我用九天时间，深挖一条闲鱼诈骗黑色产业链

大家好，我是凌云。

因为我日常做的事情比较特殊，所以我加了很多警察的微信，有时间的话，我会跟他们聊聊技术，分析一些案例。

去年12月15日，有警察找我谈二手平台诈骗的事情，两天后我回家跟亲戚聊天才知道，我叔叔在闲鱼上买了一架无人机，被骗了三千元。

这可真是巧啊，我们刚聊完，我亲戚就被骗了。

我和叔叔聊了十几分钟才终于明白是怎么回事。

我叔叔年纪大了，但是很喜欢接触年轻人有的东西。三天前他想在闲鱼买个无人机，结果看到大疆Phantom 4 Pro只要2600元，不知道市场价，就算是二手也不可能有这个价。

然后我就被对方骗了，骗局是这样的：

主要不是卖假货，而是骗子故意发比市场价低很多的商品，然后说自己很少去闲鱼，如果你不回复，就加他QQ或者微信。

或者干脆说你是帮朋友在闲鱼卖的，让买家联系他的朋友，并且留下QQ或者微信账号。

不管他们用什么借口，归根结底都是为了诱骗你添加他们的QQ或微信账号。

当买家加QQ或者微信询问价格的时候，骗子报出的价格就会比闲鱼上原价低一点，比如低一两百，然后说自己改价，改好了就会发闲鱼上商品的链接给你。

这个链接其实是一个骗子自己搭建的模仿闲鱼APP的网站，你往里面支付的钱会先充值到第三方平台，最终转到骗子手里。

这笔钱充值到了携程礼品卡

明白事情经过后，我问叔叔是否报警了。

我叔叔说他不会报警——和大多数中年人一样，他怕被骗钱丢脸，所以没有报警。其实很多情况下钱是可以追回来的，但他们并不高兴。

我劝了他一阵子，没能让他动手，就让他把骗子的信息发给我——当时快到年底了，骗子们都开始抢购了，写一篇关于这个骗局的文章应该会很有趣。

现在诈骗手段已经清楚了，接下来要做的就是整理现有的初步信息，制定调查计划。

我从我叔叔那里得到了以下信息

1.闲鱼卖家信息

2.卖家所谓的好友QQ

3. 假冒闲鱼网站

第一是闲鱼卖家信息，我没有办法查看，我向闲鱼官方申请介入，提交了截图、订单号等所有相关信息，并申请披露卖家个人信息。

另外，我查看了卖家所谓朋友的QQ，发现这个号码虽然Q龄9年，但级别只有两个太阳，信息基本空白，典型的从号贩子手里买到的QQ。

典型购买QQ

除了QQ号没有进展外，假冒闲鱼网站也存在同样的问题。

我叔叔发现被骗的第二天，网站就打不开了。我猜骗子们在打游击战，跟那些开色情网站的骗子很像。

钱被骗后网站立即被删除

为了欺骗别人，他们会删除网站程序，或者定期清除数据、更改域名，以阻止警方收集信息或证据，这是他们常用的伎俩。

我使用Whois查询该网站的注册人信息，发现注册邮箱前两位带有星号，只能知道注册人是X冬梅。

从对方删站的谨慎程度来看，我认为Whois查询得到的信息也是假的，于是放弃了域名注册人信息这个线索。然而现在所有线索都断了，我找不到进一步调查的切入点。

直到第三天中午，情况才出现转机，卖家的闲鱼账号一次性发布了多件商品。

骗子的闲鱼已经更新了产品

我赶紧联系上了卖家，并成功中了他以购买无人机为借口的圈套——凡是卖2000元大疆Phantom的人要么是傻子，要么就是骗子，但现实是，现在骗子比傻子还多。

加了对方的QQ后，我问了价格，他说两千，比闲鱼便宜了一百块钱，让我等一下他去改价格，等了几分钟对方就给我发了链接。

在获取对方新的诈骗网站后，为防止其再次删除网站跑路，通过等待银行卡提现到账的方式来拖延时间。

我落入了他的圈套。

打开假货网站一看，仿的确实很像，要不是提前知道是假的，估计还真当真了。

一眼看不出真假？

在浏览了该网站之后，我尝试使用SQL注入的方式进行入侵，但很快发现这种方法不可行，因为对方已经采取了防御措施——看来诈骗分子也需要懂网络安全。

但是在填写收货地址的栏目中，我发现是可以插入XSS恶意脚本的。

我先简单解释一下什么是XSS，简单来说就是我可以用一段代码插入到目标网站，比如网站的评论，当网站管理员登录后台查看留言时，就会触发XSS脚本，就像打猎时设下的陷阱一样。

