当前位置:毕方鸟 > 其他分类 > 溯源分析:仿”转转“钓鱼诈骗溯源跟踪

溯源分析:仿”转转“钓鱼诈骗溯源跟踪

作者 :

一 电信诈骗骗子相关信息

  1. QQ相关信息

(1)QQ用户信息截图

Screenshot_20200630_205532_com.tencent.mobileqq Screenshot_20200630_213148_com.tencent.mobileqq

(2)QQ空间有利信息

1593522594978 1593522587640

1593522569623 1593522558470

2. 关联信息

(1)骗子QQ号关联

骗子的qq号是2798343400,邮箱是2798343400@qq.com,qq绑定的手机号152********。

根据邮箱关联到支付宝账户如下:

支付宝:2798343400@qq.com 绑定手机为187******81

张亚军 (河北 邢台 水瓶座)

a2c1824be0a972e24ae87409beb497f

(2)骗子手机号关联

骗子发来的手机号是17777233036。我于2020.7.1下午2:31给骗子打去电话,接电话是一个男人,口音有广西口音,年龄估计在30岁左右,并且我已经保留通话录音。

根据手机号识别的微信是wwy/xx。

微信图片_20200630230930

根据手机号识别的支付宝是:

支付宝:*桂玲 17777233036

支付宝:*棋鑫 284***@qq.com

识别的斗鱼账户是:斗鱼:用********9

骗子发来的身份证信息,这和QQ空间里的照片人物极度相似。

99D88902C462CE4B0351CA4341476AFE

二 钓鱼链接分析

  1. 骗子通过QQ发来的钓鱼链接如下

  • http://www.zhuanzhuann.xyz/zz2/?i=668603921626362450b.shtml&fullCate=1&zhuanzhuanSourceFrom=837362591449720043u&PGTID=0d400005-0278-44ac-f681-fdcb1dfcf2fe&ClickID=1387
  • http://www.zhuanzhuann.xyz/zz2/?i=668603921626362450b.shtml&fullCate=1&zhuanzhuanSourceFrom=509895919201260093z&PGTID=0d400005-0278-44ac-f681-fdcb1dfcf2fe&ClickID=1387

Screenshot_20200630_204401_com.tencent.mobileqq

2. 钓鱼链接具体分析

以上链接包含两种情况,第一种如果骗子挂了商品上架链接,使用手机QQ打开会进入到支付页面,使用电脑浏览器打开会重定向到http://zhuanzhuan.58.com/,第二种如果骗子没有挂上商品上架,无论使用什么打开都会跳转到http://www.zhuanzhuan.com/。

实际上这个恶意链接是一个短链接http://url.cn/8XoPuHbr,这个短链接实际地址是http://www.zhuanzhuann.xyz/zz2/login.php?weixin=1c10102f743b0c51628a92455d32ed2f,一个模仿转转微信登录界面的钓鱼界面。骗子未将商品上架,点击“登录开启转转世界”就会重定向到http://m.zhuanzhuan.com。

点击登录之后,跳转到确认下单界面。

如果骗子将商品上架,就会跳转到支付界面http://www.zhuanzhuann.xyz/zz2/payment_number.php。

通过购买页面提取的微信支付接口weixin://wap/pay?prepayid%3Dwx302200423574138c30bf8ed21197777600&package=3398731374&noncestr=1593525642&sign=466fe927ff701f6de7967150dc9199eb。

这个prepayid是唯一标识用户,通过京东配合,可以定位到收款账户。

3. 钓鱼链接所在网站分析

(1)主机信息

zhuanzhuann.xyz对应的ip地址为103.113.92.91,主机是linux系统,IDC服务器,开放21、80、443、2000、5060、8008端口。103.113.92.91是浙江省宁波市南边陀螺信息技术有限公司所拥有的IPv4地址,位于香港中西区。共有14个域名解析到该ip。

这个ip的注册人是liuzehua(刘泽华),正是宁波市南边陀螺信息技术有限公司法定代表人。该公司出售的vps正是103.113.92.91。该公司未对租赁产品起到有利管控,导致被非法人员使用,让更多人财产受损。可以联系这个公司,询问这个ip(103.113.92.91)的租赁人信息,也可以定位到诈骗犯。

(2)域名查询

① zhuanzhuann.xyz

zhuanzhuann.xyz的持有人是“WangFengLi”,注册地点是甘肃省,注册时间是2020.06.15。“WangFengLi”还注册过其他三个域名q068.com、87636.com以及sjzmfjc.com,它们对应的邮箱分别是136587999@qq.com以及shidaihudong@163.com。

② q068.com

q068.com注册人所在省市是福建,注册时间是2014.11.29。

87636.com

87636.com注册人所在省市是福建,注册时间是2012.03.22。

sjzmfjc.com

sjzmfjc.com注册地是阿里巴巴云计算(北京)有限公司,注册时间是2019.02.18。

(3)邮箱查询

136587999@qq.com

QQ地点显示是福建福州,这与域名注册地点相符。通过136587999@qq.com,找到支付宝账号“王凤丽”,与上文域名获取到的“WangFengLi”完全相符。

Screenshot_20200701_134034_com.tencent.mobileqq Screenshot_20200701_213904_com.eg.android.AlipayG

shidaihudong@163.com

这个是石家庄时代互动公司的官方联系方式,疑似这个钓鱼网站是这个公司给做的。

三 分析骗子信息总结

  1. 基本信息总结

我直接与骗子进行沟通的是qq(2798343400),之后又套到电话(17777233036),并且直接打了电话,确认就是和我qq聊的这个人(或者是同伙,但绝对与qq和我沟通这个人有关系)。

他发布的钓鱼链接域名是zhuanzhuann.xyz,也是能直接确认与骗子有关系的。

通过qq(2798343400)信息找到了“河北邢台张亚军”这个人。

通过手机号(17777233036)信息找到微信(wwy/xx),找到支付宝

支付宝:*桂玲 17777233036

支付宝:*棋鑫 284***@qq.com

通过钓鱼链接域名定位到“福建福州王凤丽”这个人。以及河北石家庄时代互动公司。

2. 可采取的调查手段

通过与京东对接询问prepayid%3Dwx302200423574138c30bf8ed21197777600所有人,这个prepayid是唯一标识用户,通过京东配合,可以定位到收款账户。

通过与宁波市南边陀螺信息技术有限公司对接询问这个ip(103.113.92.91)的租赁人信息,以及该vps日志的登录ip,也可以定位到诈骗犯以及诈骗犯所在地址。

 

分享到: