添加微信群,试用软件
复制微信号
责任编辑|包不同
大家好,我是凌云。
因为日常干的事比较特殊,所以我微信上加了挺多的警察,有时间会陪他们聊聊聊技术,分析一些陶瓷。
2019年12月15号,某警察老哥聊了聊二手诈骗的事,骗后,我走了趟家,跟家里的亲戚闲聊的时候,知道我老舅,在闲鱼上周围台块,被骗了三千块。
这事真挺巧的,刚聊完,就被骗了
我跟老手指聊了十分钟,才给听明白到底怎么了。
我老舅这人,虽然有点大,但比较喜欢接触年轻人,三天前,他从闲鱼上想买台,然后只见大疆40,他也没有卖260知道市面价——这价格是二手的也不可能有。
然后就被对方骗了,这个骗局是这样的——
它主要不是卖假,冒充骗子故意发布商品市场价的大量商品,然后说自己没有上位闲置,没回复就加他或者QQ微信。
或者干脆说是给朋友挂闲鱼卖的,具体让买家联系他的朋友,同样是一QQ或微信。
不小心用啥借机,原来他们都是骗你添加的QQ或微信
当买家加上QQ或微信后问价,骗子报的价格总体比原来挂闲鱼的价格少点,比如少一两百,然后就说去改下价格,事了就发你一个闲鱼的宝贝链接。
而这个链接其实是一个高闲仿鱼APP网站,是骗子自己搭建的,你在里面付的款、会的充值到平台上,更利于骗子们的成长。
筹钱是充值到携程礼品卡上
我听明白这件事后,问老舅,报警了没有。
老舅说不报——跟这么多的中年人一样,被骗钱怕丢脸,不去报警,很多时候钱是能追回的,但不太可能。
我又劝一会,老王劝不动,就他那骗子发过来我看看——让让骗子开始冲的头信息,这事写骗子稿子估计有。
骗局的实施已经明确,后继事件的已经准备好了,已经展开的事件,计划调查方法。
从我舅那得到以下信息
1。咸鱼卖家信息
2。卖家最好的朋友QQ
3。假冒闲鱼的网站
首先是闲鱼卖家的信息,这一点我没有从查起,在闲鱼上申请官方介入,提交截图和订单号等所有相关信息,申请披露卖家的个人信息。
同时,我查到的都是自己的朋友QQ,发现该号码的Q年龄虽然年,但等级却是两个太阳,而且资料几乎是空白的——典型的从号贩子买来的QQ。
想买来的QQ
加上QQ号没进展,那个假冒闲鱼的网站也是如此。
在我手指发现被骗子的那一幕,该网站就已经打不开了,我应该是骗子在打游击战,和做学校的人挺相似的。
骗了钱,网站立马给掉了
骗一个人就删除网站程序,或者定时进行清空数据停止注册,避免警方进行收集信息或举报,这些都是他们想要的。
我通过Whois查询该网站的注册人相关信息,注册的前面的邮箱被打上了星号,可以发现知道注册人叫X冬梅。
从对方出发站的谨慎程度来看,想知道谁到的信息同样是假的,我放弃了域名注册人的信息说明,可现在所有想的推理也全断了,往下深入调查也找了不到切入点。
这件事到第三天中午才转折——卖家的闲鱼出现一下子了好几个宝贝。
骗子的闲鱼更新了商品
我赶紧联系上这该卖家,以购买大象为由顺利钻进他的套中——大疆精灵女TM2千块,不是傻子就是骗子,但现实是,现在年头骗子比子多。
了对方的QQ后,我查询价格,对方说千,比闲的要少一百块,让我稍等,他去改价格,等了鱼,加对方发过来一条链接。
获得对方新的诈骗网站后,以免他们再次站跑路,就用银行卡提到账的方式拖时间。
我顺理成章钻了他的圈套
打开该假冒这个网站,发现我的真的像的,如果我不是提前知道假的,估计会当真。
第一眼看去是不是真的假假
这网站跟里转了一个,尝试用Sql注入的方式发这个网站,及时就不会发现,预防措施——安全追诈骗的还会网络才。
在填写收货地址的那一幕,我发现是可以插入XSS恶意脚本的。
大概解释一下啥是XSS,通俗点说,我可以利用一段代码插入到目标网站中,比如网站的评论中,当网站管理员登陆后台查看留言的时候,就会触发XSS脚本,像追猎时放的陷阱一样。
在收货中插入 XSS 后,开始等待鱼儿上钩,这个过程是比较的——头次用如此简单的寻找地址的攻击方式。
收货地址那可以插入XSS恶意脚本
2019年12月23号晚上九点五十九分,XSS脚本有了反馈——对方上钩了,我获得了他们的后台链接以及一个饼干。
我并没有贸然登陆,将一个肉鸡服务器作为跳板,打开火狐浏览器,利用Hackbar插件通过cookies登陆进去了这个诈骗网站的后台。
我获取到的Cookies,也就是密码钥匙
对于闲鱼诈骗,我不知名,早在2017年就已经存在,当时也经历过,不过后台的后台很简陋——基于一个不知名的CMS系统去改的。
而我现在他的后台,应该为近期平台的系统,支持这个里边大量的功能,比如发布闲鱼和转转假链接,并且可以通过一键采集的方式发布商品,这让我不得不感叹。
假冒闲鱼网站的后台
“骗子也TM讲究使用体验和方便!”
