*本文所述为真实求助改编而成,为避免信息泄露,文中所有涉及的人名、住址均为虚构,如有雷同,纯属巧合
我见过很多奇奇怪怪的人,特别是做黑色产业的,但他们仅仅专注一件事,而这次遇到的这人,副业很多——帮小偷解锁脏机,勒索要挟,给女生修手机还装木马监控,搞黄色网站。
这事有很多牵连,我不想给别人联想到我,所以这件事我会修改隐去某些细节,以及事件时间是我编的。
案件起因:裸照勒索案
调查时间:2019年4月3号
结束时间:2019年4月10号
2019年4月3号,我的金主大熊给我打了一电话,他说有件事想找我帮忙调查,让我出来见面聊。
大熊是开侦探所的,他搞不定的案件会甩手给我做,也是教我实地调查的一位师傅。
我想了想,和他约定好时间地点后,打车到老地方附近的街上瞎逛了一会,然后找了家店随便吃了点东西,看了眼时间快八点了,我起身往约定的低点走去。
在我俩常去的地后,我见到了坐在靠窗位置的大熊,他站起来冲我招了招手,快一个月没见,还是人如其名,等我走近的时候才发现,坐大熊对面还有个穿白裙子的女生,我有点疑惑——没听他说过带朋友来
大熊等我坐下后,开始跟我介绍坐对面的女孩。
大熊带来的姑娘是他表妹,叫李梦,她有件事想找我调查,不知道接不接。
我让他先说事,这样才能知道在不在能力范围内。
大熊说这事是这样的——4月2号,李梦收到一条短信,短信里有张李梦裸体自拍的照片,那人跟李梦要10万块,4月10号当面交易,不然就把这些照片传到网上。
这事大熊他也查过,给李梦发勒索短信的手机号是一张黑卡,查了大半天,实在不知道从哪下手,就想到了我。
我让李梦把短信给我看一下,李梦把手机递过来后,我看了眼手机号,果然是黑卡——170的手机号属于虚拟运营商,因为实名制监管不严,很多搞黑产的人特爱用别人信息实名。
李梦收到的勒索短信
我想了想和李梦说:“这事你得报警,找我没用。”
李梦说她不敢:“那人有我的真实信息,我报警他肯定会传到网上,我就没脸活了。”
我低着头用手指敲着桌,大家沉默了好一会后,我才抬起头问李梦:“照片泄漏的源头知道吗”
李梦说不确定:“我的照片存在另一台苹果手机里,那台手机早几天被偷了,可手机设置了密码,别人也拿不到呀。”
我摇摇头说不一定:“有人专门给小偷解锁手机密码的,这都成了一条产业链了。”
我想了想,继续问李梦手机被偷后有没有收到一条短信,说你的手机定位到了,让你点开短信里的链接登录查看位置。
李梦点了点头,翻出短信递给我看
我仔细看了眼短信里的链接,和李梦说:“这是条钓鱼短信,你仔细看短信里面的链接,是模仿苹果官网的,你当时在这钓鱼网站登录的密码,小偷都一清二楚。”
钓鱼短信,别在里面的链接登录帐号
“所以勒索你的人,应该是小偷或者这个钓鱼网站的搭建人。”我靠在椅子上吸了一口气对李梦说
说到这,李梦像看到希望一样,大熊立马开口问我:“这事接吗”
我问李梦,她能出多少钱,大熊替她回答:“2万块,她刚毕业没几年,不够的话我补给你。”
我跟他比了一个OK的手势:“一周后给你答复。”
和李梦互换了微信,我就找个理由开溜了,大熊把我送到门口,我转过头笑嘻嘻的问他:“难得见你肯帮别人付钱啊”
大熊笑了笑,没应我,反而从公文包里拿出一个档案袋,和我说里面有三千块定金,等这事解决了再给尾款,还提醒我要尽快——李梦爱面子,要真发到网上估计她没法活了。
搞的跟香港电影里不见得光交易一样
我让他少看点香港电影,别搞得像非法交易一样,大熊拍了拍我肩膀,又提醒我一次:“尽快办妥啊,很急。”
回到家后,我发了条微信给李梦,让她把勒索短信的手机号和钓鱼短信发过来。
给李梦发勒索短信的手机号应该属于黑卡,但宁可杀错不放过,我还是查了查机主的信息。
我用常用的手段都查了一遍该号码,发现这张卡并没有在网络上遗留过痕迹,百度了一下该手机号,得知该卡是一个叫“远特通信”的运营商。
我搜索了一下这个运营商的官网,通过社工客服拿到了该手机号的机主姓名,以及开卡的时间。
通过开卡的时间可以判断出,这人是专门为了勒索而开的卡,至于开卡人的姓名,肯定是假的,再往下查就没有必要了,无奈下只能把调查方向转移到钓鱼网站上
我打开李梦发来的钓鱼链接,发现做的跟苹果ID登录官网一模一样,但仔细去看还是能发现破绽——除了登录的按钮能点,其他的都不能,并且网址和苹果ID的官网也是有着差别的。
钓鱼网站
先通过Whois查询该钓鱼网站注册人的信息,得知网址注册商是西维数码,注册人叫吴财,看起来很缺财,注册邮箱:90******@qq.com
Whois查询
再通过邮箱反查注册了哪些域名,结果让我大吃一惊——该邮箱注册了35个域名,而这些域名的格式都是仿造苹果官网的,看来对方是专门干这行的。
他还注册了很多个钓鱼网站
利用该QQ号作为关键词,检索在网上遗留的信息没有任何的发现,似乎这是一个小号,专门用来做钓鱼网站的,我搜索了这个QQ号码,发现不像是小号——Q龄和等级呈现一个正常的状态。
紧接着我去了QQ安全中心选择忘记密码,查看绑定该QQ的手机号,发现同样是170开头的号码,目前的情况来看,基本上可以确认钓鱼网站开发者和勒索李梦的人应该是同一人所为。
绑定的手机号也是170开头的号码
综合以上情况分析,勒索者非常谨慎——QQ号应该是买来的,绑定的手机号和发送勒索短信用的手机号同样为黑卡,这些都无从查起,只能另找出路。
我上了趟厕所,顺便抽了根烟,出来之后我决定利用社会工程学对域名商发起攻击。
在以前遇到的苹果手机盗窃案中,我尝试过社工客服,但每次都以失败告终,这一次我把攻击目标转移到域名经纪人代购上——专门给人代购已经被注册的域名
4月4号,我联系上了域名经纪人后,开始诉说我的要求。直到当天中午11点,域名经纪人说试试看看能不能联系上,晚上10点她答复我:“联系不上域名拥有人”
为了让她相信我,我开始编造故事去欺骗她,最终域名经纪人给我发来了一个QQ:“这是域名拥有人的帐号,您去联系他吧。”
我开始反查这个QQ,但勒索人太过于谨慎——该QQ同样为小号,QQ安全中心选择忘记密码发现绑定的手机号同样为170的黑卡。
我想了很久,目前出现的所有信息都仅仅是表面信息,而这表面信息还被处理过了,现在只剩下最后一条路——入侵钓鱼网站后台。
讲真,我已经很多年没入侵过网站了,关于渗透的思路已经跟不上时代,我开始去各大论坛参考其他大佬的思路,酝酿了一个下午后,再次整理通过初步刺探获取到的信息,计划下一步的入侵。
我先检测了一遍钓鱼网站的链接,可以判断出属于PHP类型的网站,而我以前收集了很多国内CMS的后台排列规则路径,大概花了半个小时,我成功的找到了钓鱼网站的后台。
钓鱼网站的后台登录页面
看到这后台我一下子就乐了,正愁着破解密码的事,没想到这网站后台登录居然没有验证码防御机制——没有防御机制就可以选择暴力破解。
其他社交的验证码防御机制
而这网站没有这些防护机制,我可以使用暴力破解方式以达到入侵网站的目的,我再次使用了字典生成工具。
这会我用了市面上好几个密码生成工具,填写了目前已知勒索者的所有信息后,工具给我列举了大概几百个密码,再利用脚本一键登录逐一尝试这些密码哪个是对的。
密码分析工具生成的密码字典
4月7号上午9点多,我回到电脑前查看结果,而数据反馈的结果让我哭笑不得——后台登录帐号是系统默认的“admin”
而密码却是“admin337******”后面的数字正是社工域名经纪人得来的QQ号。
不确定后台登录是否会记录下我的IP地址,谨慎起见还是挂了代理登录了后台,在功能栏里有个“登录日记”我一下子就笑了,这不是暴漏自己的行为嘛!
我查看了最近登录后台的日记,发现除了我的代理的IP,还有一个IP地址在4月6号登录过后台的,应该是勒索者无疑了!
