社工库 我用九天时间，深挖一条闲鱼诈骗黑色产业链

我会永远支持你

大家好，我是凌云。

因为平时做的比较特殊，微信上加了很多警察，有空会和他们聊聊技术，分析一些案例。

2019年12月15日，一个警察跟我聊二手平台诈骗。过了两天回家和家里亲戚聊天，得知舅舅在闲鱼上买了无人机，被骗了3000块。

这事真挺巧的，刚聊完，亲戚就被骗了真是太巧了。刚聊完，亲戚就被骗了

我和老姨夫聊了十分钟才明白是怎么回事。

我的老舅舅，虽然年纪有点大，但是比较喜欢接触年轻人的东西。三天前，他想从闲鱼那里买一架无人机，然后他看到大疆精灵4pro只卖了2600元，他不知道市场价格——就算用了也不可能。

然后就被对方骗了。这个骗局是这样的-

主要不是卖假货，而是骗子故意发布远低于市场价的产品，然后说很少服务闲鱼，不回复就加QQ或者微信。

或者干脆挂闲鱼给朋友卖，专门让买家联系朋友，留个QQ或者微信。

不管用啥借口，最终都是诱骗你添加他们的QQ或微信不管你用什么借口，最终都会被骗加他们的QQ或者微信

买家加QQ或微信后要价格时，骗子报的价格会比挂闲鱼原价少一点，比如少一两百，然后他会说改价格，完了给你发闲鱼宝贝链接。

而这个链接其实是一个模仿闲鱼App的网站，是骗子自己建的。你在里面交的钱会充值到第三方平台，最后转给骗子。

这笔钱是充值到的是携程礼品卡上这笔钱充值到携程礼品卡

明白这一点后，我问舅舅有没有报警。

我老姨夫说他不举报——和大多数中年人一样，被骗怕丢脸，也不去报警。其实很多时候钱是可以追回来的，只是他们不开心。

我劝了一会，劝不动他，就让他把骗子的资料发给我。临近年底，骗子开始催演，写个诈稿挺有意思的。

既然骗局的实施方法已经明确，下一步就是整理初步已有的信息，制定调查方案。

从我舅那得到以下信息：从我叔叔那里得到以下信息:

1.咸鱼卖家信息

2.卖家的所谓好友QQ

3.假闲鱼网站

初测

首先是闲鱼的卖家信息，我查不出来。本人申请闲鱼官方介入，提交截图、订单号等相关信息，申请泄露卖家个人信息。

另一方面，我查了卖家的所谓好友QQ，发现这个号码的Q龄虽然是9年，但是等级是两个太阳，数据基本是空白色——典型的从经销商那买的QQ。

典型买来的QQ典型的买QQ

除了QQ号没什么进展，假货闲鱼的网站也是。

舅舅发现自己被骗的第二天，网站就打不开了。我猜应该是打游击战的骗子，和做色情网站的挺像的。

骗了钱，网站立马给删掉了骗钱，网站立马被删

欺骗一个人删除网站程序，或者定期清除空数据更改域名，以免警察收集信息或证据。这些是他们常用的方法。

我通过Whois查询了这个网站的注册人信息，发现前两个注册邮箱都标了星号，才知道注册人的名字是X冬梅。

从对方删站的谨慎程度来看，想必Whois查询到的信息同样是假的，所以我放弃掉域名注册人信息这条线索，可目前所有的线索也全断了，想往下深入调查也找不到切入点。从对方删除网站的谨慎程度来看，假设Whois查询的信息也是虚假的，所以我放弃了域名注册人信息的线索，但是目前所有线索都已经断了，想进一步调查也找不到切入点。

入侵欺诈网站背景

直到第三天中午才转——卖家闲鱼账号突然放出几个宝物。

骗子的闲鱼更新了商品骗子的闲鱼更新了货物

我很快联系了卖家，以买无人机为由钻进了他的陷阱——卖了2000元的DJI精灵不是傻子就是骗子，但现实是这年头骗子比傻子多。

加了对方QQ后，我问价格，对方说两千，比闲鱼少了一百。让我等一下，他改了价格，等了几分钟，对方发了链接。

获得对方新的诈骗网站后，为了防止他们删站再次逃跑，会通过等待银行卡兑现来拖延时间。

我顺理成章钻进了他的圈套我自然落入了他的圈套

打开山寨网站，发现仿的真的很像。如果事先不知道是假的，我大概会当真。

一眼看去是不是没看出真假乍一看，你难道没有看出这是真是假吗

转过这个网站，我试图通过Sql注入入侵这个网站，很快发现不可行，对方采取了防御措施——看来搞诈骗的人在网络上也一定是安全的。

但是在投递地址填写的那一栏，我发现可以插入XSS恶意脚本。

大致解释一下XSS是什么。一般来说，我可以在目标网站中插入一段代码，例如，在网站的评论中。当网站管理员登录后台查看消息时，会触发XSS脚本，就像打猎时的陷阱一样。

