从一个钓鱼网站揪出了背后的犯罪团伙（纪实）

这事过去将几个月了，从2018年9月份开始着手调查这件事，直到12月份调查彻底落下帷幕，整个过程耗时太长，其中一些细节无法回忆起，有那么一部分不方便透漏，各位看官当做消遣一看便可。

导火索

1、事件开始是笔者一个朋友的Iphone在地铁上被偷了。事后没两天就收到了一条钓鱼短信。

▲图  受害者收到的钓鱼短信

2 、 该钓鱼网站仿真度极其之高，但底部的一些按钮却没有添加超链接。

▲图  当时没有截图下来，图片来源：网络

3、这条短信模拟官方短信格式发送了过来，笔者的朋友也是网络安全刚入门的，所以他打开网站之后就发现了不对劲儿，接着就来求助我了。

一、初步探查

1、这条短信发送来源是一个全国SP业务电话，根本无从下手调查，电话：0692898****

2、转移目标从钓鱼网站的域名开始调查，通过whois查询该域名的相关信息，得到了一个姓名和QQ邮箱。

3、用Google检索了该QQ邮箱，发现这QQ是买来的。

▲图  谷歌检索该QQ

4、为了确认这邮箱是否是用来登录西部数码的账号，我进行了找回密码，的确是用于登陆该域名的。

▲图  西部数码找回密码功能

5、之后，我对注册商客服发起了社会工程学攻击，用到的理由是：域名被非法解析，从而失去了该域名的控制权，希望客服妹妹提供该域名的相关信息，最终以失败告终。

二、突破口的出现

1、在对该域名进行whois反查的时候发现了一个资源网，并且在底是时留有QQ号码的。

▲图 网站底部留的联系邮箱

2、搜索查看QQ资料，没有符合小号的特征。

▲图  查看QQ资料

3、再次转换了攻击目标，利用QQ安全中心找回密码功能，尝试深入挖掘到他的手机号码。

▲图  QQ安全中心找回密码

4、密保手机被腾讯做了相关的隐私处理，用某个漏洞能看到完整的手机号，此处不表。

▲图  东莞的号码

5、用这手机号进行了长时间的排查他注册了哪些 社交账号 ，最后的结果是，该号码并非长期使用号码，极有可能为一个临时号码。

6、通过某个渠道得到该号码机主身份： 陈明 * （无权泄露他人隐私，打码处理）

7、用该手机号码放到服务器里跑了接近一天，出现了一条很有用的信息，对方是一个程序员，并且接开发单，扫码查看了完整的电话是相符合的。

三、欺骗攻击，掌控电脑控制权

1、我伪造了一个广州本地的号码拨打了过去，以找他开发网上商城为由，询问他的地址面谈，而他却告诉我现在不在广州，去了外省。

2、为了确认他所说的话是否真实，我加上了他的QQ，并且在某文档制作网站，制作了一份名为“开发需求”的文档发送给他，并且在其中插入了GPS定位链接，鱼儿果然上钩了，攻击者还在广州，可能为了谨慎起见不愿意与我面谈。

▲图  引诱其上钩

▲图  GPS定位到的详细位置

3、在制作开发需求的文档中，我故意设置访问错误，因为我要进行我的下一个目的，对方说文档无法访问，我说那发到你的QQ邮箱吧。

4、在word文档里利用早些年的漏洞插入了一个木马，一个星期之后我终于彻底拥有了他的电脑控制权，因为小心谨慎的原因，我并没有进行操作。继续潜伏了一个星期之后，我开始远程翻找他的文件夹，他电脑有着很多域名的登录用户名与密码。

▲图  存放域名账号密码的文件

▲图  整理的很清晰

四、新的联系人出面

1.在监控了对方电脑长达两个星期后，他的QQ有个名叫XX维修店的人联系了他，并且给了他一个手机号，说“鱼儿来了”。

2、通过条件查找该XX维修店的QQ，找到了这个人的QQ号，通过网络搜索并没有太多可用的信息，只是知道他的店铺在深圳，具体信息未知。

3、四天后，我添加了维修店老板的QQ，我说我手机有ID锁，能不能解开？