【神操作】九天时间深挖一条闲鱼诈骗黑色产业链
2019年12月15号,有个警察老哥跟我聊了聊二手平台诈骗的事,两天后,我回了趟家,跟家里的亲戚闲聊的时候,得知我老舅,在闲鱼上买了台无人机,被骗了三千块。
这事真挺巧的,刚聊完,亲戚就被骗了
我跟老舅聊了十几分钟,才给听明白到底怎么一回事。
我老舅这人,年纪虽然有点大,但比较喜欢接触年轻人的事物,三天前,他从闲鱼上想买台无人机,然后看到大疆精灵4Pro只卖2600,他也不懂市面价——这价格就算是二手的也不可能有。
然后就被对方骗了,这个骗局是这样的——
它主要不是卖假货,而是骗子故意发布低于市场价很多的商品,然后说自己很少上闲鱼,没回复就加他QQ或者微信。
或者干脆说是给朋友挂闲鱼卖的,具体让买家联系他朋友,同样也是留下一QQ或微信。
不管用啥借口,最终都是诱骗你添加他们的QQ或微信
当买家加上QQ或微信后问价,骗子报的价格都会比原来挂闲鱼的价格少点,例如少一两百,然后就说自己去改下价格,完事了就发你一个闲鱼的宝贝链接。
而这个链接其实是一高仿闲鱼APP的网站,是骗子自己搭建的,你在里面付的款、会充值到第三方平台,最终转到骗子手里。
这笔钱是充值到的是携程礼品卡上
我听明白这事后,问老舅,报警了没有。
老舅说不报——跟大部分的中年人一样,被骗钱怕丢脸,不去报警,其实很多的时候钱是能追回的,但他们就不乐意。
我又劝了一会,实在劝不动,就让他把那骗子的信息发过来我看看——接近年底,骗子开始冲业绩,这事写骗稿子估计挺有看头的。
既然骗局的实施方法已经明确,接下来要做的就是整理初步已有的信息,制定调查计划。
从我舅那得到以下信息:
1.咸鱼卖家信息
2.卖家所谓的朋友QQ
3.假冒闲鱼的网站
初步调查
首先是闲鱼的卖家信息,这一点我无从查起,在闲鱼上申请官方介入,提交截图和订单号等所有相关信息,申请披露该卖家的个人信息。
另一方面,我查了一下卖家所谓的朋友QQ,发现该号码的Q龄虽然是9年,但等级却是两个太阳,并且资料基本上是空白的——典型的从号贩子买来的QQ。
典型买来的QQ
除了QQ号没进展,那个假冒闲鱼的网站也是如此。
在我舅发现被骗的第二天,该网站就已经无法打开,我猜测应该是骗子在打游击战,和做色情网站的人挺相似的。
骗了钱,网站立马给删掉了
骗一个人就删掉网站程序,或者定时进行清空数据更换域名,避免警方进行收集信息或证据,这些都是他们常用的手法。
我通过Whois查询该网站的注册人相关信息,发现注册的邮箱前面两位被打上了星号,只能得知注册人叫X冬梅。
从对方删站的谨慎程度来看,想必Whois查询到的信息同样是假的,所以我放弃掉域名注册人信息这条线索,可目前所有的线索也全断了,想往下深入调查也找不到切入点。
入侵诈骗网站后台
这事直到第三天中午才出现转折——卖家的闲鱼账号一下子发布了好几个宝贝。
骗子的闲鱼更新了商品
我赶紧联系上该卖家,以购买无人机为由顺利钻进他的圈套中——大疆精灵谁TM卖2千块,不是傻子就是骗子,但现实是,现在这年头骗子比傻子多。
添加了对方的QQ后,我询问价格,对方说两千,比闲鱼的要少一百块,让我稍等一下,他去改价格,等了几分钟,对方发过来一条链接。
获得对方新的诈骗网站后,为了避免他们再次删站跑路,就用等银行卡提现到账的方式拖时间。
我顺理成章钻进了他的圈套
打开该假冒网站,发现模仿的真的挺像的,如果我不是提前知道这是假的,估计也会当真。
一眼看去是不是没看出真假
跟这网站里转了一圈,尝试用Sql注入的方式入侵该网站,很快就发现不可行,对方做了防御措施——看来搞诈骗的也要会网络安全才行。
但是在填写收货地址的那一栏中,我发现是可以插入XSS恶意脚本的。
大概解释一下啥是XSS,通俗点来说,我可以利用一段代码插入到目标网站中,例如网站的评论中,当网站管理员登陆后台查看留言的时候,就会触发XSS脚本,就像捕猎时放的陷阱一样。
在收货地址中插入XSS后,便开始等待鱼儿上钩,这个过程是比较期待的——头次用如此猥琐的进攻方式。
收货地址那可以插入XSS恶意脚本
2019年12月23号晚上九点五十九分,XSS脚本有了反馈——对方上钩了,我获得了他们的后台链接以及一个Cookies。
我并没有贸然进行登陆,而是通过一个肉鸡服务器作为跳板,打开火狐浏览器,利用Hackbar插件将该Cookies登陆进去了此诈骗网站的后台。
我获取到的Cookies,也就是密码钥匙
对于闲鱼诈骗,我并不陌生,早在2017年就已经存在,当时也入侵过,不过那时候的后台很简陋——基于一个不知名的CMS系统去改的。
而我现在入侵的这个后台,应该为今年最新的系统,里边多了很多功能,例如支持发布闲鱼和转转平台的假链接,并且可以通过一键采集的方式发布假商品,这让我不得不感叹。
假冒闲鱼网站的后台
“骗子也TM讲究使用体验和方便!”
