我用九天时间,深挖一条闲鱼诈骗黑色产业链。

频道:闲鱼技术 日期: 浏览:759
  来源 |我会永远在你身后(ID:LingYunKG)

微信号:ccjun91
添加微信群,试用软件
复制微信号

  责任编辑|包不同

  大家好,我是凌云。

  因为日常干的事比较特殊,所以我微信上加了挺多的警察,有时间会陪他们聊聊聊技术,分析一些陶瓷。

  2019年12月15号,某警察老哥聊了聊二手诈骗的事,骗后,我走了趟家,跟家里的亲戚闲聊的时候,知道我老舅,在闲鱼上周围台块,被骗了三千块。

  这事真挺巧的,刚聊完,就被骗了

  我跟老手指聊了十分钟,才给听明白到底怎么了。

  我老舅这人,虽然有点大,但比较喜欢接触年轻人,三天前,他从闲鱼上想买台,然后只见大疆40,他也没有卖260知道市面价——这价格是二手的也不可能有。

  然后就被对方骗了,这个骗局是这样的——

  它主要不是卖假,冒充骗子故意发布商品市场价的大量商品,然后说自己没有上位闲置,没回复就加他或者QQ微信。

  或者干脆说是给朋友挂闲鱼卖的,具体让买家联系他的朋友,同样是一QQ或微信。

  不小心用啥借机,原来他们都是骗你添加的QQ或微信

  当买家加上QQ或微信后问价,骗子报的价格总体比原来挂闲鱼的价格少点,比如少一两百,然后就说去改下价格,事了就发你一个闲鱼的宝贝链接。

  而这个链接其实是一个高闲仿鱼APP网站,是骗子自己搭建的,你在里面付的款、会的充值到平台上,更利于骗子们的成长。

  筹钱是充值到携程礼品卡上

  我听明白这件事后,问老舅,报警了没有。

  老舅说不报——跟这么多的中年人一样,被骗钱怕丢脸,不去报警,很多时候钱是能追回的,但不太可能。

  我又劝一会,老王劝不动,就他那骗子发过来我看看——让让骗子开始冲的头信息,这事写骗子稿子估计有。

  骗局的实施已经明确,后继事件的已经准备好了,已经展开的事件,计划调查方法。

  从我舅那得到以下信息

  1。咸鱼卖家信息

  2。卖家最好的朋友QQ

  3。假冒闲鱼的网站

  首先是闲鱼卖家的信息,这一点我没有从查起,在闲鱼上申请官方介入,提交截图和订单号等所有相关信息,申请披露卖家的个人信息。

  同时,我查到的都是自己的朋友QQ,发现该号码的Q年龄虽然年,但等级却是两个太阳,而且资料几乎是空白的——典型的从号贩子买来的QQ。

  想买来的QQ

  加上QQ号没进展,那个假冒闲鱼的网站也是如此。

  在我手指发现被骗子的那一幕,该网站就已经打不开了,我应该是骗子在打游击战,和做学校的人挺相似的。

  骗了钱,网站立马给掉了

  骗一个人就删除网站程序,或者定时进行清空数据停止注册,避免警方进行收集信息或举报,这些都是他们想要的。

  我通过Whois查询该网站的注册人相关信息,注册的前面的邮箱被打上了星号,可以发现知道注册人叫X冬梅。

  从对方出发站的谨慎程度来看,想知道谁到的信息同样是假的,我放弃了域名注册人的信息说明,可现在所有想的推理也全断了,往下深入调查也找了不到切入点。

  这件事到第三天中午才转折——卖家的闲鱼出现一下子了好几个宝贝。

  骗子的闲鱼更新了商品

  我赶紧联系上这该卖家,以购买大象为由顺利钻进他的套中——大疆精灵女TM2千块,不是傻子就是骗子,但现实是,现在年头骗子比子多。

  了对方的QQ后,我查询价格,对方说千,比闲的要少一百块,让我稍等,他去改价格,等了鱼,加对方发过来一条链接。

  获得对方新的诈骗网站后,以免他们再次站跑路,就用银行卡提到账的方式拖时间。

  我顺理成章钻了他的圈套

  打开该假冒这个网站,发现我的真的像的,如果我不是提前知道假的,估计会当真。

  第一眼看去是不是真的假假

  这网站跟里转了一个,尝试用Sql注入的方式发这个网站,及时就不会发现,预防措施——安全追诈骗的还会网络才。

  在填写收货地址的那一幕,我发现是可以插入XSS恶意脚本的。

  大概解释一下啥是XSS,通俗点说,我可以利用一段代码插入到目标网站中,比如网站的评论中,当网站管理员登陆后台查看留言的时候,就会触发XSS脚本,像追猎时放的陷阱一样。