在收货地址插入XSS之后，我们就开始坐等鱼上钩了。这个过程还是挺刺激的——第一次用这么肮脏的攻击手段。

送货地址可插入XSS恶意脚本

2019年12月23日晚上9点59分，XSS脚本响应——对方上钩了，我获取了他们的后端链接和cookie。

我没有贸然登录，而是以僵尸服务器为跳板，打开火狐浏览器，利用Hackbar插件将Cookies登录到该诈骗网站后台。

我得到的 cookie 是密码密钥

我对闲鱼骗局并不陌生，早在2017年就存在了，当时也遭到了黑客攻击，不过当时的后端非常简单，基于一个不知名的CMS系统修改而成。

我现在入侵的后台应该是今年最新的系统了，功能多了很多，比如支持发布闲鱼、转转平台的假链接，可以一键收藏发布假货，这些都让我唏嘘不已。

假冒闲鱼网站后台

“骗子也关心用户体验和便利性！”

在后台可以看到受害者浏览商品的IP地址以及填写的收货地址、姓名、手机号，我粗略看了一下，被骗概率挺大，一共70多条浏览记录，其中付款的就有20多条。

受害者的 IP 地址

为了更加全面地收集信息，我将所有受害者的姓名、电话号码和地址导出并保存到我的电脑桌面上，然后在后台继续搜索有用的相关信息。

但现在我们又面临一个新问题——后台没有任何与骗子有关的相关线索。

无奈之下，我点击了修改密码的栏目，打算防止骗子登录后台，这时我突然发现了一个关键信息。

后台管理员帐号！

管理员帐户肯定有问题

这个账号是英文和数字的组合，一开始我以为后面的数字是手机号，后来百度一搜才知道不是，不过这个账号肯定有问题。

随后，我又在全网查找资料，终于找到了新的突破口——该诈骗网站后台的管理员账号，正是诈骗分子的通用ID。

这个名为ln164***的ID从去年开始活跃于各个论坛，包括滴滴论坛、沈阳论坛、沈阳滴滴论坛等。

我通过管理员账户找到的论坛ID

此人跟踪了沈阳的滴滴吧，调查过程中，我严格遵循“大胆猜测，谨慎核实”的原则。

因此我们推断，该骗子来自沈阳，主业可能是滴滴司机，副业是诈骗。

我花了半个小时看他发的帖子，在2018年11月的一篇帖子中，他贴出了泄露微信账号的系统截图。

我搜了一下他的微信，发现他确实是沈阳的，我筹划了一晚上，决定冒险加他聊天——因为他可能是滴滴的司机，就借口上次坐过他的车，加了他微信。

对方同意之后，我就开始假装熟人，果然我猜对了，这个人真的是滴滴司机，兼职很可能就是诈骗。

获取手机号码很容易。

或许他真的忘记自己接的是谁了，所以毫不怀疑地就给了我他的手机号码。

除了获得这个人的手机号码之外，我还在朋友圈里发现了很多有用的信息——比如这个。

对方的朋友圈

这条朋友圈信息量很大，首先这个男的有老婆，其次我问朋友“老莫客串”这个词，他说是沈阳话。

另外这条朋友圈图片里还有一家网吧，叫天润网吧，我地图上搜了一下，沈阳只有一家天润网吧，就在白塔街上。

附近有四个街区。

而且这个网吧周围几百米之内就有四个居民区，一般人逛街散步都不会走太远，所以我开始推断这个人就住在白塔街附近。

在朋友圈里找不到更多信息的情况下，我把重点放在了他的手机号上，通过搜索，我发现他注册了支付宝账户。

头像是一个书，跟杜月笙有关，说不定这家伙是想当黑帮老大……

支付宝实名信息是*Ning，我输入了“李”字，成功通过了验证，这也匹配到了诈骗网站后台的管理员账号——ln16*****，前两个字母就是李宁的拼音缩写！

这个骗子的真名叫李宁......

