我们接着上一期《青梅竹马淘宝刷单被骗,我花了2天时间找到幕后凶手-上》继续说,按照常理来讲,我应该直接从淘宝店主开始调查。但是QQ群那个线索太明显,所以没忍住就把对方也顺便摸了个底朝天。
我通过QQ群里卖粉的人,摸清了整个刷单诈骗的流程,并顺利的拿到了诈骗犯的QQ号和手机号。这次,我继续从两个线索入手,试图找出诈骗犯的真实身份,并让对方接受这顿社会的毒打。
我首先查了一下这个171开头的号码,其实我心里已经认定了追查这个虚拟运营商的号码没有意义,但是出于谨慎考虑,我还是检索了一下。结果和我预料的一样,这个虚拟号码没有任何有效信息。
虚拟运营商的实名信息很难追查
之前卖粉人提供给我的QQ,与李琳给我的QQ号是一致的,但是我查了一下这个QQ号的信息,跟我想的一样,是买来的。我提出好友申请,直接就通过了,应该是对方开启了单项好友申请验证,只要有人添加就会直接通过,一般做网络项目的都会这样设置。
我给该QQ发送消息,一直都没有任何回应。
接着我利用了QQ的好友管理器,发现对方的最后一次上线时间显示是一个月以内。也就是说最早一次上线时间至少一个星期以上了,因为如果一个星期之内上线过,会显示一个星期之内,而不会显示一个月以内。
一些藏得比较深的功能有时候作用非常大
我翻了一下这个QQ的空间,最后一条动态发布的时间是2018年8月下旬,内容是一条菠菜推广的信息,基本上每天都要发布5~8条,内容大部分都是菠菜信息。
我根据最后一条动态留下的二维码,扫描之后打开是一个性感荷官、在线发牌的网站,内容你们都懂的。
比较重要的内容我都打码了,不重要的部分就算了,让你们看看也无妨
查了一下Whois,发现实名信息是一个叫做黄*云的人,服务器的IP位于美国。
接着我用这个Whois的邮箱做了一下反查,好家伙,除了性感荷官在线发牌之外,还有名字叫做抖阴、啪哩啪哩等极具特色命名方式的APP信息。但是无一例外的是,他们的IP地址全部都来自于境外。
这个注册商是美国的一家公司
根据这些线索来看,此人目前已知的黑产业务有网络刷单诈骗、菠菜(有可能还有杀猪盘)、传播淫秽色情等。
看来这个小号QQ应该是被弃用了。不过让人不解的是,对方在资料卡中还留了另外一个QQ号,我也不知道他这样的目的是什么。看了一下资料,显示地区是广东茂名。
同时我发现,从李琳发给我的和诈骗犯的聊天记录中,有几段语音,带有明显广普口音。那么我暂且推断诈骗犯来自于广东茂名。
对方的普通话听起来有非常浓厚的广东口音
接下来我打开了这个广东茂名QQ的资料卡,在确认了对方的所有设置之后,我发现这个QQ比较谨慎,什么都看不到。
于是,我发出了好友请求,没一会就通过了。我的目的是让对方给我发一条消息,然后通过活动管理抓取对方的通讯IP地址。所以我问了对方一个问题,顺利的抓取到了对方的IP地址,位于广州市花都区。
获取到对方的IP地址位于广州市花都区
为何茂名的QQ,但是IP地址是广州?带着这个疑问,我开始着手调查李琳刷单的淘宝店铺。
一直以来,我都在围绕社交软件进行调查,却忽视了事件发生的平台。李琳告诉我,他们是在淘宝进行的刷单操作。也是就说,至少给她们提供刷单的淘宝店铺是一条非常好的线索。
我打开了李琳提供给我的那家淘宝店铺,现在在卖女包之类的商品,首页的商品数据看起来比较正常,但是往下翻了翻,就发现下面的商品数据还是很不正常,应该是以前刷单留下的痕迹。
这几个商品数据一看就不正常,当然我不是指的销量,自己细品
还有一点我我不能确定的是这家店铺的掌柜是不是就是刷单的诈骗犯。
于是我找了个借口问了对方一些问题,想套出一些信息,没想到的是对方的自动回复居然还带有微信号,同时对方告诉我发货地是广州,这个发货地与之前广东茂名的QQ号码获取的IP地址是一致的。
自动回复告诉我广州发货,因此我暂且推断此人在广州,当然也不排除异地代发
问题来了,前面推断诈骗犯是广东茂名人,为何现在的IP又在广州花都?如何证实是茂名人在广州?
