域名注册点手机怎么操作_【社工】华强北有家手机店，不仅往女生手机里装木马，还TM勒索别人10万

大家好，我是凌云。

我见过很多奇怪的人，尤其是那些从事黑色行业的，但他们只专注于一件事，这次遇到的这个人有很多副业——帮助小偷解锁肮脏的手机、敲诈勒索、威胁、给女孩手机安装木马和监控摄像头、访问色情网站。

这件事情牵涉到很多方面，我不想让别人把这件事情跟我联系起来，所以我会对这件事情进行修改，隐藏一些细节，并且事件的时间都是我自己编造的。

案由：裸照勒索案

调查时间：2019年4月3日

结束日期：2019年4月10日

2019年4月3日，我的经济担保人大雄打电话给我，说有事需要我帮忙调查，让我出来谈谈。

大雄开侦探社，他自己接不了的案子都交给我，他也是我的导师，教我实地调查。

我想了想，和他约定了时间地点，打车到老地方附近的街道上逛了一会儿，就找了家店吃了点东西，看了看时间快八点​​了，我就起身往约定的低点走去。

在我们经常去的地方，我看到大熊坐在窗边。他站起来向我挥手。距离我上次见到他已经快一个月了。他和他的名字一样好。当我走近他时，我才发现他坐在窗边。大熊对面坐着一个穿着白色连衣裙的女孩。我有点疑惑——我从来没听她说过要带朋友来。

等我坐下之后，大雄就开始向我介绍坐在我对面的女孩。

大雄带过来的那个女孩是他的表妹，叫李梦，她想拜托我去调查一件事，但我不知道该不该答应。

我请他先把这件事说一下，这样我才能知道这是否在他的能力范围之内。

大雄说，事情是这样的——4月2日，李梦收到一条短信，里面有一张李梦的裸照，对方向李梦索要10万元，并要求4月10日当面完成交易，否则，就把这些照片上传到网上。

大雄也调查过这件事情，发现给李猛发勒索短信的手机号是黑卡，查了半天，实在不知道该从何下手，就想到了我。

我让李猛把短信给我看。李猛把手机递给我后，我看了看电话号码，确实是黑卡——170这个电话号码属于虚拟运营商。因为实名制监管不严格，很多人违规，喜欢用真名冒充别人的信息。

李梦收到的勒索信息

我想了想，对李梦说：“这件事你还是报警吧，打电话给我没有用。”

李梦说不敢：“那人有我的真实信息，我要是报警，他肯定会发到网上，到时候我就没脸活了。”

我低下头，用手指敲着桌面，等大家都沉默了许久，我才抬头问李梦：“你知道照片泄露的来源吗？”

李梦说，她也不太清楚：“我的照片存储在另一部苹果手机里，前几天被偷了，但手机有密码，所以别人拿不到。”

我摇头说道：“有专门给小偷解手机密码的人，这已经形成了一个产业链。”

我想了想，继续问李梦手机被偷之后，是否收到过短信，说她的手机已经定位，让她点击短信里的链接登录查看位置。

李萌点点头，把短信递给我。

我仔细的看了一下邮件里的链接，对李猛说道：“这是一条钓鱼邮件，你仔细看邮件里的链接，模仿的是苹果官网，小偷知道你登陆钓鱼网站的密码，你别想骗我。”

钓鱼短信，不要通过其中的链接登录账户

“所以敲诈你的人肯定是个小偷，或者是建立这个钓鱼网站的人。”我靠在椅子上，深吸了一口气，对李萌说道

这时，李梦香似乎看到了希望，大雄立刻问我：“你想接手这个工作吗？”

我问李梦能给多少，大雄替她回答：“两万块钱，她刚毕业没几年，如果不够的话，多余的钱我可以给你。”

我向他做了一个OK的手势，说：“一周内我会给你答复。”

和李猛互发完微信，我就找借口离开了，大雄送我到门口，我回头笑着问他：“难得见你肯为别人付出。”

大雄笑了笑，没有回应我，而是从公文包里拿出一个文件袋，告诉我里面有三千块钱的定金，等这件事解决了，他再付余款，还提醒我尽快办——李梦爱面子，要是真的传到网上，她估计会没命的。

就像香港电影里的交易一样。

我让他少看港片，别搞得像非法交易一样，大雄拍拍我的肩膀，再次提醒我：“赶紧办吧，很急。”

