注:本文进行了部分细节修改和内容整理,以便于读者更好理解,有任何问题请加本喵微信:lrzry7458
一、事件起因
遇到条老友求助,内容是:老友在 QQ群看到有人在找人淘宝刷单,老哥看了看自己空空如也的裤兜,想小挣一笔佣金.于是加了骗子的QQ号.支付宝扫码下单后找骗子要本钱和佣金,骗子找借口说账号不合格,要再做一单才能返钱,条友想了想不大对劲,就说结了第一单可以再做第二单,然后就没回应了.QQ下线再也联系不上了.
侬队市场工作队整理:
1.骗子发过来的推广二维码
2.骗子要求垫付
3.刷单购买的东西淘宝记录里查不到
4.醒悟过来为时已晚
二、案件分析
我拿到这张商品的推广图片看了下,没什么问题.
然后支付宝扫码进去看了下,页面没啥问题,不过看了下链接.
对的,链接不是淘宝网的,骗子把链接改掉了,套用了其它淘宝店的页面.
大家可以看一下链接,不是淘宝的域名.
三、过程回溯
对该域名进行Whois查询得到以下信息
当然,信息百分之九十可能是假的,但不妨记录下来,于是我通过名字卢卫林进行反查,发现注册了成千个域名
大家看下域名查询图片的右边,这个链接的目的明明白白写出来了大昭天下,太他妈猖狂了.
整理了一下该域名反查到的新的信息
在新的结果中发现一个QQ邮箱,百度搜索下这个QQ邮箱,没有什么有效信息.
无妨,直接QQ搜索这个号码,得到他是卖域名的,这种人,很大一部分是骗子。
看了下下面的动态,很多域名买卖的信息.
点击去一看,哟
有个电话号码和微信
进他的空间看了下.
又有一个QQ号.
去查下空间,嘿,还真有信息.
加个微信看下没啥信息,估计是小号
百度查询15849589735这个号码,知道这是个内蒙古通辽的移动号码.
再百度下18115169590这个号码,江苏南京的电信号码.
搜索结果显示出很多信息
基本上到这,可以猜测这个人姓刘/柳/
2014年入学金陵科技学院,在校区间做过新生电信推广活动,也做过小额校园贷.
于是用那两个手机号去支付宝反查试下
由此可知两个手机号绑定的支付宝账号是同一个人,刘天磊.
头像还用的是自拍照.
照片依旧是打码的,现在还不能肯定骗子就是这个人,只是可能性很大.
综上得出
但是到现在为止没有直接的证据证明这个刘天磊就是骗子,还需要对照具体的地址.
前面骗子的QQ号绑定了一个手机号码181xxxxxx91跟18115169590前后很相似,所以得查出骗子这个绑定号码是多少.
因为18115169590这个号码是南京电信的,有理由怀疑181xxxxxx91这个号码的归属地也是南京.
在这里感谢@小圣 提供了一个查询电话号码的程序,只要知道前后5位和归属地,通过百度号码归属地查询API接口把所有的可能的号码查询出来.
得到的结果是号码中间4位地区代码有112种可能,78位有100种可能,也就是骗子的号码就在这11200个号码里面.
通过excel把这些号码导出成csv文件,我们可以利用QQ同步助手的导入联系人功能,将其导入至云端,之后通过手机端APP同步进手机。
在导入完成之后,我们便可以直接在好友列表下得到其对应的手机号(在已加为好友的状态下),或者通过通讯录添加好友的方式,在众多的新好友中找到对应的那一个,此时,其手机号便是所寻找的。
然后在找个朋友去江苏线下电信营业厅给这个号码交1块话费,单据上就有这个人的姓名了.如果名字一样,那就可以断定这个人就是骗子.如果不是,还有其他办法可以确定.
下午我找小号去添加骗子QQ,正好用手机挂线.
点个视屏通话,果不其然被拒绝了.
不过没关系.
利用wireshark抓取对方的ip地址,因为手机挂Q的特性IP都是就近分布在最近的机房,得到的IP地址显示地址就在南京的一个数据中心,基本上可以确定骗子的地址就在南京市.
通过IP地址查询
如果是电脑上Q,抓取的IP地址可以精确到街道门牌号这个级别.
后续是报警还是威胁骗子退回money那就看个条老友怎么想了.
今天的分享就到此为止.
有任何疑问可以回帖醍醐或者加V:lrzry7458
网友评论