深扒二手交易平台里隐秘的角落丨大东话安全
一、暗藏陷阱
小白:大东东,刚过完双十一,又迎来了双十二,你参加活动了吗?
大东:购物车的东西秒没,没机会参加。
小白:哈哈哈,我可买了一大堆东西呢。
大东:小白,你可要理性消费,按需购买,别被气氛冲昏了头脑。
小白:嘿嘿,我知道,我买的都是需要的东西,为了节省开支,我还在某二手交易app上买了几件二手货呢!
大东:精打细算啊!不过,我还是要提醒你,二手交易平台的卖家大多是普通个人用户,你在交易的时候谨防上当受骗哦。
小白:啥?二手交易app上还有骗子?怎么回事啊,大东东?
大东:那我就给你讲一个不久前发生的二手交易平台诈骗事件。
小白:小板凳小瓜子已就位!
二、大话事件
大东:这件事情就发生在某个有名的二手交易app上,一位中青年网民老李在某二手交易app上看上了其他用户挂出的一台无人机,二手价格仅为原价的四分之一左右。
小白:我的天,这么便宜?不会是假货吧?
大东:小白,你还挺警觉的,不太清楚市场价的人往往就难以察觉出其中的不对劲。
小白:毕竟我也是资深网购买家了。
大东:于是骗局就从老李打开和卖家的聊天窗口开始了。这位卖家用户称,自己很少上闲鱼,为了方便沟通,让老李直接加QQ聊天。
小白:二手交易app上通常会提示不要离开app进行交易操作,老李这点没注意啊!
大东:加上QQ后,卖家对老李说商品的价格要比二手交易平台上报的更低,自己需要去改下价格。过了一阵子,就向老李发了一个闲鱼的宝贝链接。
骗子的圈套(图片来自网络)
小白:我有种钓鱼网站的预感!
大东:没错。这个链接其实是一个二手交易app的高仿网站,是骗子自己搭建的,买家在里面付的款,会充值到卖家在一个第三方平台的账号里,比如旅游app的礼品卡,最终再提到卖家手里。
小白:也就是说,买家付完钱并不会收到任何商品,而这次买卖在二手交易app上没有任务记录,当买家意识到被骗时也无法向app维权。
大东:你说的没错!
三、深扒内幕
小白:天呐,太坏了!好想把他们揪出来!
大东:有人在你之前做了这件事呢。正巧有一位IT行业从业者小王知道了此事,决心帮老李把幕后黑手给揪出来,也就是我接下来讲的重头戏。
小白:期待!
1)初步调查
大东:小王向老李那里采集了几个关键信息:二手交易平台卖家信息、卖家QQ、二手交易平台的高仿网站。
小白:也是咱仅有的信息呐!
大东:首先是二手交易平台卖家信息,小王利用老李的账号试图申请官方介入,披露卖家的个人信息,但迟迟无果。另一方面,小王对卖家QQ号进行查询,发现该号码的Q龄虽然是9年,但等级却是两个太阳,并且资料基本上是空白的——这几个特征可以推断这是个从号贩子买来的QQ。而那个高仿网站也无法打开了,骗一个人就删掉网站程序,或者定时进行清空数据更换域名,避免警方进行收集信息或证据。
小白:骗子们也是老手啊,调查碰壁了。能查查网站是谁注册的吗?
大东:小王通过Whois查询该网站的注册人相关信息,发现注册的邮箱前面两位被打上了星号,只能得知注册人叫X冬梅。但从对方删站的谨慎程度来看,Whois查询到的信息也很可能同样是假的。
小白:线索都被切断了!
2)入侵后台
大东:但没过几天,事情出现了转机。卖家的二手交易平台突然更新了,一下子发布了好几个商品。小王赶紧联系上该卖家,以购买商品为由顺利钻进他的圈套中。
小白:机会来了!
大东:添加了对方的QQ后,卖家同样的操作套路,果然又发来了新的购买链接。小王获得了对方新的诈骗网站地址,为了避免他们再次删站跑路,就用“等银行卡提现到账”的理由拖延付款时间。你别说,高仿做的还真像。
二手交易平台高仿网站(图片来自网络)
小白:拿到网站了,我们能干点啥?
大东:小王首先尝试使用sql注入的方式入侵该网站,很快就发现不可行,对方做了防御措施。
小白:sql注入是什么?