  在收货中插入 XSS 后,开始等待鱼儿上钩,这个过程是比较的——头次用如此简单的寻找地址的攻击方式。

  收货地址那可以插入XSS恶意脚本

  2019年12月23号晚上九点五十九分,XSS脚本有了反馈——对方上钩了,我获得了他们的后台链接以及一个饼干。

  我并没有贸然登陆,将一个肉鸡服务器作为跳板,打开火狐浏览器,利用Hackbar插件通过cookies登陆进去了这个诈骗网站的后台。

  我获取到的Cookies,也就是密码钥匙

  对于闲鱼诈骗,我不知名,早在2017年就已经存在,当时也经历过,不过后台的后台很简陋——基于一个不知名的CMS系统去改的。

  而我现在他的后台,应该为近期平台的系统,支持这个里边大量的功能,比如发布闲鱼和转转假链接,并且可以通过一键采集的方式发布商品,这让我不得不感叹。

  假冒闲鱼网站的后台

  “骗子也TM讲究使用体验和方便!”

  在该后台中是可以看到商品的进口IP以及他们填写的地址姓名手机号,我粗略的分析下,上当言论蛮高的,一共七十多条的浏览记录,有二十多人付了款。

  一路的IP地址

  为了更全面的收集信息,我将这些有姓名的电话地址统统统统保存到电脑桌面,以后会继续翻找后台等细节的相关信息。

  但当前新世界的一个问题——后台并没有关联到骗子的相关线索。

  无奈之下,我点开修改密码的那一栏,能不能让骗子登这后台的时候,突然发现一个关键的信息。

  后台管理员账号!

  管理员有猫

  这个由英文+数字相结合,一开始我以为自己的数字是个手机号,百度一个账号发现的,但这个绝对是有问题的。

  后来我通过全网的信息检索,终于找到了一个新的突破口——这个诈骗网站后台的管理员账号,是骗子的常用ID

  叫这个在去年开始出现的时间等等在出现的ID贴吧,嘀嗒吧沉阳吧,沉阳滴吧,。

  通过管理员账号我追查到的贴吧ID

  此人关注了沉阳的滴滴吧,在调查的过程中我是非常遵循“时尚气息,小心求证”的原则。

  所以断定骗子为沉阳人,可能主业是开滴滴,副业是诈骗的。

  我花了半小时翻找了他发布的帖子,2018 年 11 月有条帖子,他发了张系统截图,里边泄露了一个微信号。

  搜索该微信,发现地区归属确实是沉阳,我计划一个晚上,决定冒险加他聊聊——因为他可能是开滴滴的,所以我用上次坐过他车的借壳加他微信。

  等对方同意后,我开始装熟人,果然被我猜到了,这人真就是开的,估计业就是搞诈骗滴滴。

  很轻松就套到了一个手机号

  可能是他确实都载过谁,没超疑似就给了一个手机号我。

  还要得到这个人的手机号,再在朋友圈内也能发现一些细微的信息——比如手机号码。

  对方发的朋友圈

  原圈朋友信息量挺大的,首先这人是有老婆的,其次“老幺磕嚓眼”这句话,我问朋友,他说的是沉阳的方言。

  还有网友圈的图片,里边有家网吧,叫天润网吧,我在地图搜索了一下,发现沉阳就一家天润网吧,在白塔街感受一下

  这附近有四个小区

  还有这家网吧附近有人开始吃饭的地方一四个小区,一般人逛街散散得很正常,下是不会离家太远的,所以我下定论,这个人居住的位置就在白塔街附近。

  当朋友圈内再没有发现任何信息后,我将调查方法放在他的手机号上,通过搜索发现,他注册了一个支付宝。

  头像是一本书,跟杜月笙有关的,可能这大哥比较想当黑帮。

  支付宝的实名信息是*宁,我输入一个李字,通过验机,这也对上过那个黑客诈骗网站后台的详细资料——ln16*****,开头的两个字母,是李宁的拼音缩写!

