雷鋒網(wǎng)按：Only_guest 張瑞冬，F(xiàn)IT 2017大會上號稱“無人敢說不帥的白帽子”，雙螺旋攻防實驗室負(fù)責(zé)人、PKAV團隊負(fù)責(zé)人，既是四川大學(xué)特聘網(wǎng)絡(luò)安全專家，也是民間最具影響力的白帽子之一。

FIT 互聯(lián)網(wǎng)安全創(chuàng)新大會，是由安全媒體 FreeBuf 主辦的安全峰會。安全領(lǐng)域年度重磅成果和創(chuàng)新的互聯(lián)網(wǎng)安全技術(shù)會在這里展示。

兩年前，懷著一顆拯救世界的心，Only guest 投身于自己的反詐騙事業(yè)。這個能輕松搞到馬云馬化騰周鴻祎的住址和電話，還曾經(jīng)定位全成都的出租車軌跡的男人，在 FIT 2017大會上，親身講述了自己遭遇的三次“非主流詐騙”的過程，其中一次甚至險些被對方成功欺騙。

以下為 Only_Guest 口述內(nèi)容，雷鋒網(wǎng)宅客頻道整理編輯：

0x00 前言

今天給大家分享主題叫“欺詐者的游戲”。

過去兩年，我們在做反電信詐騙的過程中，遇到了很多有意思的騙局，或者說是游離于主流之外的騙局，今天主要和大家分享幾個我親身遇到的“非主流騙局”的過程。

傳統(tǒng)騙局的一般都有跡可循，有標(biāo)準(zhǔn)流程，比如常見的冒充公檢法詐騙的團伙，他們通常是這樣一個流程：

• 制作一個釣魚網(wǎng)站，

• 收集個人信息進(jìn)行篩選，

• 冒充公檢法機關(guān)工作人員給篩選出來的價值目標(biāo)發(fā)短信打電話，

• 引導(dǎo)受害者進(jìn)入釣魚網(wǎng)站填寫信息、下載木馬程序，最后進(jìn)入轉(zhuǎn)賬、提現(xiàn)和洗錢的流程。

這類案件的涉案金額一般非常巨大，我們團隊之前查到的一個犯罪團伙一下午的進(jìn)賬高達(dá)四千多萬元，另外還有傳統(tǒng)的偽基站短信詐騙，通過積分兌獎等等各種手段誘騙你進(jìn)入釣魚網(wǎng)站來實施騙局。

針對這些比較“傳統(tǒng)”的騙局，其實我們已經(jīng)做了相當(dāng)多的手段和措施，比如我們做了自動的一個電信偽基站的反欺詐的傳統(tǒng)的平臺上，可以實時了解到誰正在受騙，然后實時傳輸信息給用戶、銀行、公安，讓銀行去做凍結(jié)賬戶，讓公安機關(guān)直接去抓人，讓用戶提高警惕。

同時，我們可以反制釣魚網(wǎng)站，得到網(wǎng)站幕后操縱者的數(shù)據(jù)指紋信息、QQ號等，通過 VOIP 溯源系統(tǒng)自動在1分鐘之內(nèi)對詐騙電話進(jìn)行溯源。（關(guān)于以上反詐騙系統(tǒng)，詳見雷鋒網(wǎng)此前報道：《深度 | 黑客 Only_Guest 講述：如何優(yōu)雅地手刃騙子？》）

總之，我認(rèn)為我們已經(jīng)把這套這種傳統(tǒng)的反電信詐騙系統(tǒng)做得相當(dāng)完善了，從去年至今我們已經(jīng)搞定了一百多期的案子，涉案金額高達(dá)2.3個億，今天主要講幾個“非主流”的詐騙故事。

0x01 : 被騙的純情少男心

第一個故事是從一個微博推送開始的，10月10日，我收到一條私信，一個女孩跟我求助，說自己被電信詐騙了6300元，希望能得到我的幫助。

沒錯右邊這個頭像就是帥氣的我，我問了一下她被騙的具體情況，想幫她一下，畢竟助人為樂乃快樂之本，而且這個小女生一直叫我哥哥哥哥，叫得我心里好甜?。?好像這才是關(guān)鍵原因吧）。

