“杀猪盘”被害人:那个男人带我赚了30万 反诈民警:我现场就让你赚200万

2021-03-18 18:41:00 作者: “杀猪盘”被

一位中年女士,通过社交软件认识了“他”,在他的劝说下,通过一款投资APP里投入了10万元,这个行为被她的同事发现了,好心的同事报了警,派出所民警劝了几次都劝不动,于是带着她来到分局反诈中心,正好赶上市局反诈支队的民警也在这里,一场白与黑的较量,就此展开。

网络恋爱、投资赚钱、美好生活,三句话就暴露出,这是标准的“ 杀猪盘”诈骗。揭露诈骗手法,是反诈部门每天都在做的工作,民警起初也是信心满满,跟这位女士讲清楚,应该就没什么问题了。可是,这场对话是在“你说你的,我说我的”状态下进行的。

无论民警怎么劝,甚至让她看外地警方多次冻结犯罪嫌疑人银行卡的记录,这位女士熟视无睹,竟然在地上撒泼、打滚,死活都要操作,甚至恶狠狠的说:“如果我不操作,造成的损失,你们公安局赔吗?”。

反诈队长气得直拍桌子:“你说这个软件一分钟进账是真的吗?”女士信心满满的说:“肯定是啊,你看我现在余额里有30多万,都是我刚刚用1万块钱盈利的。”

“这样吧,你先别着急操作, 我现场给你的账户余额充值200万,你看行不,如果我做到了,这个软件就是个假的,你就不要信了,乖乖配合民警给你做笔录吧”。为了让她看到事实,民警下了血本。

(为了避免教坏小朋友,敏感的操作就不做演示,正告:未经对方授权的网络漏洞测试行为可能触犯法律,但对方是骗子,所以,呵呵……)

其实这种测试是一件非常难的工作,尤其是针对这种“杀猪盘”的投资软件,民警也是为自己捏着一把汗,如果失败,也要将受害人的手机设置禁止访问,一定不能让她继续陷在骗子的圈套里。

下载到安装包后,先装到虚拟机上运行,以避免软件调用手机上各种隐私权限。

从界面上开看够粗糙的,上方书写着极具诱惑的“投资理财,成就未来”(内心已经怒笑到极致了)。其实这种软件,看似是个标准APP,实际上就是一个H5网站进行封装打包后做成的伪“APP”(不理解的可对照“吃鸡”,完全不是一个层次上的产品)。

直接抓包,找地址

不出所料,果然就是个网站

查一下IP溯源,香港数据中心服务器

扫了一下 中间件和相关指纹信息,linux服务器,nginx中间件,没有CDN,没有WAF,还算比较好搞。

扫描一下端口,好家伙,端口全开着,这么大摇大摆,谁给骗子的自信

网站目录爆破,查找后台管理地址

后台界面是这样的,更粗糙

因为端口开着,虽然费了一点功夫,还是拿到了ssh登陆 root权限

拖取源代码,查找数据库

 1/2    1 2 下一页 尾页