V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
JCZ2MkKb5S8ZX9pq
V2EX  ›  随想

看到一篇人肉闲鱼骗子的文章,聊聊可行性。

  •  
  •   JCZ2MkKb5S8ZX9pq · 2019-12-29 20:02:54 +08:00 via iPhone · 10634 次点击
    这是一个创建于 1794 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://mp.weixin.qq.com/s/CXn8BP3BFLD5KK5xzDpc1A

    - 这个人肉算不算违法?非法获得公民个人信息啥的?

    - XSS 漏洞那段,js 获取 cookies ?没试过,可行吗?

    - 前面挺牛逼的,身份证号不会算?

    - 而且 9012 都过了,qq 竟然还能查 ip,搜了下好像还真的能……
    第 1 条附言  ·  2019-12-30 13:20:23 +08:00

    补个链接:

    我用九天时间,深挖一条闲鱼诈骗黑色产业链 - Google 搜尋

    我用九天时间,深挖一条闲鱼诈骗黑色产业链-钛媒体官方网站


    另外归纳一下大家的回复,和一些补充:

    • 人肉违法,但这种情况 无提高/无滥用 可能不抓。
    • XSS可以做到。
    • 身份证因为之前搞过,感觉有点奇怪。
      • 毕竟现成的轮子很多,穷举用网页版这个不大理解。
      • 另外前15位和性别确定,应该是500种,没看懂1000多个怎么来的。
    • QQ还是有些操作可以弄到IP的,比如 视频/传文件/或者链接投毒。
    27 条回复    2020-01-01 13:06:28 +08:00
    xiaomache
        1
    xiaomache  
       2019-12-29 20:20:53 +08:00   ❤️ 1
    你对安全一无所知
    JCZ2MkKb5S8ZX9pq
        2
    JCZ2MkKb5S8ZX9pq  
    OP
       2019-12-29 20:34:20 +08:00 via iPhone   ❤️ 8
    @xiaomache 能说点有用的吗?
    wycmxg
        3
    wycmxg  
       2019-12-29 20:37:59 +08:00 via Android
    1.违法
    2.网站写的可能没有想太多,毕竟骗一个人就转场
    3.一般懒得算,直接用现成的
    4.确实能
    5.以上个人见解
    wycmxg
        4
    wycmxg  
       2019-12-29 20:38:51 +08:00 via Android
    @wycmxg 骗子痕迹太重,用一个用户名
    JamesR
        5
    JamesR  
       2019-12-29 20:44:47 +08:00 via Android
    看了,厉害啊,哈哈,骗子身份证什么的竟然查到了。
    x86
        6
    x86  
       2019-12-29 21:36:30 +08:00 via iPhone
    现在稍微像样一点的钓鱼站都会防 xss 吧
    no1xsyzy
        7
    no1xsyzy  
       2019-12-30 01:13:57 +08:00
    确实违法,不过你只找一个人的,既没有进行直接人身威胁,那个人也不对泄漏报案,警察估计是不太愿意管

    XSS 本身有理论可行性,就看防不防了。XSS 一直在说一直在各种修一直还是存在,说到底还是因为它需要的不是 “知晓” 而是 “时刻警惕”

    人类不适合进行算数计算

    sodayo,只是能直接看的珊瑚虫版没了罢了
    jimmy2010
        8
    jimmy2010  
       2019-12-30 01:15:48 +08:00 via Android
    看完了,还好吧,并没有什么太高深的技术。
    js 拿 cookie 不很正常吗?问题是现在能让你把 js 插进去的页面不多了,就算能插也拿不到重要的 cookie 值,比如 session,大多是 httponly 的。
    身份证那段,也算正常吧,18 位缩小到 1000 个已经不错了,不会算因为不是程序员或者计科出身吧。
    Buges
        9
    Buges  
       2019-12-30 03:27:54 +08:00 via Android
    一是用常用 ID 涉及诈骗这种智息操作无话可说,二来身份证查询 API 的存在,实名大国的身份证滥用也是重要原因。QQ 查 IP 我是真的理解不能,难道还有 p2p 功能不成。