在该后台中是可以看到浏览商品的受害者IP以及他们填写的收货地址姓名手机号,我粗略的看了下,上当概率蛮高的,一共七十多条的浏览记录,其中有二十多人付了款。
受害者的IP地址
为了更全面的收集信息,我将这些受害者的姓名电话地址统统导出保存到电脑桌面,随后继续翻找后台等有用的相关信息。
但目前面临新的一问题——后台当中并没有关联到骗子的相关线索。
无奈下,我点开修改密码的那一栏,打算不让骗子登这后台时,突然发现一个关键的信息。
后台管理员账号!
管理员账号肯定有猫腻
线索突破
这个账号由英文+数字相结合,一开始我以为后面的数字是个手机号,百度了一下发现并不是,但这个账号绝对是有问题的。
后来我通过全网的信息检索,终于找到一个新的突破口——这个诈骗网站后台的管理员账号,是骗子的常用ID
这个叫ln164***的ID在去年开始频繁活跃于各大贴吧,嘀嗒吧,沈阳吧,沈阳滴滴吧,等等。
通过管理员账号我追查到的贴吧ID
此人关注了沈阳的滴滴吧,在调查的过程中我是非常遵守“大胆猜测,小心求证”的原则。
所以断定骗子为沈阳人,可能主业是开滴滴,副业是搞诈骗的。
我花了半小时翻找了他所发布的帖子,2018年11月有条帖子,他发了张系统截图,里边泄露了一个微信号。
搜索该微信,发现地区归属确实是沈阳,我计划了一晚上,决定冒险加他聊聊——因为他可能是开滴滴的,所以我用上次坐过他车的借口加他微信。
等对方同意后,我开始装熟人,果然被我猜对了,这人真就是开滴滴的,估计副业就是搞诈骗。
很轻松就套到了一个手机号
可能是他确实忘了都载过谁,没过多怀疑就给了一个手机号我。
除了得到此人手机号,另外在朋友圈内也发现了不少有用的信息——例如这条。
入对方发的朋友圈
这条朋友圈信息量挺大的,首先这人是有老婆的,其次“老么磕嚓眼”这词,我问了一朋友,他说是沈阳的方言。
另外这条朋友圈的图片,里边有家网吧,名字叫天润网吧,我在地图搜索了一下,发现沈阳就一家天润网吧,在白塔街那边。
这附近有四个小区
而且这家网吧附近几百米的地方一共有四个小区,一般人逛街散步正常情况下是不会离家太远的,所以我开始下定论,此人居住的位置就在白塔街附近。
当朋友圈内再无发现任何信息后,我将调查方向放在了他的手机号上,通过搜索发现,他注册了一个支付宝。
头像是一本书,跟杜月笙有关的,可能这大哥比较想当黑帮...
支付宝的实名信息是*宁,我输入一个李字,成功通过核验,这也对上了那个诈骗网站后台的管理员账户——ln16*****,开头的两个字母,正是李宁的拼音缩写!
这骗子真叫李宁...
线索越来越清晰,我脑子有点亢奋,又花了半小时搜集该手机号在互联网遗留的信息,稍加整理后,骗子的模糊画像开始渐渐变得明朗起来。
穷举破解身份证
因为收集到的信息还不足以支撑警方落地抓人,所以我尝试了一个从未试过的办法——穷举猜解李宁的身份证号。
这个技术是完全可以实现的,不过需要依靠足够多的时间和信息碎片,众所周知身份证号一共有4部分组成。