线索越来越清晰，我的心里也有些激动，又花了半个小时在网上收集这个手机号留下的信息，稍微整理了一下，骗子模糊的画像开始清晰起来。

因为收集到的信息不足以支持警方抓捕他，所以我尝试了一种从来没有尝试过的方法——穷举猜测李宁的身份证号码。

这个技术是完全可行的，但是需要足够的时间和信息碎片，众所周知，身份证号码由4部分组成。

数字的前半部分是地址编码，通过之前的调查，我知道李宁是沈阳市铁西区的，我在百度上搜索了沈阳市铁西区的地址编码。

第二个数字是他的出生日期，我从之前的调查中得知，他的出生日期是1991年7月25日。

第三部分是性别闲鱼卖家防骗，奇数代表男性，偶数代表女性。

第四部分是验证码，验证身份证是否有效，这需要计算前17位数字，对于我这种数学不好的人来说，根本无法完成，所以只能借助身份证计算器。

经过上述穷举计算，我得到了大约一千个身份证号码，李宁的身份证就隐藏在其中。

然后利用在线身份证验证API接口，在这上千张身份证中，批量验证一个叫李宁的男子的身份。

花200块钱查几千张身份证，心疼啊。

一个小时后，结果显示只有两个身份证号符合，第一个叫李宁，年仅21岁，第二个则是28岁。

显然，第二个才是我要找的李宁。

然后我再次使用API​​接口查询李宁身份证号码对应的头像，得到了李宁的真实照片。

切勿泄露您的个人信息闲鱼卖家防骗，否则您的身份证可能很容易被黑客入侵。

得知目标真实身份的时候已经是凌晨两点了，我甚至来不及洗澡，迅速规划好下一步行动，记在备忘录里，然后就睡着了。

我在备忘录里写了很多秘密，这些秘密连我的女朋友都读不到。

次日中午，又通过李宁手机号发现了一些社交账号，并再次整理了信息。

以李宁的年龄以及使用常用ID的习惯来看，社会工程学数据库可能是获取更多信息最有效、最快捷的途径。

果然，通过查询2008年至2017年的社会工程学数据库，我得到了李宁曾经使用过的密码，更让我笑出声的是，他使用的密码的数字部分，正是他常用的ID后面的那一串数字。

然后我尝试用李宁的旧密码登录他的QQ账号，妈呀！我居然登录成功了，而且没有设备锁！

我赶紧进入他的QQ，从文件收藏到通讯录全部翻了一遍，找到了他和一个叫“河边路人”的QQ联系人的聊天内容。

得益于李宁QQ的漫游记录，看了好久，我终于弄清楚了河边的路人在干什么。

他具体负责给李宁提供技术支持——假冒闲鱼网站由他搭建，包括购买域名、使用网站空间。

这些江边过路人在这条黑色产业链中扮演的角色被称为“船长”，负责洗钱、分成，还为渔民提供技术支持。

李宁是“渔夫”，他的工作就是引诱他人上当受骗。他在闲鱼、转转等二手平台上发布低价商品吸引受害者，然后发送虚假的闲鱼链接实施诈骗。

通过诈骗获得的钱款通过第三方支付平台支付，比如京东、微信、携程的接口。

说得简单一点，我叔叔在假闲鱼网站上给的钱，其实都是用来充值携程积分卡的，江边的路人拿着这些携程积分卡，在专门的交易平台上卖，只需要付一点手续费。

他们的聊天记录

幸亏我没有顺着Whois查询的线索去追踪李宁，否则绝对会被人牵着鼻子走——因为网站的建设和维护全部是河边罗完成的，河边罗购买的域名也全部是从商人手里买来的。

也就是说，初始Whois查询中的*Dongmei即为商户的真实姓名信息。

他们的聊天记录

基于以上，我再次整理信息，开始调查这名过江车的车长，通过QQ聊天窗口抓包获得对方IP地址，位于江西南昌市华南城建材市场附近，但不排除他使用了IP代理等防御措施。

在红色圆圈内

又花了一天时间，才基本确认了河边路人的模糊画像：一名25岁的男子，名叫陈万龙，来自江西南昌。

重新组织当前收集的信息。

就在此时，也就是2019年12月25日下午1点，向闲鱼官方申请的披露信息，发送到了我叔叔的手机号上。

通过闲鱼公开的手机号，我进行了简单搜索，发现了该卖家于2019年7月份在豆瓣上发布的一篇帖子——出租闲鱼账号。

我看了一眼，心想，哈哈，这是一个傀儡，或者说，是一个诈骗犯的帮凶。

诈骗手法基本清晰，骗子在网上购买或租用他人闲鱼账号，发布低价商品吸引受害者，然后通过虚假闲鱼链接实施诈骗，钱款最终通过第三方平台洗白。

2019年12月26日，我收集了诈骗网站后台的证据，包括渔民李宁、船长陈万龙、租用账号的卖家等，并全部提交给当地警察朋友侦查。

我舅舅在我的哄骗下，瞒着其他亲戚，偷偷报了案，以便让他吸取教训。

至于出租闲鱼账号的这群人到底有没有做错，从个人角度来说，他们确实有错。

但如果站在侦查员的角度，侦查员是没有立场的，我们要做的就是挖掘事件背后的真相，找出案件背后的操纵者。

目前已有500万人关注和加入了我们

《欢迎点赞、回看、转发》

重要提醒：关注“防诈骗日报”，减少损失，现在开始！