回家后，我给李梦发微信，让她把勒索短信和钓鱼短信的电话号码发给我。

给李猛发勒索短信的手机号应该是黑卡，但宁愿杀错人，也不能放过他，所以还是查了一下机主的信息。

我按常规方法查了一下号码，发现网上根本就没有这张卡的踪迹，就到百度上搜手机号，才知道这张卡是一家叫“元特通信”的运营商运营的。

我搜索了该运营商的官网，通过社工客服获得了该手机号机主姓名以及开卡时间。

通过开卡时间可以判断此人是专门为了敲诈勒索而开卡的，至于持卡人姓名肯定是假的，没必要再调查了，只好把调查方向转到钓鱼网站上

我打开了李猛发来的钓鱼链接，发现和Apple ID登录官网一模一样，不过仔细一看还是能发现瑕疵——除了登录按钮，其他按钮全部不可点击，网址也和Apple ID官网不一样。

钓鱼网站

首先通过Whois查询该钓鱼网站注册商信息，发现该网站注册商是West ，注册人是吴财，好像缺钱，注册邮箱是：90******@

Whois 查询

随后我用这个邮箱查看了注册了哪些域名，结果让我大吃一惊——这个邮箱注册了35个域名，而且这些域名的格式全部都是模仿苹果官网的，看来对方是专门做这个业务的。

他还注册了许多钓鱼网站

以这个QQ号为关键词，我在网上搜索了一下留下的信息，一无所获，好像是一个小号，专门用来钓鱼网站的，我搜索了一下这个QQ号，发现不像是小号，年龄和级别都正常

随后我进入QQ安全中心选择“忘记密码”，查看了QQ绑定的手机号，发现也是以170开头的，从目前的情况来看，基本可以确认，钓鱼网站的开发者和敲诈李猛的人应该是同一个人所为。

绑定的手机号码也是以170开头

从以上分析来看，勒索者十分谨慎——QQ号应该是购买的，绑定的手机号和用来发勒索短信的手机号都是黑卡，这些都没法查，只能另想办法了。

我去卫生间抽了根烟，出来后决定用社会工程学来攻击域名经销商。

在之前的 盗窃案中，我尝试过社交工程客服，但每次都失败了。这次，我把攻击目标转移到专门为他人购买注册域名的域名经纪人身上。

4月4日，我联系上了域名经纪人，开始告诉他我的要求。当天中午11点，域名经纪人说会尝试联系她。晚上10点，她回复说：“联系不上域名经纪人。所有者

为了让对方相信我，我开始编故事欺骗对方，最后域名中介给我发来一条QQ信息：“这是域名持有人的账号，请联系他。”

我开始查看这个QQ，但是勒索者太谨慎了——这个QQ也是小号，QQ安全中心选择忘记密码，发现绑定的手机号也是一张170号的黑卡。

我想了很久，目前出现的所有信息都只是表面信息，而且这些表面信息都是经过加工的，现在只剩下最后一条路了——入侵钓鱼网站后台。

说实话，我已经很多年没有入侵过一个网站了，对于渗透的想法也已经不太新鲜了，开始在各大论坛上请教其他大佬们的想法，酝酿了一个下午，整理了一下通过初步调查得到的信息，并规划接下来的入侵。

我首先查看了钓鱼网站的链接，确定是PHP类型的网站，之前收集了不少国产CMS的后台编排规则路径，大概花了半个小时左右，成功找到钓鱼网站的后台。

钓鱼网站后端登录页面

看到这个背景我心里一喜，本来还担心密码被破解，没想到这个网站后台登录没有验证码防御机制，没有防御机制我只能选择暴力破解了。

其他社交验证码防御机制

由于这个网站没有这些保护机制，所以我可以通过暴力破解来达到入侵网站的目的，我又用到了字典生成工具。

我使用了市面上的几种密码生成工具，在填写了目前已知的敲诈者的所有信息后，工具为我列出了上百个密码，然后我使用脚本一键登录，并逐个尝试这些密码，看看哪一个是正确的。

密码分析工具生成的密码字典

4月7日上午9点左右，我回到电脑前查看结果，数据反馈让我哭笑不得，后台登录账号是系统默认的“admin”。

密码为“******”，后面的数字正是社工域名经纪人获取的QQ号码。

由于不知道后台登录会不会记录我的IP，为了保险起见，我使用了代理登录后台，功能栏里有一个“登录日记”，笑死我了，这不是暴露自己的行为吗？

我查看了近期登录后台的日志，发现除了我代理的IP外，还有另外一个IP在4月6日登录过后台，肯定是那个敲诈者！

钓鱼网站后端记录登录IP

通过第三方IP查询接口查询IP地址，最终锁定勒索病毒所在地为深圳市福田区华强北。

深圳华强北

我继续搜索该钓鱼网站的后端，意外地发现了更大的惊喜——可以在后端设置接收邮件的邮箱，当受害者在网站上填写自己的Apple ID密码后，这些密码就会自动发送到下面的邮件中。