抛开这个疑问,我直接在对方的店铺下单购买了一单商品。1天之后,我顺利的拿到了对方店铺发来的快递。从商品包装上,显示的发货地址是广州市花都区,看来淘宝店铺的回复并没有说谎。
同时快递单上还有电话号码:182****7639,发件人姓名黄*云。
快递包裹单上面是有发件人的姓名、电话和地址的
这个发件人姓名和前面查出来的Whois实名信息一样。我查了一下这个电话号码,地区归属是广东广州。
我将这个电话号码导入到另外一个手机的通讯录中,打开了QQ的好友通讯录推荐,发现此号码绑定的就是之前的那个广东茂名的QQ。
现在的可以确定此广东茂名QQ的主人就是这个淘宝店铺的掌柜,同时还是菠菜网站的运营者。但是,他到底是不是刷单的诈骗犯,我不敢确定,我总感觉这件事顺利的有点出乎我的意料。
于是,我用这个手机号查询了他的注册信息,在新浪微博和百度贴吧发现了两条非常有意义的信息。
①在一个很奇怪的贴吧(吧名我就不说了,免得你们学坏)里,他发了一条帖子,内容如下。
从帖子的内容我们可以分析出,他在2018年1月来到了广州。
他可能车不太好,所以需要修修,我也不懂,反正我只要线索
②在他的新浪微博中,我又找到了一条动态,晒出了一张火车票,没有做任何隐私打码。从票面信息可以看到,乘车人的姓名与淘宝商家发货人以及Whois的实名信息一致。
这个名字和快递单上的名字一样,还出现了部分身份证号码
同时,从这张火车票上我还拿到了对方的出生年份以及大部分的身份证号码。根据这些信息,我再一次组合出了对方的身份证号码,通过校验接口确认了对方的实名信息。
和之前的做法一样,解析出了对方的实名信息
③在广州吧,对方还发布了一条求租的帖子,出现了一个地名,从地图上看,与之前发货单上面的地址基本在一起。
这篇帖子的时间就在他的火车票前一个星期发出
我发现他有好几个微信号,其中有一个微信的朋友圈内容中,全部都是与黑灰产相关的东西。另外在网上,我还发现他经常做一些诈骗的勾当,所以,根据这些我判断对方肯定是个惯犯。
这次,我必须要带给他一顿社会的毒打。不对,应该是正义的鞭笞。
接下来,我选择了一种最有效,但是对我个人来说又有风险的方式。
还记得前面提到的那个奇怪的修车帖子吗?根据这条内容,我制作了一个BadUsb。
打包之后在包裹里面附上了一张纸条,目的是为了引起对方的好奇。
好奇心害死猫
找了一个在湖北做物流的朋友,跟他说,:“我给你寄个快递,你帮我把包裹重新打包再寄到我给你提供的地址,实名信息和电话用我提供的就行”。这样对方收到包裹会显示是湖北发出来的。
没错,我把包裹寄给了黄*云。做完这一切,接下来就是慢慢的等待。
直到包裹寄出的第3天之后的晚上8点多,我收到了一台设备上线的通知。这说明对方并没有发现U盘的猫腻,这时候我已经拿到了对方电脑的掌控权。
我打开了电脑的控制界面,从摄像头里看到了一张脸。我购买了一个人脸和身份证号匹配识别的AI接口,发现此人和黄*云的身份证是同一个人。
接下来我怕打草惊蛇,并没有操作对方的电脑,对方在玩吃鸡。直到凌晨1点多,发现对方的电脑画面不再变化,猜测是离开电脑了。
我把电脑截了个屏,撕开一盒周黑鸭啃了起来,然后开始看权游第7季。追了7年,终于看到了囧诺和龙妈滚床单,恋恋不舍的结束了龙妈骑龙的镜头,
天太热,从冰箱扒出一根雪糕吃了。
龙妈又开车
看完一集权游,再看对方的桌面和刚才截屏一模一样,没有任何变化,确定对方应该是睡觉了,这时候我才开始操作对方的电脑。
我在他的电脑里面发现了一个超大文件夹,但是打开之后内容是是空的,只有一个bat文件。
打开隐藏选项依然一片空白,你能看出来这里实际上藏了几十个G的文件吗?