    值得吸取的教训就是(除大 V 那种公众账号外)无论干什么都永远使用互不关联的随机 ID (但不至于像 LZ 这样的乱码),尤其是干一些不太“光明磊落”的事的时候。常用 ID 永远是人肉的重要线索。
    还有出生日期是非常重要的隐私信息,任何地方都尽量不要真实填写,因为代表身份证前几位的地区信息很容易暴露(过往言论,IP 等),加上出生日期已足以锁定个人身份。
    网站漏洞反而是小问题了,记得打开 CSP
    datocp
        10
    datocp  
       2019-12-30 06:22:04 +08:00 via Android
    哈哈,我也换 id 了。但是很多时候即便你打字都难以改变自己的习惯,于是两个 id 的言论相似性,人家又会说是同一个人吗?
    Zy143L
        11
    Zy143L  
       2019-12-30 06:42:55 +08:00 via Android
    @Buges QQ 查 IP 这种事情 9102 年(0202)年了
    的确还能弄
    老方法就是 QQ 文件 /电话 /远程桌面
    好玩些的就是 XML 消息里面插网页
    QQ 会默认打开链接生成一个缩略这些
    都是在对方的 IP 网络下完成的
    Greenm
        12
    Greenm  
       2019-12-30 08:49:31 +08:00 via iPhone
    我也搞进过钓鱼网站,还挺简单的,一般他们都没啥防护,弱口令一大把。

    这个故事我觉得假的地方在 QQ 那部分,这个没那么简单。而且这个人我关注比较久了,喜欢添加一些艺术加工,大家看个热闹就好。
    hnbcinfo
        13
    hnbcinfo  
       2019-12-30 08:59:54 +08:00
    河边路人:麻蛋,碰到个猪队友,躺枪!
    Livin1991
        14
    Livin1991  
       2019-12-30 09:01:10 +08:00
    社工库了解一下 拖库的人身份证号 地址 QQ 微信 账号密码 都有的
    Motoi
        15
    Motoi  
       2019-12-30 09:13:18 +08:00
    这人说的事都是一半真一半假,当故事看就好
    BryceGu
        16
    BryceGu  
       2019-12-30 09:21:22 +08:00 via iPhone
    几年前 qq 有漏洞可以直接用 qq 号查出绑定手机号,不知道现在还有没有。
    darksword21
        17
    darksword21  
       2019-12-30 09:22:59 +08:00
    qq 拿 ip 这事我第一次知道是看旭旭宝宝直播。。
    MontagePa
        18
    MontagePa  
       2019-12-30 09:30:46 +08:00
    这个哥们还行呢。这一套很严谨。
    wat4me
        19
    wat4me  
       2019-12-30 09:42:31 +08:00
    0202 还有钓鱼站不防 xss,估计网站是买的。
    xiaosheng
        20
    xiaosheng  
       2019-12-30 10:26:52 +08:00
    已被发布者删除。。。
    Frank520
        21
    Frank520  
       2019-12-30 11:06:43 +08:00
    知乎上关注过这个人,
    zst
        22
    zst  
       2019-12-30 14:16:28 +08:00
    我记得直接抓包没办法通过在线传文件拿到 ip 来着,不过也有可能是没触发 /没成功建立 p2p 连接
    nrtEBH
        23
    nrtEBH  
       2019-12-30 14:20:00 +08:00
    这本该是网警应该做的事情 还得自己人肉把骗子身份证和住址都搞到了才去报警
    ylsc633
        24
    ylsc633  
       2019-12-30 14:38:49 +08:00
    这个就有点牛 b 了...

    我到现在人肉一个人..

    就是去年, 打 LOL 被有个脑残喷了.. 最主要遇到好几局! 仅仅是因为大乱斗我补了两个兵(寒冰)

    我一气之下! 从 tx 官方的游戏记录里!某段 js 里!查找这人 qq! 用 QQ 查到这人微信!然后微信头像是本人!朋友圈有很多个人信息.

    https://www.g9zz.com/post/E3OAz9dLMg

    这是当时记录的!

    后来想想算了..
    szvone
        25
    szvone  
       2019-12-30 14:44:51 +08:00
    QQ 的语音好像是不能漫游的吧
    IDCFAN
        26
    IDCFAN  
       2020-01-01 13:02:01 +08:00
    以前网购不发达的时候,买虚拟物品被人骗了,打了款不发货。模糊的记的,社工一翻搞到了对方邮箱,人肉尝试几个对方有关的密码后就进入了邮箱,浏览邮件发现原来是青岛某高校一学生,直接肉到他的班级,他的电话,甚至他的导师的电话。然后以向老师告发他的理由威胁他给我退了款。这事差不多有十年了,反正感觉当时自己挺骚的。
    IDCFAN
        27
    IDCFAN  
       2020-01-01 13:06:28 +08:00
    @IDCFAN 具体细节都不记的了,当时社工,人肉这些词大略还没发明出来,只记的这事再往前三两年,我在易趣网购还是通过邮局汇款的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5956 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 02:03 · PVG 10:03 · LAX 18:03 · JFK 21:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.