钓鱼网站后台记录了登录IP
通过第三方的IP查询接口,查询该IP地址,最终把勒索者的位置锁定在深圳福田区华强北。
深圳华强北
我继续翻找钓鱼网站后台,没想到发现了一个更大的惊喜——在后台里可以设置收信的邮件,当受害者在该网站上填写自己的苹果ID密码后,这些密码会自动发送到以下的邮件里。
收信和发信邮件
而发信邮箱密码一栏中的密码经过了加密,我查看了网页源代码笑的更开心了,居然在源代码里能看到密码是通过明文显示出来的。
此刻的我犹如沙漠里发现水源一样,我赶紧登录了他的163邮箱,在里面看到了多达500多封的邮件。
接收苹果ID密码的邮箱是绑定了手机号,但不以明文展示出来,而是加密过的,并且在账户管理也没能发现显示全部的数字,但起码不再是170的手机卡了,目前已经可以确认这个163邮箱为勒索人常用的邮箱。
我在翻查邮箱的时候,无意发现最后一页有封圆通快递的邮件,并且显示了单号。
紧跟着,我在圆通官网查询了该邮箱,一共获得两个信息,签收人叫吴磊,派件地点是福田区——华强北正是位于福田区。
我再次整理目前的信息,剔除了一部分的假信息,并且开始调查钓鱼网站后台的另一个邮箱——用来发信的QQ邮箱。
检索该QQ号码,我在一个深圳电子论坛发现他的踪迹——二手苹果6,无锁国行,发布时间正是今年的3月份,我想这会是一个很好的突破口。
查到他在今年3月份发的帖子
我添加了他在论坛上留下的QQ,以买手机为由接近他。
4月8日上午,他同意了我的好友请求,我和他聊了聊,约好在下午当面交易,并且他很谨慎——只告诉我,到了华强北后给他打电话,具体位置不说。
我和他的聊天记录
我通过他留下的手机号,搜索支付宝帐号,发现实名信息和快递的信息对得上——他叫吴磊。
目前种种线索都指向叫“吴磊”的男人,我整理了目前的信息,决定在现实中接近他。
下午三点,我来到了深圳华强北,在华强北附近逛了逛,打算熟悉周围环境,突然有个老头在旁边拉住了我,我给吓了跳,问他干嘛,他拿出一张广告纸,问我要不要偷拍器——可能看到我在左顾右望,以为我来旅游的想坑我。
这种大部分都是宰游客的
我连忙摆摆手,说不用,然后就去了附近的一家肯德基里——给大熊打个电话,把现在调查到的情况跟他讲了一遍,让大熊来这见面聊。
这事关乎到他表妹,大熊异常的上心,没等半小时就风风火火的赶了过来,等他坐下后,我把目前查到的信息都告诉他:“勒索你表妹的人叫吴磊,就在华强北这,待会我跟他见完面后,你就在后边跟着他。”
大熊点了点头,说行,让我现在就联系吴磊,约他出来。
我嗯了一声,随后给吴磊打电话,问他人在哪,说我到华强北了。
吴磊在电话里问我在哪个地方,穿什么衣服,身上有没有明显特征,我把这些信息都告诉他后,没过多久就有个穿一身黑衣服挎着单肩包的中年男人向我走来。
这是吴磊
我客气的和他打了个招呼后,吴磊从单肩包里拿出好几台手机,让我挑。
我问他这些手机质量不会有问题吧,吴磊让我放心:“老板,这些机器都是没有质量问题的。”
我说成,从吴磊手里随便选了一台,开机看了下,发现手机确实没什么问题,把钱给了吴磊后,我假装往回走,转过头的时候冲不远处站着的大熊打个暗号——把手放肩膀上,让他跟上去,这是他教给我的。
在等大熊给我回信息的时候,我通过CTIA的网站,查询刚从买来的手机IMEI信息,发现网站返回的结果是True——这个数据反馈的意思是,该手机曾经开启过“iPhone丢失查询”。
查询网站
所以吴磊手上卖的手机,很有可能是脏机。
正准备把这件事告诉大熊的时候,他也给我发了微信,说跟踪吴磊到了一家手机维修店,店主就是吴磊。
类似这样的店铺,图片来自网络
我和大熊汇合后,把刚刚手机的事跟他讲了一下:“目前所有证据都指向了吴磊,咱们待会还得跟着他,找到确切证据。”
下午五点半,吴磊从他的店里走了出来,大熊立马跟了上去,我犹豫了一会没跟上去,怕他认出我,直到6点多,大熊给我打了电话,说吴磊住在华强花园,让我打车过来。
华强花园
在华强花园门口看到大熊后,我准备往里走的时候,大熊问我干嘛去,我说:“既然他是钓鱼网站的开发者,家里肯定是有电脑的,所有的秘密估计就藏他家里,我上去找机会,劫持他家WIFI拿更多信息。”
大熊摇摇头,说别:“你要看他电脑对吗?”
