记一次网络诈骗追踪过程

2017 年 11 月 7 日 FreeBuf CatchSoul

*本文原创作者:CatchSoul,属于FreeBuf原创奖励计划,禁止转载

本文素材均来源于真实事件,有关细节因隐私问题暂时隐去。事件是近日的某天,一位朋友通过微信联系到我,当时我正沉浸在LOL被坑的苦恼中……

一开始我以为是咸鱼交易纠纷问题,那么这种情况就直接淘宝客服介入就可以解决。但是实际上却是,一个钓鱼网站。

随后我迅速结束了游戏,召集团队成员。然后,一切就从这里开始了……


查证

了解了事情的经过,原来是这位朋友的舍友被骗了,我们暂时称我这位朋友叫R吧,而被骗的人我们一如既往地称为— 受害者。

我先让R去平复受害者的心情,与此同时,最先的建议都是“ 先报警”。毕竟警察叔叔是我们最好的靠山,相信遇到这种事情,无论是安全专家还是像我们这种安全小白,都会将这个作为最优先的手段。

同时也取得第一手资料,也就是那个诈骗的网站,这里就不方便打出来,大概是这样的:

XXXXX是和谐后的地址。这里不方便发出来,先浏览一下,得出一个类似于闲鱼的页面,由于没有截图,就没有图了。首先针对域名进行查询,得出以下结果:

关键信息因为某些原因暂时抹去。服务器IP为直接IP 地址,没有经过CDN,系统是Windows Server 2003,服务器供应商为这个:

打开看了看这个服务器供应商的网页,除了一些客服联系方式外,还有一个大概就是托管的WEB服务管理页面。

与此同时,R已经陪同受害者到当地的公安报案,既然这样,这边也不能就闲着,继续查找相关的证据。

回到域名注册的资料,不能放过任何细节的我们尝试性查询所有资料…

联系邮箱:一个有三年Q龄的 QQ;

联系电话:不存在的,是一个假冒的电话号码。

另外一边帮忙查的小伙伴也在whois上查到一些资料,但是都是注册商的资料,查到一个广东茂名的151 号段电话。但是可以知道,这应该是托管商的号码吧。

既然到这个地步了,感觉从域名与服务器层面应该没有成果,随后返回钓鱼页面去看看有什么信息。

这个为受害者被骗的商品的页面,只能说各种东西都模仿得特别像真实的网站,但是咸鱼跳转到淘宝网不会感觉到诡异吗?

与诈骗商品页面不同的是,诈骗商品介绍页面上部分连接都进行了回源阿里处理,所有连接到连接到正规的网站,笔者尝试对商品介绍处的搜索栏进行XSS,结果发现的是阿里的WAF 

而交易页面(也就是这个页面)的则“粗糙” 了一点,说好的“工匠精神”呢?与此同时,还找到其他商品的交易页面:

所以估计做的坏事还不止这么一件事情,这个时候R告知笔录貌似完毕了,团队也草草把查找到的一点资料(服务器供应商、服务器IP 、服务器类型、可能涉案人员等等)发送给R希望她能够给予警方一点帮助,但被告知不需要,笔者提醒R记得拿警方给出的 “协助调查通知书”(貌似是这个名字)去希望某爸爸、还有服务器供应商,以及后期涉及到的携程帮助。


尝试

笔者询问R究竟是怎么被骗的,R 表示受害者在闲鱼看到一个东西然后就被骗了。虽然很含糊但是起码知道事情的起点是在闲鱼,并向R询问资金的流向。

她表示是走了携程。

携程?携程是什么情况?

于是笔者就收到这个交易清单:

很明显是攻击者方便洗清自己(?)与方便交易受骗的钱,而走了携程网去买了个礼品卡。如图所示,是买了一个2600元的携程礼品卡(任我行)。

那么资金的走向就是这个样子:

正在纠结的时候,团队成员似乎发现了这个网站的一个后台,是一个笔者并不认识的CMS,画面是这样的:

笔者首先使用最简单的绕过登录,但是别人又不是傻,无效。但是总算是到了较为擅长的领域了。

回到假冒的登录页面,如果对于一个普通网民来说还是挺真实的,但是只要打开源码一看就会发现,都是一些调用IMG的连接。

然后就看到了文本框,那么试试?XSS,貌似没什么作用。SQL注入?然后就这样了:

然后笔者就掏出各种工具瞎弄一顿,发现并无卵,正在抱怨自己无能为力的时候,一个自称啥都不懂的团队成员又给出了一个惊喜的信息:

“我靠,炸Cookie了!

他表示在登录的位置构造Payload并在收货地址处进行注入,传参后竟然爆出CMS管理员的Cookie(还在郁闷笔者为什么炸不出来。狗贼!你还说自己不会武功)。

然后就发现了一些信息:

可见这里寄存了一些链接(钓鱼商品链接)以及假冒支付宝登录窗口所掉到的一些支付信息

最后还查到一个可疑的登录IP:

事到如今,可能信息收集到这里就已经没有任何可行的余地了,一切都要看警察叔叔了。我们的能力可能就只能到这里了。然后笔者尝试复现一下案例,但是总感觉有些许不对,线索联系不上。

是谁给受害者发链接的?


