故事开始
大家好~我是穿云箭的小明同学,近一年来我所在的金融业务部门受尽“委屈”。从2019年8月底我就被大家从各种渠道投诉说我们骗钱……
为了以示清白,小明特意从八角笼练了一身本领,向冒充我们的金融黑产开炮!!!
小试牛刀
秋高气爽的一天,小明懒洋洋的按时打卡搬砖,突然手机屏幕一个心动的数字“50000”像流星划过,领导给我加薪了?激动的中指滑过屏锁,定睛一看:“【金融分期宝】尊敬的用户您好,由于您信用良好,已获得50000放款额度验证码1234 戳 http://t.cn/* 领取回T退”。
作为一个纯良的好男人,小明一直按时向老婆上缴工资,骗子怎么忍心盯着我100块不到的零花钱下手???
我们金融根本没有这个分期宝产品啊!一直被客户投诉不说,今天还来骗我,可让我逮个正着~
明挂上深夜里无人慰藉时的“威屁嗯”,隐藏好身份后打开短信链接,这时一个“屌丝紫”配“土豪金”的页面映入眼帘。
经过左边儿画个龙,右边画彩虹的骚操作,小明小试牛刀便拿下这个小破站~
此诈骗后台已注册211个用户、申请贷款用户数为84人、包含身份*正反面及手持身份*。
小明不禁为这84个上传个人敏感信息有借贷诉求的用户担心,即使用户还没有钱财受损,也有可能信息流向黑市被二次利用。经过一番分析,此站点诈骗流程如下:
其中已经被诈骗的用户数量至少为12人,费用从几千到几万的额度不等。
小明进一步通过技术手段获取了骗子们的信息,原本以为可以将材料递交给警方结案,但事实并没有那么简单,这背后有一个升级版的黑色成熟产业链:嫌疑人使用的信息均为虚假信息,服务器租用国外,域名隐私保护或不可查注册邮箱,资金通过国外进行清洗。
表面的信息都是假的,小明心里有些着急,怎样才能知道这背后的人到底是谁呢?除非能控制他的个人电脑!
随着时间的推移,国内揭露诈骗类微信公众号和相关媒体、投诉平台出现越来越多的仿冒金融App诈骗形式的投诉,于是穿云箭多部门联合多地警方进行深入挖掘和溯源打击。
抽丝剥茧
天网恢恢,疏而不漏!小明披荆斩棘,跨过山河大海最终挖出了五彩斑斓的仿冒APP。
小明的九宫格已经放不下它们了~
小明从诈骗客服后台捶胸顿足的看完了所有聊天内容总结出:所有的套路都是让用户先打款,各种形式拒绝放款,并对用户欺诈威胁进行二次骗款,直至用户被榨干意识到上当受骗。
殊不知,这些“借款订单异常”、“银*卡填写错误”、“钱已到账”、“电子合同”等用户看到的非常正规的银行页面,诈骗后台都有像模像样的模板,点点按钮傻瓜式随意生成。
直捣黄龙-锁定团伙
小明在大量的信息收集工作铺垫之后,越来越多的受害者和犯罪团伙,进入我们的视野。
我们只需打掉其中一环,顺腾摸瓜便可以揪出背后产业链。正准备用木马控制骗子电脑时,小明感知到骗子电脑上竟然装着杀毒软件;不同的诈骗团伙,电脑上运行着不同的杀毒软件,但主要是以下2款,不得不说骗子们还是经过“高人”指点的,例如360的主动防御和金山毒霸的拦截摄像头打开都给小明进击之路造成了麻烦。
道高一尺,魔高一丈,经过特殊处理,小明让木马跟多款杀毒软件成为了好朋友,从而定向控制了骗子电脑,“曲线救国”绕过各种拦截和防护,开启上帝模式!经过一系列努力,小明控制了团伙20多台计算机。
下图是正在实施诈骗的客服使用CC客服桌面版软件,提前将精心准备的话术作为“常用语”录入,并根据情况随时修改。
这款客服软件可以提前看到用户正在输入的内容和删除的想说的话,骗子就可以提前预知用户的心理活动采取进一步的动作。
小明在想,如果其他聊天软件也有这个功能,或许我已经赢取白富美,走向人生巅峰了~
桌面陈列了制作的假工号图片、带印章的假解冻协议书、将每天用于群发的短信和诈骗后台记录于记事本中,同时还出现了“头条放心借”、“微易分期”新的仿冒app。
桌面陈列了制作的假工号图片、带印章的假解冻协议书、将每天用于群发的短信和诈骗后台记录于记事本中,同时还出现了“头条放心借”、“微易分期”新的仿冒app。
也有一些工作室团伙的日子也没有想象中的逍遥,他们在不停的寻找能够发送诈骗类贷款短信的短信群发通道。
短信通道后台之一如下图所示
原本以为拿下骗子的电脑定位取证,诈骗团伙将会被绳之以法。但事件还远没有结束,令小明惊讶的是骗子们通过某远程协助软件远程连接服务器,在服务器内安装诈骗要用到的“办公软件”,在远端的服务器上实施诈骗,从而隐藏自己的真实信息和地理位置。
如下图所示,骗子通过远程协助软件隐匿在服务器之后,
当然该软件最终也没有能够拦住我们,在一番突击之后,骗子们这时候似乎觉察到了一些反常,并内部通知“禁止使用Teamvxxxx”。
组织分工明确
小明经过几天的观察,发现骗子先会找一个叫“abc”的技术人员搭建制作诈骗网站和APP,然后找APP分发平台,买料(手机号码),找短信群发通道,使用QQ小号在服务器上进行暗号联系,有专门的收款群,用来分发收款账号、二维码等,每天等“鱼”上钩,实施诈骗。
下面小明带领观众朋友走进另外一个暗黑的世界,窥探里面别样洞天:
其中一个黑产洗钱群的群公告:“进卡规则:3万以上进的提前说,我通知你能不能进,低于3万的可以直接进。卡死我都会第一时间通知 按照截图收到时间起算5分钟。5分钟内卡死不包,无图按照通知算起。5分钟后钱没出来算我的。5分钟内卡被挂失,被盗刷,被止付等不包。无卡存款一定要有截图凭证,没有凭证不包。无法实时到账不包,隔天到账不包,发从复图都不认,一百以下进来没认,希望各位老板理解支持 。”
原文晦涩难懂,我给大家做个解释:公安机关一直在追踪打击,骗子们的hei卡常常会被封停,需要按照他们的规矩来进帐出账。
技术人员“abc”与骗子的聊天截图,骗子不会直接向技术打款,而是会找专业的洗钱团队打款
骗子已经成功的假冒一家企业骗取了大量用户钱财之后,向技术提出修改LOGO,换“微盈钱包”的名字,另起炉灶开张诈骗!当然也有“生意不好”的时候,骗子们偶尔会相互吐槽,准备过年回乡聚一聚~
不得不说,小明第一次卧底经历,也是惊心动魄!