大东:sql(structured query language,结构化查询语言)是用于访问和处理数据库的标准的计算机语言。sql注入即是指攻击者在web应用程序的文本输入框中,在查询语句前后添加额外的恶意sql语句,若程序在进行数据库查询时没有对语句进行合法性判断的话,就会执行恶意语句,使得数据遭到泄漏。
小白:看来搞诈骗的也要会网络安全才行!
大东:sql注入行不通,小王转而尝试插入XSS恶意脚本。
小白:XSS又是啥?
大东:XSS(Cross-site scripting,跨站脚本攻击)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。举个例子,就是攻击者在评论框输入一段恶意代码,当网站管理员登陆后台查看留言的时候,就会触发代码,执行恶意操作。
小白:厉害了,就像捕鼠夹一样!
XSS注入点(图片来自网络)
大东:过了一阵子,XSS脚本有了反馈,小王获得了卖家的后台链接和一个cookies。
小白:啥是cookies?
大东:你可以理解为网站账号的密码钥匙。
小白:明白!
大东:小王利用一台远程服务器作为跳板,用获取到的cookies登陆进去了此诈骗网站的后台。这个后台功能丰富,不仅能支持生成假链接,还可以操作在二手交易平台一键发布假商品。而上当受骗的买家也不少,在商品的70多条浏览记录里,就有20多人完成了付款。
小白:骗子装备太齐全了,防不胜防!
3)浮出水面
大东:小王打开账号信息一看,登录的是个后台管理员账号。这个账号是“ln164***”,在网上一查,竟还频繁活跃于各大贴吧。
小白:得,从这些信息一下就猜出这个人平时上网的喜好了。
大东:小王也有同样的推测,于是翻找了账号所发布的帖子,在一条2018年11月发布的帖子中,一张截图泄露了一个微信账号。
泄漏微信账号的截图(图片来自网络)
小白:有希望!
大东:搜索该微信账号,确定他的归属地,于是小王心生一计,决定加上他聊聊。
小白:可别打草惊蛇了。
大东:因为此人可能是开网约车的,小王以曾经坐过他车的借口加了账号。等对方同意后,小王开始装熟人,猜的没错,就是位师傅。于是小王以再次约车的理由,拿到了对方的手机号。
套取骗子手机号(图片来自网络)
小白:太好了!
大东:另外在对方的朋友圈内也发现了不少有用的信息——例如下面这条暴露地点的照片。
泄露信息的朋友圈(图片来自网络)
小白:朋友圈暴露的信息太多了。
大东:再调查手机号,通过搜索发现对方注册了一个支付平台账号,实名信息是“*宁”,输入一个李字,系统显示成功通过核验,这正是对上了前面那个诈骗高仿网站后台的管理员账户“ln16*****”中开头的两个字母,就是姓名的缩写!
小白:哇太强了啊!
4)破解身份
大东:因为收集到的信息还不足以支撑警方落地抓人,所以小王尝试将几个线索一一串联起来——穷举猜解李宁的身份证号。
小白:技术真强啊!
大东:根据身份证的4部分组成,可以理由已有信息先拼凑出部分号码。通过之前的调查,我们得知了李宁的所在地区,可以查出第一部分。再根据生日信息填出第二部分。第三段则是性别,男性奇数,女性偶数。第四段则是核验码,核验身份证是否有效,这需要前面17位数字计算得来。
身份证号码组成(图片来自网络)
小白:范围一下子缩小了。
大东:此时只剩下一千多个身份证号可能了,李宁的身份证就藏在这里边。小王利用网上的身份证核验网站,挨个核验这一千个身份证中,叫李宁的人。最终只有两个身份证号是相符合的,第一个叫李宁的只有21岁,第二个则是28岁。
小白:很明显,就是第二个了。
大东:没错。
5)顺藤摸瓜
大东:为了揪出李宁的其他团伙,小王利用“社工库”进行了搜索,得到了李宁曾使用过的密码,并尝试使用老密码去登陆他的QQ号,竟然登录成功了。
小白:有惊喜啊!
大东:经过一番搜查,翻出了一个名为“河边路人”的QQ联系人。分析发现,“河边路人”就是专门给李宁提供技术支持的——假冒二手交易平台的高仿网站就是由他搭建的,包括购买域名和所使用的网站空间。
聊天记录(图片来自网络)
小白:果然挖到同伙了!