接收和发送邮件

邮箱密码栏里的密码是加密的，我查看了网页源代码，笑得更开心了，居然在源代码里看到了明文显示的密码。

这一刻，我感觉就像在沙漠中找到水源一样，赶紧登录了他的163邮箱，看到里面有500多封邮件。

接收Apple ID密码的邮箱是和手机号绑定的，但不是明文显示，而是加密的。在账户管理里，我找不到显示的所有号码，但至少已经不是170手机卡了。已经确认这个163邮箱是敲诈者常用的邮箱。

我在查看邮箱的时候，无意中在最后一页发现了一封圆通快递的邮件，并且显示了订单号。

随后，我到圆通官网查看邮箱，得到两条信息，收件人吴磊，派送地点为福田区，华强北位于福田区。

我再次整理了一下目前的信息，剔除了部分虚假信息，开始对钓鱼网站后台的另一个邮箱——用来发邮件的QQ邮箱进行调查。

搜索QQ号后，我在深圳某电子论坛里找到了他的踪迹——一台二手，已解锁，今年3月在国内上市。我想，这会是一个很好的突破。

我找到了他今年三月发表的一篇帖子。

我在论坛上加了他的QQ号，并以买手机为借口联系了他。

4月8日上午，他同意了我的好友申请，我和他聊了聊，约好下午当面交易，他很谨慎，只让我到了华强北后再给他打电话，具体位置他也不清楚，没有说明。

我和他的聊天记录

我用他留下的手机号搜索了他的支付宝账户，发现他的真实姓名信息和快递员信息相符，叫吴磊。

目前所有的线索都指向一个叫“吴磊”的男人，我整理了一下目前的信息，决定在现实生活中去接近他。

下午三点，我到了深圳华强北，在华强北逛了一圈熟悉一下周围的环境，突然一个老头叫住了我，我吓了一跳问他在干什么，他拿出一张广告纸贴出来，问我要不要隐藏式摄像机——可能他们看到我东张西望，以为我是游客，想骗我吧。

其中大部分是供游客使用的。

我赶紧摆手说不用了，然后去了附近的肯德基——给大雄打电话，告诉他我发现的情况，让他过来谈谈。

这件事情关系到他堂兄，大雄十分关心，不到半个小时就赶了过来，等他坐下之后，我把目前查到的信息全部告诉了他：“敲诈你堂兄的人就是吴磊，就在华强北这里，等会儿我见到他，你就跟着他走。”

大雄点头说好，让我现在就联系吴磊，约他出去。

我点点头，然后打电话给吴磊，问他在哪，并告诉他我已经到了华强北。

吴磊问我在哪里，穿什么衣服，有没有什么明显的特征。在我把这些信息告诉他之后，一个穿着黑色衣服，背着单肩包的中年男人走了过来。“我来了。”

这是吴磊

在我礼貌地打过招呼后，吴磊从挎包里拿出几部手机让我挑选。

我问他这些手机会不会有质量问题，吴磊向我保证：“老板，这些手机不会有质量问题。”

我答应了，随手从吴磊手里抽了一台，开机一看，手机确实没问题。把钱给了吴磊后，我佯装往回走，转身一看，看到不远处站着的男子，我只好给大熊一个信号——把手搭在我肩上，示意他跟我来，这是他教我的。

在等大雄回复我消息的间隙，我在 CTIA 网站上查看了刚刚购买的手机的 IMEI 信息，发现网站返回的结果为 True——这个数据反馈意味着这部手机曾经开启过“IPone 丢失检测”功能

搜索网站

因此，吴磊出售的手机很有可能是“脏手机”。

当我正要把这件事告诉大雄的时候，他也给我发来微信，说他跟踪吴磊去了一家手机维修店，而这家店的老板就是吴磊。

类似这样的店铺，图片来自网络

和大雄见面后，我把电话的事情告诉了他：“目前所有证据都指向吴磊，我们要跟踪他，找到确凿的证据。”