这可难不住我,右键-编辑,找到密码,运行之后看到了所有被隐藏的文件。
这可不是系统自带的文件隐藏,手段很简单,但是隐蔽性非常强,一般人根本无法发现
我还发现了一个文本文件,里面记录了他所有的云服务器以及其他软件相关的账户信息。
我甚至在其中看到了他记录的有道云、百度网盘的账户信息。
这个纯属意外,没想到对方的信息是这样存储的
出于好奇心,我登录了对方的百度云盘。嚯,真是个宝藏啊。这家伙看来不光搞刷单诈骗,还搞过菠菜、黄色。
好家伙,看来这个人和我预想的一样,确实是个惯犯,看看这个文件夹都存的是些什么东西。
对方的网盘里全部都是些黑产资料
仅仅是因为正义的原因,我又在他的网盘和电脑里找到了一些不可描述的比较原始的人类图片和视频。我一个都没有下载,真的,你们要相信我。图我就不上了,毕竟单身多年,对着老干妈的瓶子都能让人激动。
再挖下去感觉也没啥意思,保存好相关的资料之后,我给李文杰发了个消息,让他明早来我这,最好开车过来。
第二天一大早,李文杰带着早餐叫醒了我。洗漱完毕,吃完早餐,我把昨天查到的情况跟他说了一遍,接下来就是开着车直奔花都。
在路上,我查了一下之前获取到的IP地址,发现这个IP的出口是一个二级运营商,就是那种承包地区之后运营的宽带。也就是说我只能拿到这个二级运营商的统一出口地址,而没办法获取到用户的实际地址。看来只能实地调查了。
很多城中村都是二级宽带运营商
2个小时,根据快递包裹上显示的地址,我们找到了目标地址,在附近找了个酒店住下了。
拿着对方发货的快递单照片,找到了上面的物流记录查到的快递点,一家从来没听过的快递公司。李文杰正要上前询问,我赶忙阻止了他。
“事情有点不对,从地图上看,那个IP地址离这家快递点的直线距离超过了4公里,而围绕那个IP地址的方圆1公里之内,就有多家快递公司。”
一头是IP所在地,一头是物流公司地址,距离很远
听我我这么说,李文杰反问:“你的意思是说发件人舍近求远发件不正常吗?会不会你是想太多了。管他什么原因,上去问问就知道。”
我说:“还是等等吧,免得打草惊蛇,让我想想。”
这个时候,队伍里有美女的优势就体现出来了。让李琳过去,跟老板娘说手机停机了,能不能让她连下WiFi充个话费,顺便瞎聊打听点消息。
就在她们交涉的期间,我看到一个男的开着一个电动三轮车过来了。赶忙掏出手机里面昨天保存的黄*云的照片,经过反复对比确认,此人就是黄*云。
当时没拍照,但是跟这个车差不多款式
突然,瓢泼大雨从天而降。广东的天气如同更年期的女人,喜怒无常。雨水打在身上是热的,30多度的高温淋热水可不好受,赶忙进了路边一家糖水店躲雨。
我看到黄*云赶忙将三轮车停在快递门口,从坐垫下面拿出一台笔记本电脑,头也不回的冲进了快递店。进店之后,拿着桌子上的茶杯就去饮水机上面接了一杯水,一饮而尽之后跟老板娘打了个招呼便进了门店的后面。
也就不到15分钟的时间,雨势变小了。李琳从对面跑了过来,跟我说黄*云正是快递店的老板。
我们来梳理一下整件事情的脉络。
黄*云花两万一个月租了刁*伟的网络兼职排名QQ群,刁*伟负责保持QQ群的排名靠前。黄*云通过群搜索过来的流量实行兼职诈骗。
同时,黄*云还从事着(至少曾经从事过)菠菜网站,黄色APP的网络黑产业务,这些从对方电脑内的资料就能看出来。
对方信息如下:
我们几个商量了一下,根据目前掌握的线索,这快递店的老板十有八九就是诈骗犯。
于是我们来到了对面的快递店。趁着只有老板娘一个人在门店前面,我掏出驾照,但是没有打开,竖着给对方晃了一眼:“警察办案,有点事情要问你。”
对方一看这架势,有点懵圈。我把大体事情跟对方说了一遍,她没吱声。大概几十秒之后,她站起来往后走,边走边说:“你们跟我来。”
李文杰有点犹豫,我思索了一下,还是跟了上去。
到了后面,黄*云正在刷抖音,抬头看了一眼他老婆,又看了一眼我们几个:“这几位谁啊?”老板娘跟他说道:“警察。”
黄*云将手机放到了一边:“你们问吧。”
看对方情形,很显然我的猜测是正确的。我还在思索呢,对方又说道:“你们是问刷单诈骗的事吗?这事不是我的主意。”
之前,经朋友介绍,他认识了一个从福建过来的哥们。经过几顿酒肉交情,他们之间建立起了‘深厚’的友谊。
