背景 我是某些 Android 应用的开发者。因为下载量大几百万了没有在这里打广告的必要。 由于有少数用户会在平板、手表等没有支付宝微信的环境里安装，所以至今还保留了古老的网页端扫微信收款码，来获取 app 激活码的接口。 事件 有天半夜有人来买，第二天中午申请退款，理由是 iPhone 看不了。我一头雾水，我 app 压根就没 iOS 版，看什么看不了？ 加了他聊了半天，才理清楚事情： 受害者应该对互联网不太熟悉，从 x 被网黄引导到 tg 加群看片，群主说要看完整内容需要付费，从我的 app 中抠出了微信付款发码给受害者，让他付款后把激活码转发过去。群主（诈骗犯）收到我的 app 的激活码后，转手闲鱼出掉。得手后还讽刺了受害者一番最后说「有种来举报我的微信啊」 后续 无语之余，我也只能对受害者退款了事。和他核对了时间线，从我的服务端记录看，受害者把激活码给骗子后不到半小时就转卖激活掉了。事发后骗子 tg 群也解散了，号也没上线过了。应该是每骗一个人就新建一个号吧。 由于骗子全程隐身，也没法对他做什么，报警也无从谈起，毕竟金额也就 20 来块。 改进措施 辛亏微信扫码付的人一天也没几个，我停掉了自动化发码，加了一段自动回复「感谢购买，注意：所有让你代扫码，转发激活码给他的都是诈骗。千万不能把激活码告诉别人。确认请回复『{手机型号}+{安卓版本}+已正常安装 xxx ，确认购买』来获取激活码」。 发出来是想提醒一下各位独立开发者，特别是早期创业支付渠道还不完善的，务必小心谨慎。稍不注意就成了别人中间人诈骗 play 的一环。