将XSS插入接收地址后，我开始等待鱼上钩。这个过程是意料之中的——我第一次用这么猥琐的攻击方法。

收货地址那可以插入XSS恶意脚本送货地址，可以插入XSS恶意脚本

2019年12月23日晚9: 59，XSS剧本得到反馈——对方上钩，我得到了他们的背景链接和一个Cookies。

我没有贸然登录，而是用一个肉鸡服务器作为跳板打开Firefox浏览器，用Hackbar插件把Cookies登录到这个诈骗网站的后台。

我获取到的Cookies，也就是密码钥匙我拿到的饼干，是密码钥匙

我对闲鱼诈骗并不陌生，早在2017年就有，当时入侵，但当时的背景很简单——基于一个不知名的CMS系统。

我现在入侵的背景应该是今年最新的系统，有很多功能，比如支持发布闲鱼和转平台的假链接，通过一键收藏发布假货，让我感叹。

假冒闲鱼网站的后台假闲鱼网站后台

“骗子也讲究体验和方便！”

在后台可以看到受害者浏览商品的Ip，以及他们填写的地址、姓名、手机号码。粗略一看，被忽悠的概率挺高的，浏览记录70多条，其中20多人付费。

受害者的Ip地址受害者的Ip地址

为了更全面的收集信息，我把这些受害者的名字和电话地址全部导出保存到电脑桌面，然后继续翻找背景和其他有用的相关信息。

但目前出现了一个新问题——背景中没有与骗子有关的线索。

无奈之下，我点开了改密码这一栏，努力不让骗子登后台，突然发现一条关键信息。

后台管理员账号！

管理员账号肯定有猫腻管理员帐号肯定有猫腻

线索突破

这个账户是英语和数字的组合。一开始我以为它后面的号码是手机号，但是百度发现不是，但是这个账号肯定有问题。

后来通过全网的信息检索，我终于找到了新的突破口——这个诈骗网站后台的管理员账号就是骗子的常用ID

这个ID叫ln164***，从去年开始在各大贴吧频繁活跃，如Tick，沈阳，沈阳滴滴等等。

通过管理员账号我追查到的贴吧ID我通过管理员帐户追踪到了帖子标识

此人关注过沈阳的滴滴。在调查过程中，我遵循了“大胆猜测，谨慎求证”的原则。

所以得出结论，骗子是沈阳人，有可能主业是开钱庄，副业是搞诈骗。

我花了半个小时翻他的帖子。2018年11月有个帖子，他发了个系统截图，泄露了一个微信号。

搜索该微信，发现地区归属确实是沈阳，我计划了一晚上，决定冒险加他聊聊——因为他可能是开滴滴的，所以我用上次坐过他车的借口加他微信。搜索微信，发现该区域属于沈阳。我计划了一个晚上，决定冒险和他聊天——因为他可能是个打点滴的，所以我以上次坐他的车为借口加了他微信。

对方同意后，我就开始装熟人，猜对了。这个人真是挥金如土，估计副业就是诈骗。

很轻松就套到了一个手机号很容易得到一个手机号码

也许他确实忘记了他带了谁，毫无疑问地给了我一个手机号码。

除了得到这个人的手机号码，朋友圈里还有很多有用的信息——比如这个。

入对方发的朋友圈进入对方发的朋友圈

这个朋友圈有很多信息。首先，这个人有老婆。其次，我问一个朋友“老墨查克颜”这个词。他说是沈阳方言。

另外，朋友圈这张图里，有一家网吧叫天润网吧。我搜了下地图，发现沈阳有一家天润网吧，就在白塔街那边。

这附近有四个小区这附近有四个社区

除此之外，离这个网吧几百米外还有四个小区。一般情况下，逛街散步的人不会离家太远，于是我开始得出结论，这个人住在白塔街附近。

在朋友圈找不到信息的时候，我把调查重点放在他的手机号上。搜了一下，发现他注册了一个支付宝。

《阿凡达》是一部与杜有关的书。可能这个大哥想当混混...

支付宝的实名信息是*宁。我输入了一个李字，成功通过验证，也匹配了诈骗网站后台的管理员账号-LN16 * * * * *，前两个字母是李宁的拼音缩写！

这骗子真叫李宁．．．骗子的名字叫李宁...

