9天时间,我在闲鱼挖出了一条肮脏产业链
因为平时做的事情比较特殊,所以在陌陌加了很多警察,有时间会和他们聊技术,分析一些案例。
2019年12月15日,一位警察小哥跟我聊起二手平台被盗的事情。 三天后,我回到家,和家里的长辈聊天。 得知是舅舅在淘宝上买的。 他买了一架无人机,被骗了3000元。
好巧啊,刚聊完,舅舅就被骗了
我和叔叔聊了十分钟才明白是怎么回事。
舅舅年纪好像大了点,但比较喜欢和年轻人接触。 一天前,他想在淘宝上买一架无人机。 然后他看到DJI Phantom 4Pro只卖2600,市场价他不懂。 ——这个价格连二手都不可能。
后来,他被对方骗了。 这个骗子是这样的——
主要不是卖假货,而是故意发布比市场价高很多的产品,然后说他很少上淘宝,不回就加他QQ或者陌陌。
或者干脆说是给同学淘宝卖的,特意让卖家联系他的同学,同时留个QQ或者陌陌。
不管你用什么借口,你最终都会被诱惑加入他们的QQ或陌陌
卖家加QQ或者陌陌问价的时候,骗子报出的价格会比淘宝上的原价低,比如少一两百,然后他们会说自己改价,并且做完宝贝链接后发给你一个淘宝账号。
而这个链接可能是骗子自己搭建的高仿淘宝APP网站。 你在上面支付的钱会充值到第三方平台,最后转入骗局。
钱记在同程礼品卡上
了解情况后,我问舅舅有没有报案。
老伯伯说不报——像大多数中年人一样,被骗钱怕丢人,所以不报。 虽然很多时候钱是可以追回来的,但他们就是心有不甘。
我劝了他一阵子,劝不过他,就让他把骗局的资料发给我——到了年底,骗局开始以业绩为主,我怕写下这个骗局是值得的。
既然骗子的实施手段早就清楚了,接下来要做的就是梳理初步信息,制定排查方案。
从我叔叔那里得到以下信息
一、咸鱼买家信息
2.买家所谓的同学QQ
3、冒充淘宝的网站
首先是淘宝的店铺信息,我没法查。 本人申请淘宝官方介入,提交截图和订单号等相关信息,申请公开店铺个人信息。
另一方面,我查了店家所谓的同学QQ,发现号码的Q龄居然是9年,不过等级是两个太阳,但信息基本是空白——典型的是从号贩子QQ买的.
典型的买QQ
不仅QQ号失效了,冒充淘宝的网站也失效了。
舅舅发现被骗的第二天,网站一直打不开。 我猜骗子们打的是游击战,类似于那些经营色情网站的人。
我骗钱了,躺马的网删了
骗人删除网站程序,或者定期清除数据更换域名玩转转乐骗局,以防止警方收集信息或证据,这些都是他们常用的手段。
我通过Whois查询了该网站的注册人信息,发现注册邮箱的后两位是带星号的,只能得知注册人是X冬梅。
以对方删站的慎重来看,Whois查询到的信息肯定也是假的,所以我放弃了域名注册人信息的线索,但现在所有的线索都断了,想进一步调查。 小于入口点。
这件事直到第一个晚上才有了转机——卖家的淘宝账号一下子晒出了好几件宝贝。
骗子淘宝更新了商品
赶紧联系上店家,以订无人机为由成功躲进了他的圈套——大疆精灵卖2000元,不是傻子就是骗子,现实是现在骗子总比傻子好许多。
加了对方QQ后,问价格,对方说2000元,比淘宝便宜100元。 让我稍等一下,他就去改价了。 等了几分钟,对方给我发了一个链接。
在拿到对方新的被盗网站后,为了防止他们再次删除网站,他们通过等待银行卡提现到账来拖延时间。
我理所当然地躲进了他的陷阱
打开仿冒网站,发现仿品真的很像。 如果不是事先知道是假的,我可能会当真。
你能一眼就说出真相吗?
