9天时间，我在闲鱼挖出了一条肮脏产业链

　　来源：我会永远在你身后，ID：LingYunKG
　　转载请标明出处
　　因为平常干的事比较特殊，所以我微信上加了挺多的警察，有时间会跟他们一块聊聊技术，分析一些案件。
　　2019年12月15号，有个警察老哥跟我聊了聊二手平台诈骗的事，两天后，我回了趟家，跟家里的亲戚闲聊的时候，得知我老舅，在闲鱼上买了台无人机，被骗了三千块。
　　这事真挺巧的，刚聊完，亲戚就被骗了
　　我跟老舅聊了十几分钟，才给听明白到底怎么一回事。
　　我老舅这人，年纪虽然有点大，但比较喜欢接触年轻人的事物，三天前，他从闲鱼上想买台无人机，然后看到大疆精灵4Pro只卖2600，他也不懂市面价——这价格就算是二手的也不可能有。
　　然后就被对方骗了，这个骗局是这样的——
　　它主要不是卖假货，而是骗子故意发布低于市场价很多的商品，然后说自己很少上闲鱼，没回复就加他QQ或者微信。
　　或者干脆说是给朋友挂闲鱼卖的，具体让买家联系他朋友，同样也是留下一QQ或微信。
　　不管用啥借口，最终都是诱骗你添加他们的QQ或微信
　　当买家加上QQ或微信后问价，骗子报的价格都会比原来挂闲鱼的价格少点，例如少一两百，然后就说自己去改下价格，完事了就发你一个闲鱼的宝贝链接。
　　而这个链接其实是一高仿闲鱼APP的网站，是骗子自己搭建的，你在里面付的款、会充值到第三方平台，最终转到骗子手里。
　　这笔钱是充值到的是携程礼品卡上
　　我听明白这事后，问老舅，报警了没有。
　　老舅说不报——跟大部分的中年人一样，被骗钱怕丢脸，不去报警，其实很多的时候钱是能追回的，但他们就不乐意。
　　我又劝了一会，实在劝不动，就让他把那骗子的信息发过来我看看——接近年底，骗子开始冲业绩，这事写骗稿子估计挺有看头的。
　　既然骗局的实施方法已经明确，接下来要做的就是整理初步已有的信息，制定调查计划。
　　从我舅那得到以下信息
　　1.咸鱼卖家信息
　　2.卖家所谓的朋友QQ
　　3.假冒闲鱼的网站
　　首先是闲鱼的卖家信息，这一点我无从查起，在闲鱼上申请官方介入，提交截图和订单号等所有相关信息，申请披露该卖家的个人信息。
　　另一方面，我查了一下卖家所谓的朋友QQ，发现该号码的Q龄虽然是9年，但等级却是两个太阳，并且资料基本上是空白的——典型的从号贩子买来的QQ。
　　典型买来的QQ
　　除了QQ号没进展，那个假冒闲鱼的网站也是如此。
　　在我舅发现被骗的第二天，该网站就已经无法打开，我猜测应该是骗子在打游击战，和做色情网站的人挺相似的。
　　骗了钱，网站立马给删掉了
　　骗一个人就删掉网站程序，或者定时进行清空数据更换域名，避免警方进行收集信息或证据，这些都是他们常用的手法。
　　我通过Whois查询该网站的注册人相关信息，发现注册的邮箱前面两位被打上了星号，只能得知注册人叫X冬梅。
　　从对方删站的谨慎程度来看，想必Whois查询到的信息同样是假的，所以我放弃掉域名注册人信息这条线索，可目前所有的线索也全断了，想往下深入调查也找不到切入点。
　　这事直到第三天中午才出现转折——卖家的闲鱼账号一下子发布了好几个宝贝。
　　骗子的闲鱼更新了商品
　　我赶紧联系上该卖家，以购买无人机为由顺利钻进他的圈套中——大疆精灵谁TM卖2千块，不是傻子就是骗子，但现实是，现在这年头骗子比傻子多。
　　添加了对方的QQ后，我询问价格，对方说两千，比闲鱼的要少一百块，让我稍等一下，他去改价格，等了几分钟，对方发过来一条链接。
　　获得对方新的诈骗网站后，为了避免他们再次删站跑路，就用等银行卡提现到账的方式拖时间。
　　我顺理成章钻进了他的圈套
　　打开该假冒网站，发现模仿的真的挺像的，如果我不是提前知道这是假的，估计也会当真。
　　一眼看去是不是没看出真假
　　跟这网站里转了一圈，尝试用Sql注入的方式入侵该网站，很快就发现不可行，对方做了防御措施——看来搞诈骗的也要会网络安全才行。