后期

笔者立马询问R,她补充了一下,是一个闲鱼卖家给QQ 号给受害者,受害者添加该QQ号后被骗。

R说,这个闲鱼卖家是帮助代挂的,卖家也吓得把所有链接都删了。(看来是一个傀儡吗?)

查询QQ后得出:

如果大家没忘记的话,页面上的地址也是:

这样一来,大概就这这个就是骗子了,也就是攻击者。对方并没有用一个低等级账号去骗人,而是去使用一个创建时间较久,等级较高的QQ号进行诈骗,于是笔者便对案情进行一次整理。由于时间不太清楚,基本还原了一次时间轴:

1. 受害者想购买单反相机一台,便在闲鱼寻找适合的商品;

2. 受害者找到适合的商品,联系卖家,卖家基于一个Q号并声称这是物主,他只是代挂;

3. 受害者添加物主(攻击者)的QQ,并咨询,谈拢价格为 2600;

4. 物主(攻击者)到cms后台修改物品价格为 2600人民币,并发送钓鱼连接给受害者;

5. 受害者点开支付(物品为携程礼品卡,暂不清楚具体细节),后发觉不对,发现受骗;

6. 受害者受骗后R联系到笔者,然后报案;

7. 11月5 号凌晨警方受理报案,案件开始进入侦查阶段;

笔者让受害者去联系携程与阿里,协助帮助。得出结果是携程并不配合表示礼券已被消费,阿里表示需要警方配合调查。

还有一个假冒携程的工作人员想进行二次行骗,公开处刑吧。


总结

总的来说,感觉这2600人民币大概也是泡汤了,算是买个教训。

这是一个很普遍的使用钓鱼网站诈骗的手段,通过模仿真实网站来构建一个钓鱼网站进行行骗,这种手法我们也已经见过两次。这类金额较少的案子,告破率也是很低,至于为什么,可能便是作案成本低、涉及金额少、取证难且成本高。

回想一年前一位安全界大牛在调查这类诈骗案件时说“假如公安不管,我们学网安的人也不管,那么谁去管?”

然后,现在又有另一单了:

真希望你们能提高安全意识……


截止到文章编写前,受害者的资金仍未讨回。我们团队也在私下收到诸多此类的被诈骗、钓鱼的案件的受害者的求助(受限于团队能力 诸多求助皆不了了之)。当然,这种攻击行为也不会因此报案而结束,任何时候都可能有人上当受骗而受到不可言喻的伤害。

至今,此诈骗团队的网站已经更改,或许另一起诈骗案件也已经拉开帷幕…

第一次提交文章,可能有很多技术上的不足,请多多包涵。

*本文原创作者:CatchSoul,属于FreeBuf原创奖励计划,禁止转载

登录查看更多
0

相关内容

携程旅行网 创立于1999年,总部设在中国上海,员工17000余人,目前公司已在北京、广州、深圳、成都、杭州、南京、厦门、重庆、青岛、沈阳、武汉、三亚、丽江、香港、南通16个城市设立分支机构,在南通设立服务联络中心。 成立至今陆续收购和投资:中软好泰、香港永安旅游、台湾易游、驴评网、驴妈妈、订餐小秘书、星程酒店、松果网、古镇网、途家网、鸿鹄顶级旅游、铁友网。

目前业务主要为:机票(国内/国际)、酒店(国内/海外/惠选/团购)、度假(旅游/票务/租车/邮轮)、商旅(企业商旅)、铁友网(动车/高铁)、订餐小秘书(订餐/婚宴)、社区(驴评网)、松果网、古镇网、途家网、鸿鹄顶级旅游、携程自由行杂志
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【浙江大学】人脸反欺诈活体检测综述
专知会员服务
31+阅读 · 2020年4月15日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
专知会员服务
123+阅读 · 2020年3月26日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
奔驰女车主同意和解,舆情分析全事件
THU数据派
10+阅读 · 2019年4月17日
网络舆情分析
计算机与网络安全
20+阅读 · 2018年10月18日
我是一个爬虫
码农翻身
12+阅读 · 2018年6月4日
谈谈用户画像
caoz的梦呓
10+阅读 · 2017年8月17日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Arxiv
4+阅读 · 2018年5月24日
Arxiv
5+阅读 · 2018年3月6日
Arxiv
11+阅读 · 2018年1月18日
VIP会员
相关VIP内容
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【浙江大学】人脸反欺诈活体检测综述
专知会员服务
31+阅读 · 2020年4月15日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
专知会员服务
123+阅读 · 2020年3月26日
相关资讯
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
奔驰女车主同意和解,舆情分析全事件
THU数据派
10+阅读 · 2019年4月17日
网络舆情分析
计算机与网络安全
20+阅读 · 2018年10月18日
我是一个爬虫
码农翻身
12+阅读 · 2018年6月4日
谈谈用户画像
caoz的梦呓
10+阅读 · 2017年8月17日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
Top
微信扫码咨询专知VIP会员