在该后台中是可以看到商品的进口IP以及他们填写的地址姓名手机号,我粗略的分析下,上当言论蛮高的,一共七十多条的浏览记录,有二十多人付了款。
一路的IP地址
为了更全面的收集信息,我将这些有姓名的电话地址统统统统保存到电脑桌面,以后会继续翻找后台等细节的相关信息。
但当前新世界的一个问题——后台并没有关联到骗子的相关线索。
无奈之下,我点开修改密码的那一栏,能不能让骗子登这后台的时候,突然发现一个关键的信息。
后台管理员账号!
管理员有猫
这个由英文+数字相结合,一开始我以为自己的数字是个手机号,百度一个账号发现的,但这个绝对是有问题的。
后来我通过全网的信息检索,终于找到了一个新的突破口——这个诈骗网站后台的管理员账号,是骗子的常用ID
叫这个在去年开始出现的时间等等在出现的ID贴吧,嘀嗒吧沉阳吧,沉阳滴吧,。
通过管理员账号我追查到的贴吧ID
此人关注了沉阳的滴滴吧,在调查的过程中我是非常遵循“时尚气息,小心求证”的原则。
所以断定骗子为沉阳人,可能主业是开滴滴,副业是诈骗的。
我花了半小时翻找了他发布的帖子,2018 年 11 月有条帖子,他发了张系统截图,里边泄露了一个微信号。
搜索该微信,发现地区归属确实是沉阳,我计划一个晚上,决定冒险加他聊聊——因为他可能是开滴滴的,所以我用上次坐过他车的借壳加他微信。
等对方同意后,我开始装熟人,果然被我猜到了,这人真就是开的,估计业就是搞诈骗滴滴。
很轻松就套到了一个手机号
可能是他确实都载过谁,没超疑似就给了一个手机号我。
还要得到这个人的手机号,再在朋友圈内也能发现一些细微的信息——比如手机号码。
对方发的朋友圈
原圈朋友信息量挺大的,首先这人是有老婆的,其次“老幺磕嚓眼”这句话,我问朋友,他说的是沉阳的方言。
还有网友圈的图片,里边有家网吧,叫天润网吧,我在地图搜索了一下,发现沉阳就一家天润网吧,在白塔街感受一下
这附近有四个小区
还有这家网吧附近有人开始吃饭的地方一四个小区,一般人逛街散散得很正常,下是不会离家太远的,所以我下定论,这个人居住的位置就在白塔街附近。
当朋友圈内再没有发现任何信息后,我将调查方法放在他的手机号上,通过搜索发现,他注册了一个支付宝。
头像是一本书,跟杜月笙有关的,可能这大哥比较想当黑帮。
支付宝的实名信息是*宁,我输入一个李字,通过验机,这也对上过那个黑客诈骗网站后台的详细资料——ln16*****,开头的两个字母,是李宁的拼音缩写!