绕过这个网站后,我尝试用Sql注入来入侵网站,但很快发现不可行,对方采取了防御措施——看来诈骗的一定要懂网络安全。
但是在填写收货地址的那一栏,我发现可以插入XSS恶意脚本。
大致解释一下XSS是什么。 说白了,我可以用一段代码插入目标网站,比如网站的评论。 当网站管理员登录后台查看消息时,就会触发XSS脚本,就像打猎一样。 和当时设下的圈套一样。
在投递地址插入XSS后,就开始坐等鱼上钩了。 这个过程还是蛮意料之中的——用这么下流的打劫方式还是第一次。
收货地址可以插入XSS恶意脚本
2019年12月23日上午9点59分,XSS脚本有反馈——对方hook了,我拿到了他们的后台链接和cookie。
本人并没有大规模登录,而是以蛋鸭服务器为跳板,打开傲游浏览器,使用Hackbar插件将Cookies登录到被盗网站后台。
我拿到的Cookies,也就是密码key
我对淘宝盗窃并不陌生。 早在2017年就有了,当时也被入侵了,不过当时的后台很小——基于一个不知名的CMS系统修改而成。
而我现在入侵的后台应该是去年最新的系统,上面有很多功能玩转转乐骗局,比如支持淘宝、转转平台发布假链接,但是假货可以一键发布的形式收藏,这让我不得不感叹。
假装淘宝网站后台
“骗子也TM讲究用户体验和便利性!”
后台可以看到受害者浏览商品的IP和他们填写的收货地址的姓名和手机号,我简单看了下,上当受骗的几率还是挺高的。 有70多条浏览记录,其中20多条是付费的。
受害者的IP地址
为了更全面地收集信息,我将受害人的姓名、电话、住址全部导入保存到笔记本电脑桌面,然后继续搜索背景等有用信息。
但是现在我们面临一个新的问题——后台没有任何与骗局相关的线索。
无奈之下,点开栏目修改密码,正准备阻止骗子进入后台时,突然发现一条关键信息。
后台管理员账号!
管理员帐户中一定有隐藏的东西
这个账号是英文和数字的组合。 一开始以为前面的号码是手机号,百度了一下发现不是,但是这个账号肯定有问题。
后来翻遍全网查找资料,终于找到了新的突破口——被盗网站后台的管理员账号是诈骗常用ID
这个叫ln164***的ID今年在滴滴吧、北京吧、北京滴滴吧等各大跟贴吧频繁活跃。
我通过管理员账号查到的贴吧ID
这个人关注了北京的滴滴巴。 在调查过程中,我本着“大胆揣测,谨慎求证”的原则。
因此,推断骗子是北京人。 可能主业是开滴滴,副业是搞诈骗。
我花了半个小时浏览他发的帖子。 2018年11月,有帖子贴出了微信号被盗的系统截图。
我搜索陌陌,发现该地区属于北京。 我计划了一下午,决定冒着风险跟他聊聊——因为他可能开的是滴滴,所以我就借口之前坐过他的车,把他加到了陌陌。
对方同意后,我就开始装熟人,我猜对了。 这人真是个屌丝,恐怕他的副业就是出轨。
设置手机号码很简单
可能是他真的忘记了自己开的是谁,毫不犹豫的给了我一个手机号码。
不仅拿到了这个人的手机号,还在同学圈里找到了很多有用的信息——比如这篇文章。
对方发的同学圈
这个同学圈包含了很多信息。 首先,这个人有一个儿子。 其次,我问过一个同学关于“老幺磕眼”这个词,他说是北京话。
另外,这个同学圈里还有一个网吧,名字叫天润网吧。 查了地图,发现北京只有一家天润网吧,就在白塔大街上。
这附近有四个新村
但这家网吧方圆数百米之内,一共有四个新村。 通常人们在四处走动时不会离家太远。 于是我开始断定此人就住在白塔街附近。 .
当我在同学圈里找不到更多信息时,我将调查方向放在他的手机号码上,通过搜索发现他注册了支付宝。
头像是一本书,跟杜月笙有关,说不定这位阿姨想当黑道……
支付宝实名信息为*Ning。 我输入了一个李字,顺利通过了验证。 这也匹配了被盗网站后台的管理员账号——ln16*****。 前两个字母是李宁拼音的缩写!
