本文素材来源粉丝求助,关于细节方面涉及隐私暂且抹去
事件起因:‘某日公众号粉丝联系到我,在闲鱼被骗了,但该闲鱼网站为钓鱼网站,转账过去后骗子就把他拉黑了’
(该截图为受骗者与我们的聊天记录)
开始调查
整理一遍思路,决定开始从钓鱼网站为线索查下去。
下图为钓鱼网站截图,模仿闲鱼的页面,但域名却很长。
展开全文
通过Whois查询该域名拥有人得到以下信息
姓名:张X
邮箱:privaXXXXXect@foxmail.coM
姓名:张X
邮箱:privaXXXXXect@foxmail.coM
服务器IP为直接IP地址,没有经过CDN,系统是Windows Server 2003
服务器供应商:广州皇都网络科技有限公司
IP:103.195.1xx.xxx[ 香港 广州皇都网络科技有限公司]
公司网址:http://www.gzroyal.cn
服务器供应商:广州皇都网络科技有限公司
IP:103.195.1xx.xxx[ 香港 广州皇都网络科技有限公司]
公司网址:http://www.gzroyal.cn
继续通过邮箱进行Whois反查
查询到的该邮箱注册的域名格式都为:00XXX.CN
新的姓名:王X 李X 李X(女性名字)
看来这是一个团队做的好事,出现了大量00XX格式的域名,可惜都解析失败了。
接着我们对张X进行了联系人反查,得到了一个新的QQ邮箱!
用该QQ搜索了一些,昵称叫‘小刀’
在网上看到该QQ泄露了很多的个人信息
判断:2012年应该在厦门度研究生
虽然找到了他的贴吧帐号,但是很不幸打开页面是404
都是一些没用的信息,貌似遇到了瓶颈了!!
但是挖到了他的支付宝帐号,通过姓名验证确立了姓名的真实度
利用群关系查询该QQ的时候,发现了一个QQ群,可能是他所在地的群,并且是村中的群!!!
一切基本水落石出了。
思路已经很清晰了,从姓名到地址我们已经知道了。
从这个钓鱼网站的做工来看,非常的粗糙,连淘宝的LOGO看着都怪怪的,并且没有授权登录的提示,点击登录之后直接跳转到付款页面。
但是不知为何现在提示非法操作了,点击确定之后跳转到了真实的闲鱼网站。
尝试了一下寻找后台地址,居然...如此简单??但该CMS是我们没有见过的。
然后使用出夏姬八捣鼓一同后台,并没有进展。。
就在愁坏的时候,惊喜出现了!
炸Cookie了!!
该后台截图
在后台查到了一个可疑IP,我们怀疑是钓鱼站的拥有者IP,通过归属地高精准查询该IP,位置在登封市君召乡 结合群关系查询到的QQ群配合无疑了!!就是他!
结合以上信息整理该骗局。
骗子给受骗者发送了一个闲鱼钓鱼链接,因为受骗者想购买一台笔记本电脑,骗子不知从哪了解到,于是添加对方QQ谈价,谈拢之后就转账付款,但是钱并不是转去骗子的支付宝的!而是携程!!!购买携程的礼品卡!这应该是骗子为了洗钱而那么做的吧!
那么资金的走向就是这个样子
以上
我们能力有限,太深入便无法查询。
尽一份微薄之力吧~