　　但是在填写收货地址的那一栏中，我发现是可以插入XSS恶意脚本的。
　　大概解释一下啥是XSS，通俗点来说，我可以利用一段代码插入到目标网站中，例如网站的评论中，当网站管理员登陆后台查看留言的时候，就会触发XSS脚本，就像捕猎时放的陷阱一样。
　　在收货地址中插入XSS后，便开始等待鱼儿上钩，这个过程是比较期待的——头次用如此猥琐的进攻方式。
　　收货地址那可以插入XSS恶意脚本
　　2019年12月23号晚上九点五十九分，XSS脚本有了反馈——对方上钩了，我获得了他们的后台链接以及一个Cookies。
　　我并没有贸然进行登陆，而是通过一个肉鸡服务器作为跳板，打开火狐浏览器，利用Hackbar插件将该Cookies登陆进去了此诈骗网站的后台。
　　我获取到的Cookies，也就是密码钥匙
　　对于闲鱼诈骗，我并不陌生，早在2017年就已经存在，当时也入侵过，不过那时候的后台很简陋——基于一个不知名的CMS系统去改的。
　　而我现在入侵的这个后台，应该为今年最新的系统，里边多了很多功能，例如支持发布闲鱼和转转平台的假链接，并且可以通过一键采集的方式发布假商品，这让我不得不感叹。
　　假冒闲鱼网站的后台
　　＂骗子也TM讲究使用体验和方便！＂
　　在该后台中是可以看到浏览商品的受害者IP以及他们填写的收货地址姓名手机号，我粗略的看了下，上当概率蛮高的，一共七十多条的浏览记录，其中有二十多人付了款。
　　受害者的IP地址
　　为了更全面的收集信息，我将这些受害者的姓名电话地址统统导出保存到电脑桌面，随后继续翻找后台等有用的相关信息。
　　但目前面临新的一问题——后台当中并没有关联到骗子的相关线索。
　　无奈下，我点开修改密码的那一栏，打算不让骗子登这后台时，突然发现一个关键的信息。
　　后台管理员账号！
　　管理员账号肯定有猫腻
　　这个账号由英文+数字相结合，一开始我以为后面的数字是个手机号，百度了一下发现并不是，但这个账号绝对是有问题的。
　　后来我通过全网的信息检索，终于找到一个新的突破口——这个诈骗网站后台的管理员账号，是骗子的常用ID
　　这个叫ln164***的ID在去年开始频繁活跃于各大贴吧，嘀嗒吧，沈阳吧，沈阳滴滴吧，等等。
　　通过管理员账号我追查到的贴吧ID
　　此人关注了沈阳的滴滴吧，在调查的过程中我是非常遵守＂大胆猜测，小心求证＂的原则。
　　所以断定骗子为沈阳人，可能主业是开滴滴，副业是搞诈骗的。
　　我花了半小时翻找了他所发布的帖子，2018年11月有条帖子，他发了张系统截图，里边泄露了一个微信号。
　　搜索该微信，发现地区归属确实是沈阳，我计划了一晚上，决定冒险加他聊聊——因为他可能是开滴滴的，所以我用上次坐过他车的借口加他微信。
　　等对方同意后，我开始装熟人，果然被我猜对了，这人真就是开滴滴的，估计副业就是搞诈骗。
　　很轻松就套到了一个手机号
　　可能是他确实忘了都载过谁，没过多怀疑就给了一个手机号我。
　　除了得到此人手机号，另外在朋友圈内也发现了不少有用的信息——例如这条。
　　对方发的朋友圈
　　这条朋友圈信息量挺大的，首先这人是有老婆的，其次＂老么磕嚓眼＂这词，我问了一朋友，他说是沈阳的方言。
　　另外这条朋友圈的图片，里边有家网吧，名字叫天润网吧，我在地图搜索了一下，发现沈阳就一家天润网吧，在白塔街那边
　　这附近有四个小区
　　而且这家网吧附近几百米的地方一共有四个小区，一般人逛街散步正常情况下是不会离家太远的，所以我开始下定论，此人居住的位置就在白塔街附近。
　　当朋友圈内再无发现任何信息后，我将调查方向放在了他的手机号上，通过搜索发现，他注册了一个支付宝。
　　头像是一本书，跟杜月笙有关的，可能这大哥比较想当黑帮...
　　支付宝的实名信息是*宁，我输入一个李字，成功通过核验，这也对上了那个诈骗网站后台的管理员账户——ln16*****，开头的两个字母，正是李宁的拼音缩写！
　　这骗子真叫李宁...