后来有一天,福建哥们带了2罐大红袍来找他喝茶,过程中对方说黄*云这里没有茶具,有点遗憾,走的时候把茶叶送给了黄*云,还说下次从老家搞套茶具来送给他。
黄*云一笑了之,没有当真。
谁知道没过几天,那福建哥们真带着一套茶具过来了。这次喝完茶之后这哥们说电脑借用一下,黄*云也没当回事。
后来直到这哥们叫郑*龙。
就跟这个茶具差不多款式
接下来,对方亮出了自己的诱饵,提出了合作实行网络兼职招聘的赚钱方案,只需要黄*云提供淘宝店铺即可。
禁不住利益的诱惑,黄*云被对方提出的方案打动。和之前的刁*伟一样,他只是负责提供一个淘宝店铺。租QQ群的每月两万也是郑*龙提供给他的。
刚开始开店的时候,正好黄*云需要流量,郑*龙需要店铺,于是一拍即合。每一单诈骗黄*云分30%。刷了1个月之后黄*云觉得店铺的流量和数据都起来了,于是终止了和郑*龙的合作。
我又问他菠菜网站和黄色APP是怎么回事,对方的回答完全出乎我的意料,他说那些都不是他做的。
我又问他,网盘里存那么多灰产资料怎么回事。黄*云说网盘他就申请了下过一次游戏,后来速度太慢就再没用过了,现在里面存的什么资料都不知道。
问到这里,我发现黄*云依然不是诈骗犯的主谋。那个菠菜网站的搭建者以及黄色APP的运营者郑*龙才是背后的黑手。
所有网站的Whois实名信息也是盗用黄*云存在电脑的个人实名资料。
打开了黄*云的电脑,我想看从中能不能找到一些幕后黑手的线索。打开了之前存放文件的路径,发现文件内容被删的干干净净,并且写入了一堆垃圾文件进行磁道覆盖。
对方删掉资料之后又存了一堆0KB大小的垃圾文件,用来覆盖原磁道,阻止数据恢复
同时留下了一个叫做‘调查者,点开这个看看吧’的txt文件。文件的创建日期就是我们刚才谈话的时间。
注意看时间,就是我跟黄*云交流的时间
我打开了这个文本文件,顿时傻眼了。
对方比较自信,我竟有点彷惶
对方是如何知道我在调查这件事情,而且抢在我翻阅电脑之前删除了所有的文件内容?细思极恐!
我认真地捋了一下,对方操作的时间刚好卡在这关键节点,说明他掌握了黄*云的动向。我打开了快递店的摄像头管理后台,一切正常,没有发现被监控的迹象。
接着我又认真的检查了一遍对方的电脑,还是没有发现异常。
拿起桌上的茶杯给自己倒了一杯茶,慢慢的喝着,掩饰自己内心的不安。
认真观察了一下,我让黄*云拔掉电脑的电源,关掉WiFi电源,断开摄像头电源。我打开了手机开始扫描WiFi信号,发现室内还是有一个满信号的WiFi。
正常人不会用这种SSID做WiFi信号
我问黄*云是否认识这个信号,他告诉我这个信号很早以前就有了,但是一直连不上,就没管它。
根据推测,这个信号十有八九就是那个叫做郑*龙安装的偷拍或者偷听的设备,而且能够持续供电。
再扫了一眼屋内的电器,看了一眼郑*龙送过来的茶具,发现上面有个假山,上面还有课假树。
我试着搬了一下,假山拿起来之后,在底座上居然有个电源插口,假山的底部同样也有与之对应的电源插口。
当时抬着假山没拍照,就是嵌入式的Type-c接口
检查了一遍,发现假树的树干里面藏了个窃听器,假山里面藏了一块锂电池,能够给设备持续供电。
事情到这里已经全部水落石出,其实从我调查一开始就透漏着诡异。刁*伟当时告诉我,那个手机号码他们并没有通过话,只是对方告诉他的号码,但当时我没当回事。
当我发现刁*伟告诉我的QQ号上面留着黄*云的QQ号码时,觉得有点过于顺利,但是没多想,只当是犯罪分子的侥幸心理。
我问黄*云,和你郑*龙之间是怎么交易的。他告诉我是通过一张银行卡,户主姓名就叫郑*龙。我查了一下银行卡的个人信息,是一个69的老爷子。
很显然,对方郑*龙的身份也是假的。
最后,我检查了店内的摄像头,只保存一个月的记录。但是郑*龙到店已经是好几个月以前的事情了。
至此,我失去了所有幕后黑手的线索。
他为什么要大费周折的来借用黄*云的电脑来实施违法犯罪活动,让我百思不得其解。
同时也让我在很长的时间里有具有强烈的挫折感,也变得很不自信。直到我遇到了我的下一件案子:秦锋女友被裸照胁迫自杀事件。
本期副业项目分享到此结束了,想要了解更多项目拆解,请扫描下方二维码关注巨量副业项目库—每天更新全网最新的网赚教程,加入可永久免费查看下载全站所有资源。