  这骗子真叫李宁。

  整理一下,我的脑子有点突然起来,又花了半小时该用手机号在互联网上留下的信息,稍微加整理后,骗子的模糊画像开始逐渐成长明朗起来。

  因为收集到的信息还过时能落地抓人,所以我尝试了一个未来尝试的办法——穷举猜解李宁的身份证号。

  这个技术是可以实现的,只需要完全依靠网上的时间和信息碎片,自己自己的号码一共有4部分组成。

  第一段号码为地址码,通过之前的调查,我知道李宁是沉阳铁西人,百度了一下沉阳铁西区的地址码。

  第二段号码为出生日期,我在之前对他的调查中已经获知是1991年7月25号。

  第三段则是性别,男性奇数,女性偶数。

  第四段则是核验码,核验自己是否有效,这需要前面17位数字计算得来,按照我这种数学渣是不可能完成的,所以有了一个自己的计算器。

  经过上面的穷举计算后,我得到了大概千千个人号,李宁的自己就藏在这里边。

  再通过网上的真实验证API接口示范实验这个千个身份验证,叫李宁的男人。

  我花了两百块钱去核实验上千条,肉疼

  一个小时后,结果反馈两个单身号是相可的,第一个叫李宁的只有21岁,第二个就是28岁。

  很明显,第二个才是我要找的李宁。

  同我对应的API接口,查询李宁的身份证的大头照,获得了李宁的真实照片。

  千万别泄露自己的个人信息,导致自己容易遭遇爆破

  在得到目标的真实身份后,已经是凌晨两点了,我顾不及按摩,把它写在备忘录里,然后便到头大睡。

  我写了很多秘密,秘密连闺蜜都不能看的

  随后陆续,通过李宁的手机号陆续陆续到了私密的微博,再次进行信息整理。

  从李宁的年龄以及用惯ID的习惯来看,社工库可能是当下最有效且快捷获得更多信息的方法。

  果不其然,通过2008年到2017年之间的社工库,我得到了李宁曾使用过的密码,让我笑出声是——他曾使用过的密码数字部分,正是他曾经使用过的ID后边的那那串数字。

  试用我尝试使用李宁的老密码去登陆他的QQ号,我靠!必然有设备了,还TM没有设备锁!

  我早年进去他的QQ翻翻,从文件收藏到亲戚,翻了个底朝天,其中翻了他跟一个叫“河边路人”的QQ好友聊天内容。

  也亏李宁QQ有边得记录,练大半天,我终于琢磨磨了河人到底是什么目的。

  他是专门给李宁提供技术支持的——假冒闲鱼的网站就是由他搭建的,包括购买域名和所使用的网站空间。

  河边人黑色产业链中路部分的角色叫:“船长”,负责洗钱分脏以及给渔夫提供技术支持。

  而李宁则是渔夫——负责的工作内容则是诱骗别人上当,在闲鱼转转这些平台发布低价商品吸附上钩,再发送假冒的闲鱼链接进行诈骗。

  诈骗过来的钱,是通过支付平台,例如京东,微信,携程的一些接口。

  说通俗点就是——我老手指从假闲鱼网站上给的钱,实际上就是充值了携程点卡,河边的路人利用了携程点卡一点就行。

  他俩的聊天记录

  也幸亏我没顺着Whois Whois那条线索查河李宁,纯粹被牵着伪装走——因为网站的搭建和维护都是由边路人去完成,而河边路人查询购买的市场都是从商人手上买过来的。

  到达,一开始的Whois查询中的*冬梅,就是商人实名的信息。

  他俩的聊天记录

  综合以上,我再次整理信息,对这个河边路人的船长开始调查,通过QQ聊天窗口的抓包获得对方的IP地址,但位于江西省南昌市华南城建材市场附近,无法修复他的IP代理的防御措施。

  就在红圈的范围

  又过了一天时间,最后确认了河边路人的模糊画像,男,25岁,陈万龙,江西南昌人。

  再次排列当前所调查到的信息。

  而此时,也就是2019年12月25号下午一点,向闲鱼官方申请的信息发到了我大手指的手机号上。

  通过闲鱼披露的手机号,我进行了一些简单的搜索,找到了此名卖家在2019年7月份发布的豆瓣的帖子——出租闲鱼号。

  我粗略的扫了一眼,呵呵,这是傀儡,或者说这是一个诈骗同谋。

  骗局发布了最近的明明,渔夫通过网上购买或租来别人的闲置,低价商品吸收了上钩号,利用这空闲时间鱼连接鱼再进行诈骗,这支钱最终通过平台进行洗刷白。

  2019年12月26号,我将诈骗网站后台的调查进行收集,包括渔夫李宁,船长陈区万龙,出租账户案的卖家,一概提供给自己的朋友立调查。

  我老舅,被我连哄带骗,瞒着其他亲戚偷去报道了,案子也让他长个记性吧。

  身为闲鱼号的那群人,到底有没有错,站在个人角度看,有错。

  但如果站在调查者的角度中,调查者是没有方向的,我们就是在坠落背后的背后,揪出背后的绳索人。

  >广佛融资点< 今日一选>>

   |经济学博士好文推荐:28年追踪13个孩子,结果扎心了:如果不是意外,你的孩子终将平凡

复制成功

微信号: ccjun91
添加微信群,试用软件

我知道了
添加微信

微信号: ccjun91
添加微信群,试用软件

一键复制加过了
18749471747
微信号:ccjun91添加微信
ccjun91