6ImZvbGxvdyIsIm5hbWUxIjoi5p2c5aOuIiwiaWRDYXJkMSI6IjM3MDEyNDE5ODQwNjE0MDAzNSIsInBob25lTm8iOiIiLCJzdGFyUGhvbmUiOiIxMzIqKioqODg5OSJ9DQo

这是精心设计的规避"监管"的措施,很明显这些保险代理机构知道默认勾选做是违规的,所以才会按照不同的渠道号,显示不同的勾选效果。


二、京东支付的"黑洞"问题

2.1 为什么偏偏选京东支付?

首先明确一点,京东支付是一个支付通道,它不等同于京东金融 App ,就像于你不能把支付宝和淘宝等同起来一样。

我对支付宝、微信、京东支付三者在签约自动扣费时的流程,做了一个对比,结果如下:

支付方式 签约提示 APP 可查 解绑难度
支付宝 跳转 APP 确认 ✅ 可查 一键解绑
微信支付 跳转 APP 确认 ✅ 可查 一键解绑
京东支付 商户页面内完成 ❌ 查不到 需联系银行或者商家

京东支付(网银在线)的快捷签约流程存在严重信息展示不足:

  • 1 、商户可以自定义展示页面,弱化甚至不提示签约信息,然后直接调用京东支付的接口签约快捷支付,而用户以为只是一次性付款,京东支付无任何主动风险提示。
  • 2 、消费者可以在没有京东账户的情况下,绑卡签约京东支付完成支付。
  • 3 、消费者的银行卡绑定签约后,签约记录不会出现在京东金融 APP ,甚至京东支付本身也没提供任何渠道可供消费者查询绑卡情况。
  • 4 、商户走京东支付通道,从绑定的银行卡扣款后,京东支付不会主动提醒扣款,京东支付也没有任何渠道可供消费者查询扣款账单记录。
  • 5 、联系京东金融、京东支付客服时,客服已经轻车熟路,会帮你联系这些保险代理机构安排退款。

综上,京东支付提供了支付通道,从中赚取了佣金( 0.6%),但是却缺乏足够的提示,违背了人民银行 248 号文件的相关规定: https://camlmac.pbc.gov.cn/tiaofasi/144941/3581332/4115130/index.html

2.2 唯一的提醒方——银行短信

 [招商银行] 您尾号为 XXXX 的一卡通已开通网银在线快捷支付功能。
后续通过该功能进行的 App 支付、自动扣款、欠款等交易均无需验证银行卡密码

看到了吗?**"自动扣款无需验证密码"**。

这就是为什么他们能在每月的凌晨偷偷扣款,但是这类短信提醒过于薄弱,当然银行作为资金流出方,他也无法知道扣费周期和金额,只能在每次扣款时发起提醒——这也是整个链路中,唯一有效的提醒。


三、音频诱导的技术分析

3.1 页面里藏了 48 个音频文件

这些音频的内容过于激动人心,主要是指挥不会操作的人点击操作(避免电话录音),感兴趣的小伙伴去文末自取吧,就不在这里描述了

文件名 用途
toubao_1~3.wav 投保引导
bangka_1~3.wav 绑卡引导
xiadan_1~3.wav 下单催促
wanliu_1~3.wav 挽留用户
jiabao_*.wav 加购保险
jubao_*.wav 失败提示
xiadan_*.wav 诱导同意
zhiyin.wav 诱导下单
shouquan.wav 引导开麦

3.2 全局点击劫持

// https://static-cdn.iyb.tm/mktprod/mktprod/rp/static/js/chunk-2b9b6560.e5a4ebac.js
makeAudioWork: function() {
    var playAudio = function() {
        document.querySelector("#id_audio_2310081000").play();
    };
    window.onclick = playAudio;      // 点击任何地方
    window.ontouchstart = playAudio; // 触摸任何地方
}

只要你在页面上做任何操作,音频就会自动播放。

这绕过了浏览器的自动播放限制,也绕过了保监会对电话销售必须录音的监管。


四、退款意外容易

当我家人发现被扣款后:

  • 拨打 4001000150 → 很快接通,立即同意全额退款
  • 泰康保险客服 → 自动语音就有"退保退款"入口
  • 京东金融客服 → 联系客户,很快明白意图帮忙登记
  • 微信小程序 → 联系客服,报手机号就能退款

买过保险的人都知道,在过了犹豫期后,正常退保都是要扣费的,但是这居然比正常退保还简单 100 倍!

你品,你细品。他们为什么这么痛快地给你退钱?因为他们太清楚自己在干嘛了。如果你真去监管部门投诉,他们会很麻烦。所以只要你一发现、一打电话,他们立马就退给你,态度好得不行,就是希望你拿了钱别再闹了。

反正大多数人根本不会发现银行卡被扣钱,发现的人只是少数,给退就是了。只要京东支付这条"隐蔽通道"不被关,他们就能继续收割其他人。


五、自查

马上春节了,如果你或者你家里人还没中招,回去后可以告诉他们

不要点击任何短信里的链接 ✅ 看到"首月 0.X 元"的保险广告直接关闭 ✅ 定期帮家里人检查银行账单

如果已经被扣款

  1. 银行 APP → 签约机构管理 → 解除"网银在线"
  2. 拨打商户电话(如 4001000150 )→ 要求全额退款 → 全程录音
  3. 截图保存证据:短信、扣款记录、签约记录
  4. 举报:12378 (银保监)、12321 (通信管理)、12315 (市场监管)

帮你父母检查

很多受害者是中老年人。有空就帮他们看看银行账单吧。


六、写在最后

其实这套营销系统在技术上极其"成熟",看得出运营很多年了:

  • 个人信息精准投递(存在大规模数据泄露)
  • A/B 测试优化话术(像正规互联网公司一样)
  • 渠道号控制自动勾选(监管检查时合规,营销时违规)
  • 京东支付隐蔽签约(记录查不到、解绑难)
  • 商户名写电话号码(引导打电话而非投诉)
  • 音频洗脑(绕过电话录音监管)
  • 银行卡自动检测(无需输入卡号,系统直接获取)
  • 倒计时强制跳转(不给用户反应时间)
  • 秒退款机制(快速灭火,避免举报)
  • 短链接失效快(避免被人发现)

这已经不是一句简单的垃圾短信,或者可以甩锅消费者自己不注意点错导致的问题,这明显是一套精心设计过的"收割中老年人"的保险销售系统。

希望这篇文章能帮助大家识别套路,也希望:

  • 京东支付能完善签约快捷支付的透明度,让用户可在 APP 中查看和管理,强制明确签约扣款时的提醒(最好能跳回京东支付的页面签约)
  • 保监会能规范这类保险代理公司,诱导投保的行为
  • 公安机关能追查个人信息泄露源头

如果你或你的家人也遇到过类似情况,欢迎在评论区分享。

转发这篇文章,可能会帮助到更多人。

本文所有分析皆基于技术层面,涉及的代码和截图已做脱敏处理。