我嗯了一声:“他干违法事的证据肯定在电脑里。”
大熊一脸神秘,让我明天早上十点还来这等他,我点点头,没多问。
4月9号,上午快10点,我在附近随便吃了顿早饭后,就赶去和大熊回合,正纳闷大熊怎么还没来,他就给我发微信,让我去4号楼1单元找他。
我俩站在吴磊家的门外,大熊拿出隔墙听在门口听了一会,确认屋里没人后才放下来。
台湾F-99B隔墙听,我的最爱
转头从背包拿出一套开锁工具,折腾好一会,就把门给开了,让我多学多看:“这才是高效率办事方法。”
大熊用的开锁工具跟这个差不多
我站门外呆立了好一会,给他做了个666的手势:“牛逼啊,大哥。”
大熊踢了我一脚,让我小点声,进到吴磊家里后,我在他的卧室找到一台电脑,我迅速翻查了一遍电脑里的文件,找到一个以ABC命名的文件夹,点开之后我吓了一跳——里面存了很多姑娘的裸体照片,从拍摄角度来看,肯定是自拍的。
李梦的照片信息也在里面
不仅如此,还有他跟踪拍摄女生的照片,除此以外每个文件夹里都有个文本信息,里面标注了每个姑娘的真实信息,姓名,联系方式,住址。
吴磊跟拍的姑娘
我把这些照片都转存到U盘后,刚准备离开的时候,桌面的右下角弹出一条信息——你的用户以下线。
我好奇的点开看了眼,没想到这是一个用来控制别人手机的木马工具,里面有三台手机在线的,我分别都查看了三台被控制的手机摄像头——都是女生
吴磊电脑里装的木马工具,这图是事后找了软件拍的
大熊也在边上看到了,张嘴就是一句操他妈:“这孙子是个变态?监控别人干嘛。”
我摇摇头说不确定,把吴磊控制的这些女生手机信息保存后,大熊问我:“我表妹的照片不删吗?”
我说这样会被发现的,然后往吴磊的电脑里装上我的隐藏木马:“暂时不用,我怕他发现电脑被人动过,而且我在他电脑里装了个木马,如果这事超出控制范围了,我就把他电脑的数据全部清空。”
而且光是他干的这些事,我觉得也够他喝一壶了。
我俩离开吴磊家后,在一家茶饮店里坐着,大熊问我接下来怎么做。
我和大熊说:“先确定吴磊电脑里这些女孩的信息是怎么来的。”
于是我逐一联系这些受害者,最终得知以下情况——木马软件里的女生,她们都在吴磊店里修过手机,而那个命名ABC文件里的女孩,她们都是和李梦一样,曾经被勒索过,而勒索金额则是吴磊根据苹果ID里的照片,去判断对方家庭经济去选择的。
当天下午六点多,我的木马提示吴磊的电脑已经上线了,我通过远程屏幕发现他在登录一个色情网站后台,管理员密码是admin,密码经过了加密,我没敢开键盘记录,容易暴漏。
悄悄记下吴磊登录的色情网站域名,通过Whois查询发现,吴磊就是该色情网站的站长——注册色情网站域名的邮箱与最开始查到的邮箱是同一个。
那天晚上,我让那些被吴磊控制手机的女孩集体去报警,而我通过匿名方式向警察提供了部分线索。
三天后,大熊告诉我:“吴磊因为传播淫秽视频与非法控制计算机罪,还有勒索罪被抓了。”
而在这些女孩报警之后,我就通过远程控制删掉了和李梦有关的所有信息,并且清除入侵痕迹。
在吴磊被抓的前两天,大熊请我吃了顿饭,他和我说:“这事你最好别写在公众号上,会被人惦记上的。”
我摇摇头说没事,改改细节和时间,没人会想到我的。
我们或许不喜欢自己所看到的,但这不是我们背过脸去的理由。