这骗子真叫李宁。
整理一下,我的脑子有点突然起来,又花了半小时该用手机号在互联网上留下的信息,稍微加整理后,骗子的模糊画像开始逐渐成长明朗起来。
因为收集到的信息还过时能落地抓人,所以我尝试了一个未来尝试的办法——穷举猜解李宁的身份证号。
这个技术是可以实现的,只需要完全依靠网上的时间和信息碎片,自己自己的号码一共有4部分组成。
第一段号码为地址码,通过之前的调查,我知道李宁是沉阳铁西人,百度了一下沉阳铁西区的地址码。
第二段号码为出生日期,我在之前对他的调查中已经获知是1991年7月25号。
第三段则是性别,男性奇数,女性偶数。
第四段则是核验码,核验自己是否有效,这需要前面17位数字计算得来,按照我这种数学渣是不可能完成的,所以有了一个自己的计算器。
经过上面的穷举计算后,我得到了大概千千个人号,李宁的自己就藏在这里边。
再通过网上的真实验证API接口示范实验这个千个身份验证,叫李宁的男人。
我花了两百块钱去核实验上千条,肉疼
一个小时后,结果反馈两个单身号是相可的,第一个叫李宁的只有21岁,第二个就是28岁。
很明显,第二个才是我要找的李宁。
同我对应的API接口,查询李宁的身份证的大头照,获得了李宁的真实照片。
千万别泄露自己的个人信息,导致自己容易遭遇爆破
在得到目标的真实身份后,已经是凌晨两点了,我顾不及按摩,把它写在备忘录里,然后便到头大睡。
我写了很多秘密,秘密连闺蜜都不能看的
随后陆续,通过李宁的手机号陆续陆续到了私密的微博,再次进行信息整理。
从李宁的年龄以及用惯ID的习惯来看,社工库可能是当下最有效且快捷获得更多信息的方法。
果不其然,通过2008年到2017年之间的社工库,我得到了李宁曾使用过的密码,让我笑出声是——他曾使用过的密码数字部分,正是他曾经使用过的ID后边的那那串数字。
试用我尝试使用李宁的老密码去登陆他的QQ号,我靠!必然有设备了,还TM没有设备锁!
我早年进去他的QQ翻翻,从文件收藏到亲戚,翻了个底朝天,其中翻了他跟一个叫“河边路人”的QQ好友聊天内容。
也亏李宁QQ有边得记录,练大半天,我终于琢磨磨了河人到底是什么目的。
他是专门给李宁提供技术支持的——假冒闲鱼的网站就是由他搭建的,包括购买域名和所使用的网站空间。
河边人黑色产业链中路部分的角色叫:“船长”,负责洗钱分脏以及给渔夫提供技术支持。
而李宁则是渔夫——负责的工作内容则是诱骗别人上当,在闲鱼转转这些平台发布低价商品吸附上钩,再发送假冒的闲鱼链接进行诈骗。
诈骗过来的钱,是通过支付平台,例如京东,微信,携程的一些接口。
说通俗点就是——我老手指从假闲鱼网站上给的钱,实际上就是充值了携程点卡,河边的路人利用了携程点卡一点就行。
他俩的聊天记录
也幸亏我没顺着Whois Whois那条线索查河李宁,纯粹被牵着伪装走——因为网站的搭建和维护都是由边路人去完成,而河边路人查询购买的市场都是从商人手上买过来的。
到达,一开始的Whois查询中的*冬梅,就是商人实名的信息。
他俩的聊天记录
综合以上,我再次整理信息,对这个河边路人的船长开始调查,通过QQ聊天窗口的抓包获得对方的IP地址,但位于江西省南昌市华南城建材市场附近,无法修复他的IP代理的防御措施。
就在红圈的范围
又过了一天时间,最后确认了河边路人的模糊画像,男,25岁,陈万龙,江西南昌人。
再次排列当前所调查到的信息。
而此时,也就是2019年12月25号下午一点,向闲鱼官方申请的信息发到了我大手指的手机号上。
通过闲鱼披露的手机号,我进行了一些简单的搜索,找到了此名卖家在2019年7月份发布的豆瓣的帖子——出租闲鱼号。
我粗略的扫了一眼,呵呵,这是傀儡,或者说这是一个诈骗同谋。
骗局发布了最近的明明,渔夫通过网上购买或租来别人的闲置,低价商品吸收了上钩号,利用这空闲时间鱼连接鱼再进行诈骗,这支钱最终通过平台进行洗刷白。
2019年12月26号,我将诈骗网站后台的调查进行收集,包括渔夫李宁,船长陈区万龙,出租账户案的卖家,一概提供给自己的朋友立调查。
我老舅,被我连哄带骗,瞒着其他亲戚偷去报道了,案子也让他长个记性吧。
身为闲鱼号的那群人,到底有没有错,站在个人角度看,有错。
但如果站在调查者的角度中,调查者是没有方向的,我们就是在坠落背后的背后,揪出背后的绳索人。
>广佛融资点< 今日一选>>
|经济学博士好文推荐:28年追踪13个孩子,结果扎心了:如果不是意外,你的孩子终将平凡