官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
移动安全星球- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
写在最前面的话
请安装“国家反诈中心”APP。
不听、不信、不转账。
坚决杜绝“黄赌毒”。
起因
最近浏览知乎,发现一个新的诈骗项目,很多受害者,看了一下评论,动不动就是被骗几十万,触目惊心,随后找到了一些受害者,了解了一些过程,使用受害者账号也体验了一把过山车的感觉。
杀猪盘前世今生
“杀猪盘”起源于东南亚,以单身女性为主要危害对象;来自于从事电信诈骗行业人员的内部称呼,形象地将结交受害人、与受害人建立亲密关系、骗取受害人财物等过程比拟作“养猪、杀猪”的过程。
“杀猪盘”里没有爱情,只有充满谎言和欲望的一群磨刀霍霍的“屠夫”。“找猪—喂猪—养猪—杀猪”是“杀猪盘”的灵魂四步。诈骗者把受害者叫做“猪”。“找猪”是从陌生人到私加好友;“喂猪”是团伙成员盗用他人优质资料包装自己,向受害者灌输自己很成功、很优秀等信息,获取受害者的信任;恋爱过程叫作“养猪”;欺诈过程叫作“杀猪”。受害者心中的“完美爱情”,在骗子眼里,不过是一场“杀猪记”。
杀猪盘Plus
我将此次杀猪盘诈骗定义为Plus版,因为它不在是单纯的投资、菠菜、勒索类型的杀猪盘了,它是一个将社交、黄色、赌博汇聚一体的集成化诈骗项目。
诈骗过程
我们通过几位受害者的描述先来了解一下诈骗过程:
在众多受害者描述中,基本都是第三次无法提现,但是也有后面新的受害者说第一第二次的都有,这个关键就看诈骗团伙的心情,或者说是他们对受害者的了解,所以不要抱着侥幸心理去实验,觉得自己可以薅一波羊毛,进去后可就不是几十块钱能解决了。
受害者1
该款APP会先以诱人的条件引导消费者缴纳188的会员费,以支付宝指令红包的形式。然后再次引诱你激活4次,分别缴纳金额为30元、200元、900元、3000元,前3次都会反分别是60元、240元、1080元,,第四次金额就会很大然后会以各种理由比如:操作失误,系统有误等理由告诉你环节出错无法成功激活,会进行修复程序,修复程序一般为三次,这时会有暗托在其中各种现身说法告诉你没问题并且会实时把转账信息发布在群里,在三次修复完成以后其他三人会出示提现成功的交易信息,这时你会发现提现失败。上面会让你联系一个客服,这个客服会提示你需要缴纳账户金额的30%修复信誉值,然后才能开启提现通道。
受害者2
就是打款,获取数据,xz,再打款,重复,只是金额越来越大 30 300 1000 3000(失败了) 然后修复 14000 35000 64000 然后就说提现要特批70000+70000
受害者3
- 注册-交费188元-完成点击任务4次30(返50) 200(250)【第三次可选:868(返988)】 1000(返1200) 3500(返3600)(3500进入四人团中间必定有人出错)
- 修复环节4次(4人团,三个托陪你)12800 21800 45100 41520
- 没出问题就清理信誉积分68000 20分*3400
- 再重置108888 -补充打码量157520一次不通过,继续补充转账通过后-提现
- 取不出涉嫌洗钱配合调查—填加专员继续套路
受害者4
说下被骗的全过程,就当交学费了,真踏马贵,当你充会员的时候就开始进入骗子的骗局了,这个会员你充了还不能用,你得帮他们刷四单流水才可以激活使用,刚开始三单呢是给你放松警惕的用,每刷一单就让你在群里面发转账截图顺便禁言,渐渐的麻痹你,同时也给其他待宰的羔羊放松防范,群里的托演的那是一个逼真,如果你刷了三单没有强制卸载或者你已确定这是一个骗局,不然你逃不了被骗的命运。
这第四单开始,不好意思,你至少损失3000,就算你意识到了,骗子也不亏,可是这时候还有三个托在干扰你的判断,真尼玛演的让你怀疑人生。
给你们简单的说下后面的套路,第四单刷的时候骗子会说数据异常要重新购入2至3单的数据,其实是三单,每一单的金额会逐渐拉高,为了100%包赔,3个拖就开始各种演,所以每一单基本都是最高金额,三单刷完了,三个拖提现跑路,你提现不了,因为你信誉不足需要购入,还要购入重制数据,才能提现,好了你的5个w没了。这时候你觉得终于可以提现了,不好意思,由于你的激活超时需要购入两期打码才可以提现,6个w又没了,当你操作第二期的打码,不好意思你又操作失误,要重新购入第二期打码金额(这个地方估计有几个套路,根据不同的人给不同的套路)
心在滴血,只能去报案了,该案定为诈骗案-刷单返利
流程图
诈骗详细过程
以下均是下载app注册后的过程:
用户在成功登录后就会被拉到很多群里面,然后客服、指导员、约爱助理、各种群开始引导用户如何操作:
社交页面
约爱助理
一些诱导激活群
指导员
激活专员
激活指导员
激活过程中,前三次可以提取出的现金会比充值金额高20%左右,第三次的时候就会以各种理由无法提现。
提现成功截图
提现失败截图
高级指导员
提现失败交流
提现成功交流群-托
异常说辞
接待员-沟通充值
信誉分处理-总经理
账户余额
已有信息溯源
以下信息均是基于受害者提供的信息做的粗略分析,不能作为有效的证据来指向某个 个人或者团队。
APP相关信息
当下人们空闲时间大多数是和手机打交道,所以诈骗团伙瞄准了这个市场,做足功课,打磨产品,把受害者绑定到APP内,实施诈骗。
对已有APP中能够提取的信息可以从以下几点着手:
1、APP签名信息,一个APP的签名信息很可能包含了这个APP开发者的某些信息;