这个骗局真的叫李宁……
蛛丝马迹越来越清晰,脑子也有些疲倦了。 我又花了半个小时收集手机号在网上留下的信息。 稍作梳理后,模糊的骗局画面逐渐清晰起来。
由于搜集到的信息不足以支持警方抓人,我尝试了一种以前从未尝试过的方法——穷举猜测李宁的身份证号码。
这个技术是完全可以实现的,只是需要足够的时间和信息碎片。 众所周知,身份证号码由4部分组成。
数字的第一部分是地址代码。 通过之前的调查,我知道李宁是北京苏家屯人。 我在百度上查了北京苏家屯区的地址码。
第二个数字是出生日期,我在之前的调查中已经知道是1991年7月25日。
第三段是性别,女素,女素。
第四段是验证身份证有效性的验证码。 这需要通过上面的17位数字来估算。 按照我的体力渣,是不可能完成的,所以用了身份证估价器。
算了算,得到了一千多个身份证号,李宁的身份证就藏在这里。
然后通过在线身份证验证API套接字,对千张身份证中的李宁女士进行了批量验证。
花了两百块验证了几千张身份证,心疼
一个小时后,据报道只有两个身份证号码匹配。 第一个叫李宁,才21岁,第二个28岁。
显然,第二个就是我要找的李宁。
之后再次使用API socket查询李宁身份证号对应的照片,得到了李宁的真实照片。
不要泄露你的个人信息,否则你的身份证很容易被爆
得到目标的真实身份后,时间已经是下午两点了。 懒得洗脚了,赶紧把冒出来的想法整理一下,写在备忘录里,然后就睡着了。
我在备忘录里写了很多秘密
第二天一早,通过李宁的手机号,陆续挖出了一些社交账号,重新整理了一下资料。
从李宁的年龄和使用常用ID的习惯来看,社工图书馆可能是目前获取更多信息最有效、最快捷的途径。
果然,通过2008年到2017年的社工数据库查询,得到了李宁曾经使用过的密码。 让我笑出声来的是,他使用的密码中的数字部分,正是他经常使用的ID上的数字部分。 那一串数字
之后,我尝试用李宁的旧密码登录他的QQ账号,可恶! 即使登机了,也没有设备锁!
我赶紧去他的QQ翻了翻,从档案收藏到通讯录,翻了个底朝天。 其中,我找到了他与一个名为“江边路人”的QQ联系人的聊天内容。
多亏了李宁QQ的漫游记录,看了半天终于想知道岸边的路人在干什么了。
他专门为李宁提供技术支持——假冒淘宝网站是他建的,包括订购的域名和使用的网站空间。
海边路人在这条红色产业链中扮演的角色被称为“船长”,负责为渔民洗钱和提供技术支持。
而李宁则是一个钓鱼人——他负责引诱他人上当,在淘宝、转转等二手平台上发布高价商品吸引受害者,然后发送假淘宝链接进行盗窃。
赃款是通过易迅、陌陌、艺龙等第三方支付平台盗取的。
说白了,舅舅给的假淘宝网的钱,其实是给艺龙积分卡充值的,海边的路人用这张艺龙积分卡在专门的交易平台转账。 交个费用就行了。
他们的聊天记录
还好我没有顺着Whois查询的线索去彻查李宁,否则我肯定被人牵着鼻子走——因为网站的建设和维护都是岸上的路人,而路人在岸向商家订购域名。 我买的是手头的。
也就是说,初始Whois查询中的*Dongmei是商户实名信息。
他们的聊天记录
基于以上,我重新整理了一下资料,开始调查这名海上过客的船长。 我通过QQ聊天窗口的抓包得到了对方的IP地址。 位于南昌省西安市华东城建材市场附近,但不排除他是IP代理人。 防御措施。
在红圈范围内
又过了一天,才基本确认了岸边一位路人的模糊人像,男性,25岁,陈万龙,云南昆明人。
重新组织到目前为止收集的信息。
这时,2019年12月25日凌晨一点,向淘宝官方申请的公开信息发到了我阿姨的手机号上。
通过淘宝公开的手机号,我进行了一些简单的搜索,找到了该买家2019年7月在豆瓣上发布的帖子——出租淘宝账号。
我瞥了一眼,呵呵,这是傀儡,还是盗贼的帮凶。
骗子基本上什么都知道。 渔民通过网上订购或租用他人淘宝账号,发布高价商品吸引受害人,然后利用伪造的淘宝链接实施盗窃。 这笔钱最终还是通过第三方平台洗了。
2019年12月26日,我收集了网站后台被盗的证据,包括渔民李宁、船长陈万龙、转租账户的买家等,并提交给了辖区的警方朋友进行调查。调查。
而我的老舅,被我一哄而骗,瞒着其他同事偷偷报了案,对他来说也算长记性了。
至于转租淘宝账号的这帮人,不管他们错不对,从个人角度来说,他们都是错的。
但是如果站在调查者的角度来看,调查者是没有立场的。 我们要做的,是挖掘风波背后的真相,抓住案件背后的操纵者。
骚文·看得淋漓尽致