线索越来越清晰，脑子有点激动。我花了半个小时收集手机号在网上留下的信息。稍微整理了一下，骗子的模糊画像开始逐渐清晰起来。

身份证的彻底破解

因为收集到的信息不足以支持警方抓人，所以我尝试了一种前所未有的方法——详尽地猜测李宁的身份证号码。

这种技术完全可以实现，但是需要足够的时间和信息碎片化。众所周知，身份证号码由四部分组成。

第一段号码为地址码，通过之前的调查，我知道李宁是沈阳铁西人，百度了一下沈阳铁西区的地址码。第一个数字是地址码。通过之前的调查，我知道李宁是沈阳铁西人，百度给了沈阳铁西区的地址码。

第二段号码为出生日期，我在之前对他的调查中已经获知是1991年7月25号。第二段的数字是出生日期，我从之前对他的调查中得知是1991年7月25日。

第三段是性别，奇数男偶数女。

第四段是验证码，验证身份证是否有效。它需要前17位数字来计算。按照我的数学是不可能做到的，所以我就靠一个身份证计算器。

经过上面的穷举计算后，我得到了大概有一千多个身份证号，李宁的身份证就藏在这里边。经过以上详尽的计算，我得到了大约1000个身份证号码，李宁的身份证就藏在这里。

然后通过在线身份证验证ApI界面，在1000张身份证中批量验证了那个叫李宁的人。

我花了两百块钱去核验上千条身份证，肉疼花了200块钱验证了几千张身份证，肉疼

一个小时后，反馈显示只有两个身份证号一致，第一个叫李宁的只有21岁，第二个28岁。

显然，第二个是李宁。

然后，我又用ApI界面查询李宁身份证号的照片，得到了李宁的真实照片。

千万别泄露自己的个人信息，不然身份证容易遭遇爆破不要泄露你的个人信息，否则你的身份证很容易被销毁

在我得到目标的真实身份后，已经是凌晨两点了。我没法洗澡，就赶紧规划下一个思路，写在备忘录里，然后就睡了。

我备忘录写了很多秘密，这种秘密连女朋友都不能看的我在备忘录里写了很多秘密，连我女朋友都看不懂

第二天中午，通过李宁的手机号发现了一些社交账号，信息再次整理。

社会工作图书馆的使用

从李宁的年龄和使用普通ID的习惯来看，社会工作图书馆可能是目前获取更多信息最有效、最快捷的方式。

果然，我通过2008-2017年社会工作图书馆的查询，得到了李宁使用的密码。让我发笑的是，他使用的密码的数字部分，只是他常用ID后面的一串数字。

然后我尝试用李宁的旧密码登录他的QQ号，但是我做到了，而且没有设备锁！

我很快就进入了他的QQ，从文件收集到联系人，翻了个底朝天，在里面我查到了他和一个叫“河边路人”的QQ联系人的聊天内容。

也很遗憾李宁QQ有漫游记录。看了半天，终于想通了河边的路人是干什么的。

他致力于为李宁提供技术支持——假闲鱼网站就是他建立的，包括购买域名和网站空。

滨江路人在这个黑色产业链中的角色被称为“船长”，负责洗钱、脏物分拣、为渔民提供技术支持。

李宁是个渔民——他负责欺骗别人，在闲鱼等二手平台发布低价商品并掉头吸引受害者上钩，然后发送假闲鱼链接进行诈骗。

这笔钱是通过JD.COM、微信和携程等第三方支付平台骗取的。

说白了，我老姨夫从假闲鱼网站给的钱其实是携程卡充值，河边的路人用这张携程卡在专门的交易平台上卖，只需要给一点手续费。

他俩的聊天记录他们的聊天记录

还好我没有顺着Whois查询的线索去追查李宁，不然肯定被牵着鼻子走——因为网站是河边的路人建的，维护的，河边的路人买的域名都是商人买的。

也就是说，初始Whois查询中的*冬梅是商家实名的信息。

他俩的聊天记录他们的聊天记录

综上所述，我重新整理了一下资料，开始调查这位滨江路人的队长，并通过QQ聊天窗口获取了对方的Ip地址，该地址位于江西省南昌市华南市建材市场附近，但不排除他作为Ip代理人进行防御措施。

就在红圈的范围就在红色圆圈里

又过了一天基本确认了河边路人的模糊画像，男，25岁，陈万龙，江西南昌人。

整理到目前为止已经调查过的信息。

而此时，也就是2019年12月25号下午一点，向闲鱼官方申请的披露信息发到了我大舅的手机号上。此时，也就是2019年12月25日下午1点，官方闲鱼申请的披露信息被发到我舅舅手机号。

通过闲鱼透露的手机号，我做了一些简单的搜索，找到了2019年7月在豆瓣发布的卖家帖子——租闲鱼号。

我粗略的扫了一眼，呵呵，这是一个傀儡，或者说这是一个诈骗犯同谋。我大致看了一眼，呵呵，这是个傀儡，还是骗子的帮凶。

这个骗局基本清楚了。渔民在网上购买或租用他人的闲鱼号，发布低价商品吸引受害者上钩，然后通过假闲鱼链接进行诈骗。这笔钱最后是通过第三方平台洗出来的。

2019年12月26日，我收集了渔民李宁、船长陈万龙、出租账户卖家等诈骗网站的证据，并提交给当地警方朋友调查。

而我的老姨夫，我哄骗欺骗，不告诉其他亲戚就偷偷去报案，也给他留下了很长的记忆。

至于那群租了免费鱼的人，不管错不错，从个人角度来说，都是错的。

但是，如果从研究者的角度来看，研究者是没有立场的。我们要做的就是挖掘事件背后的真相，找出案件背后的操纵者。