【热门】我用九天时间，深挖一条闲鱼诈骗黑色产业链

本篇文章4936字，读完约12分钟

设陷阱，避免费用误区，提高费用体验，文芳阁投诉平台24小时服务，你所有的投诉，对费用的提案，都可以改变这个世界。 投诉请去文芳阁:【点击投诉】

你好，我是凌云。

因为平时做的事情很特殊，所以我的wechat有很多警察。 我有时间和他们一起谈技术，破案。

2019年12月15日，一位警官哥哥跟我说了关于二手平台诈骗的事情。 两天后，我回家和家里的亲戚聊天时，我叔叔得知，在闲鱼上买了无人机，被骗了000元。

这真是偶然。 话刚说完，亲戚就上当了。

和叔叔谈了十几分钟，终于明白发生了什么。

我叔叔虽然年纪大了，但喜欢接触年轻人的东西。 三天前，他想从闲鱼那里买无人机。 然后看到大疆精灵4pro只卖2600，他不擅长市场价格。 这也不可能是二手的。

然后被对方骗了，骗局就是这样——

那不是卖假货，而是骗子故意发布比市场价格便宜的商品，然后说自己很少坐闲鱼，没有回复就给他加qq或者微信。

或者说是把闲鱼挂在朋友身上卖，具体让购买者联系朋友，也同样留下qq和微信。

不管你有什么借口，最终都会欺骗你添加他们的qq和微信。

买家加上qq和微信询问价格的话，骗子报告的价格会比原来挂闲鱼的价格少一点。 例如，将减少200人。 然后自己改变价格，结束后发送闲鱼宝贝链接。

这个链接其实是一个类似闲鱼app的网站，是骗子自己做的，里面支付的钱被第三方信息平台充值，最终交给骗子手里。

这笔钱充值的是手机礼品卡。

我理解这件事后，问叔叔，报警了吗？

叔叔说不报告——和大部分中年人一样，诈骗的钱很丢脸，所以不报警。 其实钱大多是可以回收的，但他们不愿意。

我又劝了一会儿，实在说服不了，就把那个骗子的消息发给他看——接近年末，骗子开始流露业绩了。 这件事写诈骗稿相当有看点吧。

既然欺诈的实施方法已经确定，接下来就是整理初步的现有新闻，制定调查计划。

我叔叔给了我下一条消息:

1 .咸鱼卖方新闻

2 .卖方的所谓朋友qq

3 .模仿闲鱼的网站

初步调查

首先是闲鱼的卖方新闻。 这个我查不到。 向闲鱼申请官方介入，提交截图和订单号码等所有相关情况，申请披露该卖方的个人新闻。

另一方面，调查了卖方的所谓朋友qq，这个号码的qq年龄是9年，等级是两个太阳，同时资料基本上是空白的。 典型的是从号店买的qq。

典型地买的qq

除了qq号没有进展以外，那个假货的网站也是如此。

叔叔被骗的第二天，这个网站已经打不开了。 我觉得骗子应该在打游击，和制作色情网站的人很像。

骗了钱，网站很快就被删除了

欺骗一个身体就删除网站的程序，定期进行清空数据更改域名，不让警察收集新闻和证据，这是很常用的方法。

在whois上调查了这个网站的注册者的相关情况，只知道注册的邮箱的前两位带有星号，注册者被称为x冬梅。

从对方删除站的慎重来看，我认为whois调查的新闻也是假的，所以放弃了域名注册者的新闻这条线索，但现在所有的线索都断了，即使深入调查也找不到切口。

入侵欺诈网站的背面

这件事直到第三天中午才出现转变——卖方的闲鱼账号一次公布了几个宝贝。

骗子闲鱼更新了商品

我赶紧联系卖家，以购买无人机为由进入了他的陷阱——大疆精灵谁tm卖2千元，不是傻瓜而是骗子，但现在骗子比傻瓜多是现实。

添加对方的qq后，我问了价格。 对方说000元，比闲鱼少100元。 请等一下。 他换了价格，等了几分钟，对方发来了链接。

拿到对方的新诈骗网站后，用等待银行卡收款的方法延长时间，以免他们再次删除车站的行驶。

我顺理成章地中了他的圈套

打开这个假网站，我发现模仿的东西真的很像。 如果我不知道那是假的，你会当真的。

一目了然真假？

绕着这个网站一周，试图用sql注入的方法侵入这个网站，马上就意识到不可能，对方采取了防御措施

但是，我们发现在填写送货地址的一栏中可以插入xss恶意脚本。

大致说明什么是xss，简单来说，我可以在目标网站本身插入代码。 例如，在站点的注释中，当站点管理员登录到后台并查看消息时，xss脚本就像打猎陷阱一样被触发。

在发送地址插入xss后，期待等鱼上钩。 这个过程第一次使用这样粗俗的攻击方法。

收货地址那可以插入xss恶意脚本

2019年12月23日晚上9点59分，xss脚本收到了反馈。 对方卡住了，我获得了他们的后台链接和cookies。

我不是随便登录，而是把肉鸡服务器当跳板，打开火狐浏览器，用hackbar插件登录了这个cookies在这个欺诈网站的后台。

我取得的cookies，也就是密码键

对于闲鱼诈骗，我不知道，早就存在，当时也入侵过，但那时的后台很简陋，根据不为人知的cms系统改变了。

我现在入侵的这个后台，为了今年最新的系统，里面有很多功能。 例如，在支持闲鱼分发和平台假链接的同时，必须佩服可以一键采集的方法分发假商品。

伪造闲鱼网站后台

“骗子也重视tm的录用体验和便利性！ ”。

在这个后台可以看到阅览商品的受害者的ip和他们填写的地址的名字的手机号码。 我粗略地看，上当受骗的概率相当高，一共有70多件阅读记录。 其中有20多人支付了。

受害者的ip地址

为了更全面地收集新闻，我把这些受害者的姓名电话地址全部导出并留在电脑桌面上，然后继续寻找后台等有用的相关情况。

但是，现在面临着新的问题。 后台没有骗子的相关线索。

很遗憾，我打开了更改密码的一栏，试图不让骗子登上这个后台的时候，突然发现了重要消息。

后台管理员帐户！

管理员账户里一定有猫。

线索被突破了

这个账户组合了英语+数字，最初以为后面的数字是手机号码，百度发现了，这个账户绝对有问题。

后来，我通过整个网络的新闻搜索，终于找到了新的突破口。 这个欺诈网站后台的管理员帐户是骗子的常用id。

这个名为ln164***的id从去年开始就频繁地活跃在各大论坛上。 嘀嗒，沈阳吧。 沈阳滴滴吧。

我在管理员帐户中跟踪的帖子id

这个人关注沈阳的滴滴吧。 在调查过程中，我大致遵守了“大胆的推测，小心求证”。

所以骗子断定是沈阳人，本职工作可能是打点滴，副业是搞诈骗。

我花了半个小时寻找他发表的帖子。 去年11月有投稿。 他发了系统的截图。 里面漏了微信号。

搜索这个wechat，发现地区归属确实是沈阳，我计划整晚冒着风险和他说话——因为他有一滴可能性，我上次坐他车的借口加了他的wechat。

对方同意后，开始假装认识，还是中了。 这个人真滴。 我觉得副业是诈骗。

我很容易就把它放在手机号码里了

他可能确实忘了载某人，但没怎么怀疑就给了我手机号码。

除了得到这个人手机号外，在微信朋友圈也发现了很多有效的信息。 比如这个。

来自对方的WeChat的力矩

这个WeChat的力矩新闻量很大，首先这个人有老婆，接下来听到“老糊涂”这个词，我问朋友，他说了沈阳的方言。

另外，这张WeChat的力矩照片，里面有网吧。 名字叫天润网吧。 用地图搜索，沈阳是天润网吧，在白塔街对面。

这附近有四个小区

而且，这家网吧附近几百米的地方总共有四个小区。 通常，人买东西散步通常不太远，所以开始断定这个人住的位置在白塔街附近。

在wechat的朋友圈找不到消息后，我把调查方向放在他的手机号码上，在搜索中发现，他注册了支付宝( Alipay )。

头像是书，和杜月笙有关。 这位哥哥可能想成为黑帮。

支付宝实名新闻是*宁，我输入了李字，核试验成功。 这也是那个诈骗网站后台的管理者账户——我去了LN16 * * * *。 前两个字母是李宁的拼音缩写。

这个骗子真叫李宁 ...

