【纪实】从一个钓鱼网站揪出了背后的犯罪团伙

来源:信息时代的犯罪侦查,原作者:森山先生


这事过去将几个月了,从2018年9月份开始着手调查这件事,直到12月份调查彻底落下帷幕,整个过程耗时太长,其中一些细节无法回忆起,有那么一部分不方便透漏,各位看官当做消遣一看便可。

导火索

1、事件开始是笔者一个朋友的Iphone在地铁上被偷了。事后没两天就收到了一条钓鱼短信。

640?wx_fmt=png

▲图  受害者收到的钓鱼短信

2该钓鱼网站仿真度极其之高,但底部的一些按钮却没有添加超链接。

640?wx_fmt=png

▲图  当时没有截图下来,图片来源:网络

3、这条短信模拟官方短信格式发送了过来,笔者的朋友也是网络安全刚入门的,所以他打开网站之后就发现了不对劲儿,接着就来求助我了。

一、初步探查

1、这条短信发送来源是一个全国SP业务电话,根本无从下手调查,电话:0692898****

2、转移目标从钓鱼网站的域名开始调查,通过whois查询该域名的相关信息,得到了一个姓名和QQ邮箱。

640?wx_fmt=png

3、用Google检索了该QQ邮箱,发现这QQ是买来的。

640?wx_fmt=png

▲图  谷歌检索该QQ

4、为了确认这邮箱是否是用来登录西部数码的账号,我进行了找回密码,的确是用于登陆该域名的。

640?wx_fmt=png

▲图  西部数码找回密码功能

5、之后,我对注册商客服发起了社会工程学攻击,用到的理由是:域名被非法解析,从而失去了该域名的控制权,希望客服妹妹提供该域名的相关信息,最终以失败告终。

二、突破口的出现

1、在对该域名进行whois反查的时候发现了一个资源网,并且在底是时留有QQ号码的。

640?wx_fmt=png

▲图 网站底部留的联系邮箱

2、搜索查看QQ资料,没有符合小号的特征。

640?wx_fmt=png

▲图  查看QQ资料

3、再次转换了攻击目标,利用QQ安全中心找回密码功能,尝试深入挖掘到他的手机号码。

640?wx_fmt=png

▲图  QQ安全中心找回密码

4、密保手机被腾讯做了相关的隐私处理,用某个漏洞能看到完整的手机号,此处不表。

640?wx_fmt=png

▲图  东莞的号码

5、用这手机号进行了长时间的排查他注册了哪些社交账号,最后的结果是,该号码并非长期使用号码,极有可能为一个临时号码。

6、通过某个渠道得到该号码机主身份:陈明*(无权泄露他人隐私,打码处理)

7、用该手机号码放到服务器里跑了接近一天,出现了一条很有用的信息,对方是一个程序员,并且接开发单,扫码查看了完整的电话是相符合的。

640?wx_fmt=png

三、欺骗攻击,掌控电脑控制权

1、我伪造了一个广州本地的号码拨打了过去,以找他开发网上商城为由,询问他的地址面谈,而他却告诉我现在不在广州,去了外省。

640?wx_fmt=png

2、为了确认他所说的话是否真实,我加上了他的QQ,并且在某文档制作网站,制作了一份名为“开发需求”的文档发送给他,并且在其中插入了GPS定位链接,鱼儿果然上钩了,攻击者还在广州,可能为了谨慎起见不愿意与我面谈。

640?wx_fmt=png

▲图  引诱其上钩

640?wx_fmt=png

▲图  GPS定位到的详细位置

3、在制作开发需求的文档中,我故意设置访问错误,因为我要进行我的下一个目的,对方说文档无法访问,我说那发到你的QQ邮箱吧。

640?wx_fmt=png

4、在word文档里利用早些年的漏洞插入了一个木马,一个星期之后我终于彻底拥有了他的电脑控制权,因为小心谨慎的原因,我并没有进行操作。继续潜伏了一个星期之后,我开始远程翻找他的文件夹,他电脑有着很多域名的登录用户名与密码。

640?wx_fmt=png

▲图  存放域名账号密码的文件

640?wx_fmt=png

▲图  整理的很清晰

四、新的联系人出面

1.在监控了对方电脑长达两个星期后,他的QQ有个名叫XX维修店的人联系了他,并且给了他一个手机号,说“鱼儿来了”。

2、通过条件查找该XX维修店的QQ,找到了这个人的QQ号,通过网络搜索并没有太多可用的信息,只是知道他的店铺在深圳,具体信息未知。

640?wx_fmt=png

3、四天后,我添加了维修店老板的QQ,我说我手机有ID锁,能不能解开?

640?wx_fmt=png

4、老板很谨慎,询问我谁介绍来的,我随便捏了个名,老胡叫我来的,我猜想他肯定接触过很多的人,对于一些人名应该没有什么特别深的印象,这次我打算豁出去了,不成功就放弃这条线索。

640?wx_fmt=png

5、事情在往好的方向发展,维修点老板没有再多问,问我是哪人,并且给了一个店铺地址过来,让我有空拿去给他看。

640?wx_fmt=png

五、收网

1、在和老板聊了两个多星期后,我们毅然成为某种“朋友关系”,他告诉我,现在脏机特别多。

640?wx_fmt=png

2、转移攻击目标,继续收集钓鱼网站架设者的个人信息,通过ew反弹代理访问了他的内网,不过很可惜,他用的是流量卡上网,似乎流量卡上网变成了黑产的标配。

640?wx_fmt=png

▲图  4G无线上网卡

3、监控对方的电脑摄像头发现并没有盖住,收集到攻击者的人脸图像。

640?wx_fmt=png

六、案件越来越清晰

时间故去了近一个星期后,在对攻击者和维修店老板的信息收集和整理后,整件事情变得越来越清晰。

维修店老板收到小偷盗来的手机进行解锁,一些无法解锁的会转交给钓鱼者发送钓鱼信息套取用户与密码。

640?wx_fmt=png

由于小偷是直接把手机拿去维修店,在网上无任何联系,而我的能力到这只能望尘止步。

至于事情的后续,抱歉无法告知,这件事我所用的手段也涉及到了违法,希望网友们不要逮着这个来说我,遇到网络犯罪,我们这些学安全的,能够尽自己一份力量帮助警察就可以了。

最后奉劝那些在法律边缘试探的老哥们,国家的力量是非常强大可怕的,万勿违法犯罪,谨记!


编者注世界尚未被黑暗笼罩,普通人仍然可以发出光和热……

640?wx_fmt=jpeg

640?wx_fmt=gif

展开阅读全文

没有更多推荐了,返回首页