2、APP代码中可能遗留的注释信息,好的开发者都会写很多的注释,来帮助后续开发者或者使用者更好的接手代码
转账银行卡信息
其实这些银行卡信息的作用不是很大,这些卡基本是存黑市购买,接收一两次转入款之后卡就作废了,进入卡的钱会被迅速转出洗白。
| 姓名 | 银行卡 | 姓名 | 银行卡 |
| 蚩** | * * * * 47* * * 273* * * * | 张** | * * * * 52* * * 002850* * * * |
| 何** | * * * * 25* * * 202786* * * * | 赵** | * * * * 48* * * 603197* * * * |
| 刘** | * * * * 61* * * 495* * * * | 朱** | * * * * 48* * * 884129* * * * |
| 牟** | * * * * 26* * * 207641* * * * | 张** | * * * * 92* * * 705* * * * |
| 潘** | * * * * 50* * * 870* * * * | 李** | * * * * 03* * * 900918* * * * |
| 庞** | * * * * 03* * * 300173* * * * | 王** | * * * * 08* * * 13921* * * * |
| 韦** | * * * * 26* * * 301521* * * * | 蔡** | * * * * 99* * * 001452* * * * |
| 袁** | * * * * 35* * * 002* * * * | 岑** | * * * * 99* * * 000118* * * * |
| 张** | * * * * 26* * * 301197* * * * | 刘** | * * * * 99* * * 020688* * * * |
| 赵** | * * * * 08* * * 500028* * * * | 秦** | * * * * 80* * * 004624* * * * |
| 周** | * * * * 47* * * 471* * * * | 石** | * * * * 80* * * 000248* * * * |
| 卢** | * * * * 28* * * 290221* * * * | 宋** | * * * * 99* * * 00465* * * * |
| 柯** | * * * * 28* * * 200017* * * * | 孙** | * * * * 99* * * 000212* * * * |
| 王** | * * * * 28* * * 200026* * * * | 杨** | * * * * 50* * * 100009* * * * |
| 黄** | * * * * 59* * * 30316* * * * | 张** | * * * * 99* * * 023094* * * * |
| 李** | * * * * 20* * * 011* * * * | 何** | * * * * 90* * * 020781* * * * |
| 邓** | * * * * 84* * * 000017* * * * | 王** | * * * * 90* * * 020019* * * * |
| 任** | * * * * 00* * * 005396* * * * | 杨** | * * * * 59* * * 000166* * * * |
| 朱** | * * * * 76* * * 900697* * * * | 胡** | * * * * 00* * * 008734* * * * |
| 刘** | * * * * 62* * * 001348* * * * | 卢** | * * * * 00* * * 007123* * * * |
| 薛** | * * * * 62* * * 000499* * * * | 金** | * * * * 22* * * 451* * * * |
| 王** | * * * * 52* * * 001930* * * * | 段** | * * * * 52* * * 004947* * * * |
| 段** | * * * * 48* * * 863852* * * * | 李** | * * * * 4* * * 2971 4689* * * * |
| 康** | * * * * 48* * * 963154* * * * | 石** | * * * * 52* * * 000834* * * * |
| 刘** | * * * * 48* * * 880936* * * * | 宋** | * * * * 48* * * 823982* * * * |
| 罗** | * * * * 27* * * 125975* * * * | 邢** | * * * * 48* * * 318198* * * * |
| 彭** | * * * * 48* * * 897587* * * * | 彭** | * * * * 60* * * 000518* * * * |
| 宋** | * * * * 52* * * 0153246* * * * | 孙** | * * * * 82* * * 001213* * * * |
| 陶** | * * * * 48* * * 136494* * * * | 石** | * * * * 99* * * 001109* * * * |