下午五点半，吴磊从店里走出来，大雄立刻跟了上去。我犹豫了一下，没跟上去，怕他认出我。直到六点左右，大雄才给我打电话，说吴磊住在华强花园，让我打车过去。

华强花园

在华强花园门口见到大雄后，我正要进去，大雄问我去哪里，我说：“既然他是钓鱼网站的开发者，那他家里肯定有电脑，所有的秘密很可能都藏在那里。我就去了他家，找机会劫持了他的WIFI，获取了更多信息。”

大雄摇头表示没有：“你想看他的电脑是吗？”

我哼了一声，“他的违法行为的证据肯定就在电脑里。”

大雄一脸神秘，让我明天早上十点再回来这里等他，我点点头，没有再多问。

4月9日上午10点左右，我在附近匆匆吃了顿早餐，就赶着去见大雄，我正纳闷大雄怎么还没来的时候，他却给我发来微信，让我去4号楼1单元找他。

我们俩人站在吴磊家门外，大雄把隔板拿出来在门口听了一会儿，确定屋里没人后才放下。

台湾F-99B穿墙侦察，我的最爱

他转身从背包里拿出一套撬锁工具，过了一会儿，打开门，告诉我要多学点东西：“这才是高效的做事方法。”

大熊使用的撬锁工具与这个类似

我在门外站了许久，对他比出666的手势：“厉害啊大哥。”

大雄踢了我一脚，让我小声点。进了吴磊家，我在他的卧室里找到了一台电脑。我赶紧查看电脑里的文件，发现了一个叫ABC的文件夹。点进去之后，我惊呆了——里面竟然有不少女生的裸照，而且从拍摄角度来看，绝对是自拍。

还附上了李梦的照片信息

不仅如此，他还对女孩们进行跟踪拍摄，另外，每个文件夹里都有一条短信，里面记载着每个女孩的真实信息，姓名、联系方式、住址等。

吴磊跟随的女孩

在我把照片全部传输到U盘后，正准备离开时，桌面右下角弹出一条消息：您的用户处于离线状态

我好奇地点进去看了看，没想到这是用来控制别人手机的木马工具，在线的手机共有三部，我分别查看了三部被控制手机的摄像头——全部都是女生。

吴磊电脑中安装的木马工具。此图是事后用软件拍摄的。

大雄也在旁边看见了，第一句话就是“操他！”“这家伙是不是色狼啊？监视别人干嘛？”

我摇头说我也不清楚，将吴磊控制的几个女孩的手机信息保存好后，大雄问我：“你不打算删掉我表妹的照片吗？”

我说这样一定会被发现的，然后就把我隐藏的木马安装到了吴磊的电脑里：“暂时不行，我怕他发现自己的电脑被人动了，我又在他的电脑里装了木马，这要是真的发生了，就无法控制了，所以我把他电脑里的数据全部清除了。”

我认为他所做的事情就足以让他受苦。

从吴磊家离开后，我们坐在茶馆里，大雄问我接下来该怎么办。

我对大雄说道：“首先你得确定一下吴磊从电脑里从哪里得到这些女孩的信息。”

于是我逐一联系这些受害者，最终了解到了以下情况——木马软件中的女孩都曾在吴磊的店里修过手机，而文件中名为ABC的女孩与李梦一样，都曾被勒索过，而赎金金额是吴磊根据Apple ID里的照片以及对对方家庭财务状况的判断而选择的。

当天晚上六点左右，我的木马提示吴磊电脑在线，通过远程截屏发现他正在登录一个色情网站的后台，管理员密码是admin，而且这个密码是加密的，我没敢打开键盘记录器，因为很容易暴露。

我偷偷记下了吴磊登录的色情网站的域名，并通过Whois查询发现，吴磊正是该色情网站的站长——而用于注册该色情网站域名的电子邮箱地址，与一开始找到的电子邮箱地址是一样的。

当晚，我让手机被吴磊控制的女孩集体报警，并匿名向警方提供了一些线索。

三天后，大雄告诉我：“吴磊因传播淫秽视频、非法控制计算机、敲诈勒索被抓了”。

在这些女孩报警之后，我通过远程控制删除了所有与李梦有关的信息，清除了一切入侵痕迹。

在吴磊被抓的前两天，大雄请我吃饭，对我说：“这件事你最好不要在公众号上写，不然会被人记住的。”

我摇头说没关系，只要改一下细节和时间，就不会有人想起我了。

我们可能不喜欢我们所看到的，但这不是我们拒绝的理由