大东:“河边路人”在这条黑色产业链中充当的角色叫“船长”,负责洗钱分赃以及给“渔夫”提供技术支持。而李宁就是渔夫,负责的工作内容则是诱骗别人上当,在闲鱼和转转这些二手平台发布低价商品吸引受害者上钩,再发送假冒的闲鱼链接进行诈骗。
小白:分工明确的完整产业链啊!
大东:诈骗过来的这笔钱,是通过第三方的支付平台周转,例如购物app、社交app、旅游app的钱包或卡券。
小白:也就是说,老李被骗的钱,实际上是充值了卡券,“船长”再出售卡券,把钱提现。
大东:综合以上,小王整理信息,对“船长”开始调查,通过QQ聊天窗口的抓包获得了对方的IP地址,基本上确认了河边路人的模糊画像——男,25岁,陈万龙,江西南昌人。
小白:小王厉害啊。
大东:而此时,小王向二手交易平台官方申请的卖家披露信息发到了老李的账号上。通过闲鱼披露的手机号,小王找到了此名卖家在网上发布的出租二手交易平台账号的帖子。
小白:这一步步操作,都是不同人的身份,难怪查起来这么难。
大东:到这里,这场骗局基本上一切明了。“渔夫”通过网上购买或租来别人的二手交易平台账号,发布低价商品吸引受害者上钩,再用“船长”开发的假链接实施诈骗,这一笔钱最终通过第三方平台进行洗白。
小白:为了骗钱也是煞费苦心了,有这本事,干什么不赚钱呀。
大东:最后,小王整理了所有证据,交给当地警察立案调查。
小白:严惩不贷!
四、如何预防
小白:大东东,我好害怕!骗子们为了我口袋的一点钱,大费周章,煞费苦心,这让咱小老百姓怎么防呀!
大东:不要慌,注意几个常见的风险因素:
交付问题。在网购时很可能会遇到产品不能按时交付或者交付的产品根本不是所购买的产品等问题,如果没有验货直接签收,则很有可能无法更换。其次,货物有可能在运送途中丢失,或因异地送货造成商品损坏。
质量问题。购物买到的产品与介绍相差甚远,甚至是假货,这类现象层出不穷。
付款风险。网上购物时,使用不正当的途径付款有可能造成货款丢失,或被人盗取信用卡信息。
隐私风险。网上购物需要填写个人信息,如电话、住址等,这些消费者隐私很可能被人侵犯,卖给一些公司或个人,造成个人信息的泄露。
小白:好的,那我该怎么处理呢?
大东:在网上购物的时候要注意以下几点:
选择正规的网络商店。正规的网络商店都有卖家信誉信息,以及对产品质量的评价、评估等,有助于我们判断商店信誉。
不要回复任何精心设计的紧急邮件。部分买家在购物后仍保持与卖家的私人联络,很可能会陷入不法卖家精心设计的陷阱。
选择安全的付款方式。如今付款方式多种多样,相对而言,第三方担保的付款方式较网上银行支付、汇款等方式更为安全。一旦损失,也可通过第三方追回。
保留交易的凭证。网上购物时,应该注意保存各类交易记录和资料,如电子邮件、聊天记录等证据,以及电子交易单据。注意对贵重的物品进行验收,检查有无质量保证、保修凭证等,同时注意索取发票或收据,以便退货时保障自己的合法权益。
防止泄露个人信息。应使用正规的浏览器和操作系统,对个人计算机要做到及时下载安装相应补丁,并安装杀毒软件,定期杀毒。在聊天时切忌透露个人、单位信息等。
小白:我知道了,老李被骗,就是因为交易时绕开了第三方交易平台!
大东:希望他的例子能给大家一些警示。
小白:一定注意!
参考资料:
1. 如何保护网上购物安全:https://3g.163.com/local/article/FL2270O804398SNN.html
2. 我在闲鱼挖出了一条地下产业链:https://mp.weixin.qq.com/s/I3sjWJZ0o8zXlViFZBsEPQ
3. sql注入:https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5
4. XSS:https://developer.mozilla.org/zh-CN/docs/Glossary/Cross-site_scripting
来源:中国科学院计算技术研究所