@BigShot404 目前只是针对 Hyper

大概猜一下过程：

前提条件骗子发现两处可以利用的地方：

1 、在某网页（也许是苹果官方的网页）充值王者荣耀时选择使用微信支付，发现该网页唤起微信支付是利用的 URL Scheme ，这是浏览器里 H5 网页唤起 APP 通常使用的方法。
2 、OP 发的那个网页里有利用 URL Sheme 唤起微信的漏洞，即可以唤起任意 weixin 开头的 URL Scheme 。

于是，骗子生成了一个充值的 URL Scheme 并拼接上述网页地址发送给 OP ，OP 打开之后直接唤起微信支付，由于开启了人脸支付，OP 没来及的细看便下意识的触发人脸支付，Ding ～支付成功，OP 发现被骗，来到 V2EX 发帖。

@charleen
@TheWalkingDead

如果你们分不清点赞微信的是真心喜欢还是讽刺，那就证明微信还不够烂。

about:preferences#privacy

最下面基于 HTTPS 的 DNS ，选择增强保护。