| 杨** | * * * * 48* * * 834011* * * * | 陈** | * * * * 50* * * 002581* * * * |
| 袁** | * * * * 52* * * 000679* * * * | 冯** | * * * * 80* * * 001890* * * * |
| 张** | * * * * 48* * * 924628* * * * | 杨** | * * * * 50* * * 1000096* * * * |
| 张** | * * * * 73* * * 249* * * * | 宋** | * * * * 99* * * 000468* * * * |
流程线服务器地址信息
小电影传播页面、跳转页面
服务器地址:http://c**d.com/
通过对上述服务器域名的IP地址反查,可以看到有一千多条域名,还有另外五个IP解析,那数量真的是相当多,这些域名随便访问几个,不出意外,全部都是传播页面。
这些页面基本一样,用户点击进入后一层套一层,新的页面从上往下,每一块都是赌博和色情,每一块随便点击都会让下载形形ss的APP,这些APP不出意外都是杀猪盘的开始。
以下是某威胁情报分析结果,直接显示色情网站,并有全球访问量,我们看了一个相对平均的域名,完整的一天就有39791次访问,这仅仅是一个域名,那几千个域名呢?就是上亿访问量,数据相当惊人。
APP传播页面
服务器地址:https://k****12.com/
上面域名就是APP传播页面了,通过手机访问该页面,点击立即下载就会下载诈骗APP到手机。
• IP反查:同样有大量同类域名,随便访问都是相同的界面。
Whois查询:
注册者:** 车
注册机构:好******上
手机号:1720*****49
注册地址:**省**市**街006号
同样看一下这些页面的访问量:
APP真实下载地址
地址:https://k***.oss-cn-*********.a******.com/yuml06.apk
某云服务器,放弃。该地址可以大致看一下,我们更改最后的数字,遍历看看能不能下载更多的APP,果然可以,从01—40都可以下载,MD5都一样。同样我们可以试试数字前面的名称,这是APP名称缩写。
APP内社交服务器
服务器地址:http://n**.aliy*******.com/data/
可以看到整个社交部分都使用的某云服务器,放弃。
APP内小电影服务器
服务器地址:https://m***07.com/yuepao
IP反查:
可以看到前两条直接显示恶意,访问了以下是菠菜页面。
近期访问情况:
可以看到也是差不多6月份开始暴增。
APP内涉赌服务器
服务器地址:https://32*******hqh.com/user/login 该类服务器都是批量注册的,没有什么价值,放弃。
QQ号被盗事件
在文章整理过程中,突然QQ号被盗事件上了热搜,这又和我们写的文章有什么关系呢?
我文章最开始的流程图写了几种受害者访问不安全链接的途径,并没有写社交软件,因为文章中的不安全链接主要传播途径并不是社交软件,因为这些链接在社交软件中已经加入黑名单,但是此次的QQ号被盗事件,被盗QQ号发送的是含有不安全链接的图片,而且这批服务器都较新。
随便找了一个图片的链接访问后,也是要下载APP,下载后安装运行,果然也是杀猪盘。
不要随便点击不明链接,不要随便访问不明链接,不要下载非应用市场APP,不要随便授予APP任何权限。
防护失效
最后说一下这个问题,为什么我们手机内置了安全中心,都有病毒库、URL黑名单,近些年还大力推广了“国家反诈中心”APP,银行做了大量风控手段,但是我们的受害者还是会上当?
首先受害者访问的这些服务器都是境外的,但是这些不法分子大多用IP归属地为香港的服务器做跳板,基本我们溯源到的服务器IP归属都是香港,所以我们可以畅通无阻的访问。
但是我们的手机、浏览器等内置有杀毒库,为什么还可以成功访问?一般情况下我们微信、qq获取到的链接直接访问,基本都被拦截了,但是他们会提示受害者使用浏览器访问,使用一些病毒库不太全,或者比较冷门的浏览器,这样就可以正常访问了。
那我们手机还有杀毒软件,为什么安装的APP没有报毒?这主要是因为此类杀猪盘APP不会获取用户大量信息,没有明显的病毒特征;整个诈骗过程全部是社交APP内引导诱惑完成;支付过程也完全是银行卡转账,不在APP内完成;而且此类APP更新极快,几天就出来一批;单纯的MD5特征根本无法查杀;可能配合签名特征会好点。但是可能存在误杀,因为这种APP一般是某些H5打包平台直接打包的双客户端,如果开发者仅使用默认的签名,就会导致误杀。
还有一点就是很多受害者手机安装了“国家反诈中心”APP,还是被骗了,那是为什么?只能说这些人话术太完美,剧本太好,进去后大多数就被洗脑了,很难接受外面信息的劝导。很多受害者也说了,自己收到了“国家反诈中心”APP发来的提示短信。但是还是继续按照APP内客服人员的指引进行了转账。
总结
请安装“国家反诈中心”APP。
不听、不信、不转账。
坚决杜绝“黄赌毒”。
以上三句话还是要说一下,其实大街小巷随处可见这种标语,但是我们还是有很多受害者被骗,这很值得思考。
如果有被骗的受害者看到这篇文章,那么请停止你愚蠢的操作,马上将app内有用信息截图留存后卸载APP,然后去就近警局报警,如果你未遇到,那么请你警惕以上诈骗手段,并告诉身边人。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 6 文章数
- 2 关注者