境外精细化作业
在小明持续监控“xxx”犯罪团伙的时,此类诈骗形式有愈演愈烈的发展趋势。11月份小明又被人以“某某小额贷款有限公司”的诈骗套路抹黑,这次变本加厉要收用户20%-30%所谓的验证还款能力的费用……
套路真是花样翻新,层出不穷!
虽然技术这回是另外一伙儿人,但经过三下五除二,小明当天便攻破诈骗网站服务器,绕过安全策略,控制了服务器上数十个不同的金融诈骗网站。接下来的几天,小明“顺理成章”的“接管”了10几台诈骗人员的电脑。
2019年11月27日,小明继续扩大战果控制后台诈骗运营人员2台电脑,电脑名称分别为:QFC3T56YV36、很124H。
此工作室坐落于中缅边境,其工作室部分资料如下
每天发送的短信数量、来自哪里都有记录,可以看出来它们工作室还分组别、“料”来自各行各业,祖国的花朵都不放过!
看到公司证jian和资料等相关信息时,小明不禁惊讶,这些骗子从互联网上搜集到的我司公开xinxi竟然比我一个内部员工知道的还要多。
骗子也是煞费苦心,连公司的门头、营业执照、法人、合同、电子指纹都伪造好了,甚至提前拍好了假装去ATM机给你打钱、财务办公室、加班忙碌、银保监会的照片,最后如果你不配合打钱给骗子,骗子还会祭出合同法、借贷相关法律等一些列合同和条文,让你担心征信、担心自己犯法。
例如下图暴躁的客服话术:“您合同都已经签字生效了您叫我撤销?”
小明监控的其中一个5人左右的诈骗工作室的每日纯利润在5万左右,团伙在云上使用QQ小号,取各种奇怪的昵称办公,并且每天有人专门统计各成员收入和支出:
骗子都这么努力了,我还有什么理由懒散于世!
黑产制度化
小明想,这样一伙专业的骗子,他们的内部是怎么运作和管理的呢?小明经过不懈的努力发现了此诈骗组织的管理规定:
小明也曾了解到,一些被骗去东南亚做开发程序员小哥哥、美丽动人的推广小姐姐,在暗无天日的酒店、人身失去自由,甚至受到非法侵害。看到工作室这个规定,我对他们的遭遇深信不疑。
通过键盘记录器24小时监控骗子聊天内容,意外发现一个不谙世事的小鬼的因为“飞单”被老板娘处罚,他的其他同伴私下嘲笑他是有多少傻,而他们也都忌惮老板娘的手段,努力跟卖短信通道的商人讨价还价,多次向老板娘表明忠心,仍然被老板娘怀疑想要逃跑,这样的剧情让小明觉得每天像在追“宫斗剧”、感受“古惑仔”的心酸苦辣。
黑产规模化
事后我们仅通过一类诈骗源码的关键词进行搜索发现了有高达816个诈骗网站,而对于精心搭建和维护的诈骗网站,网络空间搜索引擎是无法进行爬去和收录的,可想而知这类金融诈骗对普通网民的危害有多广:
故事结尾
小明所在的公司已经将此类案件作为重点打击对象之一,小明在与黑产斗智斗勇的同时,江苏省盐城市警方也早已锁定犯罪团伙,警企联合对其背后的全链条进行深入打击。
在这里我们给广大网民一些安全建议:
1)先让用户打款的借贷类App全是骗子;
2)从官方渠道下载使用正规金融产品;
3)被骗钱财或强制高息借贷立即报警处理;
4)保护好手机的短信验证码,不要发送给任何人。
注:为避免不良影响,本文对涉案仿冒app和相关人员进行“化名”或打码处理,希望大家提高安全防范意识,共同举报或打击金融诈骗。
来源:freebuf.com 2020-07-20 15:40:58 by: 穿云箭安全实验室
请登录后发表评论
注册