线索越来越清楚，我的头有点兴奋，又花了半个小时收集这个手机号码留在网上的消息，整理了一会儿后，骗子的模糊图像开始逐渐明显。

彻底解读身份证。

收集的消息还不足以警察落地抓人，所以我尝试了从未试过的方法。 贫穷地推测了李宁的身份证号码。

这个技术完全可以实现，但需要依赖足够的时间和新闻片段，已知身份证号码一共由四个部分组成。

第一段的号码是地址代码。 以前的调查发现李宁是沈阳铁西人。 百度查了沈阳铁西区的地址代码。

第二段号码是出生年月日，我以前在他的调查中知道是1991年7月25日。

第三段是性别，男性是奇数，女性是偶数。

第四段是核查码，核查身份证是否有效，这需要用前17位数字计算。 因为我这样的数学渣无法完成，所以依赖于身份证计算机。

经过以上的贫苦计算，我得到了一千多个身份证号码，李宁的身份证藏在这里。

用网上身份证检查api接口，在这一千人的身份证中，一并检查一个叫李宁的人。

我花了二百元检查一千张身份证，肉疼

一小时后，结果反馈只有两个身份证号码一致，第一个叫李宁的是21岁，第二个是28岁。

很明显，第二个是我要找的李宁。

然后，再次利用api界面，调查了与李宁的身份证号码相对应的大头贴，得到了李宁的真实照片。

不要泄露成千上万的个人消息。 否则身份证很容易被炸毁。

得到目标真面目后已经是凌晨2点了，所以没有时间洗澡，赶紧计划下一个构想，把它写在笔记上，在脑子里睡觉。

我记得很多秘密。 这个秘密连她都看不到

第二天中午，用李宁的手机号码陆续发掘了部分社会交往账号，再次进行了新闻整理。

社工库的采用

从李宁使用年龄和常用id的习性来看，社会工库可能是目前最有效、最迅速地获得越来越多消息的方法。

果然，在2008年到2008年之间的社工库查询中，拿到李宁采用的密码，笑的是——他采用的密码数字部分是他常用的id后面的数字。

后来，我试图用李宁的旧密码登录他的qq号码，但竟然爬了上去。 我还没有设备的钥匙。

我赶紧进入他的qq里，从文件收藏到联系方式，翻天覆地，其中他和一个叫“河边人”的qq联系方式谈了文案。

李宁也吃亏了qq有漫游记录，看了半天多，我终于想到了河边的路人到底在做什么。

他为李宁提供技术支持。 假冒闲鱼的网站是他做的，包括购买域名和采用的网站空之间。

河边的路人在这条黑色产业链中扮演的角色是“船长”，负责洗钱和对渔民的技术支持。

李宁是个渔夫。 负责的商业文案欺骗别人，走遍闲鱼和这些二手平台发布低价商品以吸引受害者，发送假冒的闲鱼链接进行诈骗。

诈骗来的这笔钱是通过京东、微信、手机课程等第三方支付平台的接口。

通俗地说，我叔叔从假闲鱼网站提供的钱实际上是充值的。 河边的路人利用这个手机积分卡在专用的交易平台上销售。 只要给手续费就行了。

他们俩的聊天记录

幸运的是，我没有沿着whois调查那条线索就跟踪了李宁。 否则，绝对会被牵着鼻子走。 网站的建立和维护由河里的路人完成。 河里的路人买的域名是从商人手里买的。

也就是说，第一个whois查询的*冬梅是商人的真实姓名消息。

他们俩的聊天记录

综合以上，我再次整理新闻，开始对这条河边的路人船长进行调查，通过qq聊天窗口的包获得对方的ip地址，位于江西省南昌市华南城建材市场附近，但排除他做了ip代理的防御措施

在红色圆圈的范围内

又花了一天时间，基本上确认了沿河路人模糊的画像，男性，25岁，陈万龙，江西南昌人。

重新整理现在调查的新闻。

那时，也就是2019年12月25日下午，向闲鱼政府申请的公开消息被发给了我叔叔的手机号码。

通过闲鱼公布的手机号码，我进行了一点简单的搜索，找到了这个卖家2019年7月在豆瓣上投稿的租赁闲鱼号码。

我粗略地看了一眼。 呵呵，这是傀儡。 或者说是骗子共谋的。

这个诈骗基本上都弄清楚了。 渔夫在网上购买或租用别人的闲鱼号，发布低价商品以吸引受害者，在伪造的闲鱼链接上实施欺诈，这笔钱最终将在第三方信息平台上漂白。

2019年12月26日，我收集了欺诈网站后台的证据。 包括渔夫李宁、船长陈万龙、租赁账户卖方在内，均向当地警察朋友提交立案调查。

我叔叔，让我上当，瞒着其他亲戚偷偷报告事件，让他有记忆力吧。

关于租赁闲鱼号的人，到底是错的，还是站在个人立场上看是错的？

但是站在调查者的角度来看，调查者没有角度，所以我们必须发掘事件背后的真相，抓住事件背后的操纵者。

全天候滚动播放最新的财经信息和视频，越来越多的粉丝福利扫描二维码备受关注( finance )。