　　线索越来越清晰，我脑子有点亢奋，又花了半小时搜集该手机号在互联网遗留的信息，稍加整理后，骗子的模糊画像开始渐渐变得明朗起来。
　　因为收集到的信息还不足以支撑警方落地抓人，所以我尝试了一个从未试过的办法——穷举猜解李宁的身份证号。
　　这个技术是完全可以实现的，不过需要依靠足够多的时间和信息碎片，众所周知身份证号一共有4部分组成。
　　第一段号码为地址码，通过之前的调查，我知道李宁是沈阳铁西人，百度了一下沈阳铁西区的地址码。
　　第二段号码为出生日期，我在之前对他的调查中已经获知是1991年7月25号。
　　第三段则是性别，男性奇数，女性偶数。
　　第四段则是核验码，核验身份证是否有效，这需要前面17位数字计算得来，按照我这种数学渣是不可能完成的，所以依靠了一个身份证计算器。
　　经过上面的穷举计算后，我得到了大概有一千多个身份证号，李宁的身份证就藏在这里边。
　　再通过网上的身份证核验API接口批量核验这一千个身份证中，叫李宁的男人。
　　我花了两百块钱去核验上千条身份证，肉疼
　　一个小时后，结果反馈只有两个身份证号是相符合的，第一个叫李宁的只有21岁，第二个则是28岁。
　　很明显，第二个才是我要找的李宁。
　　随后我再次利用API接口，查询李宁的身份证号对应的大头照，获得了李宁的真实照片。
　　千万别泄露自己的个人信息，不然身份证容易遭遇爆破
　　在得到目标的真实身份后已经是凌晨两点，我顾不及洗澡，赶紧计划了一下接下来的思路，把它写在备忘录里，后便到头大睡。
　　我备忘录写了很多秘密
　　第二天中午，通过李宁的手机号陆续挖掘到一部分的社交账号，再次进行信息整理。
　　从李宁的年龄以及用常用ID的习惯来看，社工库可能才是当前最有效且快捷获得更多信息的办法。
　　果不其然，通过2008年到2017年之间的社工库查询，我得到了李宁曾使用过的密码，让我笑出声的是——他曾使用的密码数字部分，正是他常用ID后边的那串数字。
　　随后我尝试使用李宁的老密码去登陆他的QQ号，我靠！居然登上了，还TM没有设备锁！
　　我赶紧进去他的QQ里面翻，从文件收藏到联系人，翻了个底朝天，其中翻出了他跟一个叫＂河边路人＂的QQ联系人聊天内容。
　　也得亏李宁QQ有漫游记录，看了大半天，我终于琢磨了河边路人到底是干嘛的。
　　他是专门给李宁提供技术支持的——假冒闲鱼的网站就是由他搭建的，包括购买域名和所使用的网站空间。
　　河边路人在这条黑色产业链中充当的角色叫：＂船长＂，负责洗钱分脏以及给渔夫提供技术支持。
　　而李宁则是渔夫——所负责的工作内容则是诱骗别人上当，在闲鱼和转转这些二手平台发布低价商品吸引受害者上钩，再发送假冒的闲鱼链接进行诈骗。
　　诈骗过来的这笔钱，是通过第三方的支付平台，例如京东，微信，携程的一些接口。
　　说通俗点就是——我老舅从假闲鱼网站上给的钱，实际上是充值了携程点卡，河边的路人利用这个携程的点卡在专门的交易平台上出售，只需要给出一点手续费就行。
　　他俩的聊天记录
　　也幸亏我没顺着Whois查询那条线索追查李宁，不然绝对被牵着鼻子走——因为网站的搭建和维护都是由河边路人去完成，而河边路人购买的域名都是从商人手上买过来的。
　　也就是说，一开始的Whois查询中的*冬梅，就是商人实名的信息。
　　他俩的聊天记录
　　综合以上，我再次整理信息，对这个河边路人的船长开始调查，通过QQ聊天窗口的抓包获得了对方的IP地址，位于江西省南昌市华南城建材市场附近，但不能排除他作了IP代理的防御措施。
　　就在红圈的范围
　　又花了一天时间，基本上确认了河边路人的模糊画像，男，25岁，陈万龙，江西南昌人。
　　再次整理目前所调查到的信息。
　　而此时，也就是2019年12月25号下午一点，向闲鱼官方申请的披露信息发到了我大舅的手机号上。
　　通过闲鱼披露的手机号，我进行了一些简单的搜索，找到了此名卖家在2019年7月份发布在豆瓣的帖子——出租闲鱼号。
　　我粗略的扫了一眼，呵呵，这是一个傀儡，或者说这是一个诈骗犯同谋。
　　这骗局基本上一切明了，渔夫通过网上购买或租来别人的闲鱼号，发布低价商品吸引受害者上钩，再通过伪造的闲鱼链接实施诈骗，这一笔钱最终通过第三方平台进行洗白。
　　2019年12月26号，我将诈骗网站后台的证据进行收集，包括渔夫李宁，船长陈万龙，出租账号的卖家，一概提交给所在地区的警察朋友立案调查。
　　而我老舅，被我连哄带骗，瞒着其他亲戚偷偷去报了案，也算让他长个记性吧。
　　至于出租闲鱼号的那群人，到底有没有错，站在个人角度来看，有错。
　　但如果站在调查者的角度中看待，调查者是没有立场的，我们要做的就是挖掘事件背后的真相，揪出案件背后的操控人。