她告訴我：自己在網(wǎng)上找到一個人補辦會考成績單，然后被那個人忽悠交了保證金，結(jié)果被騙。我讓她把報警的回執(zhí)單發(fā)給我，因為經(jīng)常會有很多人冒充自己受騙的人讓我?guī)兔ΡI個號調(diào)查個人，煩球的很，但如果真是被詐騙了，善良的我還是愿意幫一下的（一臉正氣）。 

后來她發(fā)來了轉(zhuǎn)賬記錄、警局的照片以及和報警時的錄音，確認(rèn)是真實事件之后我開始幫她找尋線索反制騙子。

當(dāng)天下午我就幫她查到了一些線索，其實我直接得到了騙子的電腦權(quán)限，看到騙子電腦上的所有東西，但是騙子的肉身在江蘇，于是我告訴她說我會給她騙子的詳細(xì)資料，讓她交給警察去抓人。緊接著，當(dāng)我正準(zhǔn)備拿到一些更詳細(xì)資料時，我在不經(jīng)意之間發(fā)現(xiàn)了一些新的東西……

我意識到，自己陷入了一個“騙中騙”。

我繼續(xù)跟受騙的女孩聊天，大家可以看到，我說其實我挺不開心的，你應(yīng)該跟我說實話的，你們猜我發(fā)現(xiàn)了什么東西？ 

我發(fā)現(xiàn)了兩份成績單，是同一個人，但是成績完全不一樣。左邊這張是真實的成績單，右邊那張是改過的。 

這時，女孩依然極力辯解，說自己只是在補辦會考成績單時順便 PS 一下而已。

她不知道的是，我已經(jīng)搞定了騙子的郵箱賬號，在郵件里我發(fā)現(xiàn)事實情況是：女孩自己其實有會考成績單，然后她在網(wǎng)上找辦假文憑的人來偽造會考成績單，結(jié)果被對方騙。

所以總結(jié)起來整個故事就是：女孩想造假成績來騙人，結(jié)果被騙，然后她再用一顆少女心來欺騙我這純真的少男心。

0x02 ：有故事的女同學(xué)

第二個故事是從一個微信紅包開始的，也是個很有意思的詐騙案例。云端蜂巢，不知道有沒有人在自己的朋友圈、微信好友里面看過。

一天,我在微信收到了一張云端蜂巢的圖片，是我一個失散多年的女同學(xué)發(fā)的，在我的印象當(dāng)中她好像在做微商，他說這是一個“交友、賺錢、好玩”的項目，作為一位安全從業(yè)者，我立刻產(chǎn)生了懷疑，又能交友又能賺錢還好玩？，先趕緊注冊一個再說 ！注冊完之后女同學(xué)告訴我：“你現(xiàn)在是 0級，必須要升級才能賺錢，于是他給了我一個賬號，說只要我給對方發(fā)10塊錢紅包就能升一級，于是我按照她的所說，成功升到了2級。 

這時我直接問我的“上級”：那我怎么才能賺到錢呢？他說你讓別人成為你的下級，然后發(fā)10塊錢紅包，你不就賺錢了嘛！ 

嗯，有道理！于是得到更多10塊錢，我找到了 PKAV 團隊的兩個小伙，讓他們“強行”成為了我的下級，以賺取他們倆的10 塊錢。 

顯然，這是一個利用微信紅包來做下線發(fā)展的傳銷網(wǎng)絡(luò)，只是單筆額度都很小。 

為了查清這個項目幕后是怎樣的一個組織，我進(jìn)入了一個微信群，結(jié)果剛一入群，就有很多漂亮姑娘發(fā)來各種的歡迎圖片，搞得我特別激動。

點開組織成員后，我發(fā)現(xiàn)群里的人都長得一一模一樣，但顯然不是因為在同一個地方整的，而是為了實施統(tǒng)一的頭像和統(tǒng)一的話術(shù) 。

這個群是一個怎樣的存在？每天的聊天內(nèi)容都是在勸你升級，勸你升到頂級（7級），勸你拉新人進(jìn)來。

大家可以看到，我所在的群一共有400多個人，而一共有多少個這樣的群呢？ 700多個。 

每個人都在忽悠別人關(guān)注一個公眾號，然后分到一個上級的微信號，發(fā)10塊錢紅包讓他成為你的“師父”，拉你入群，然后發(fā)給你推廣素材，教你拉下線的方法，然后你在給上級的商機發(fā)20元紅包，你就可以升到2級，再給上級的上級的上級發(fā)30元紅包，升到3級，再給上級的上級的上級的上級40元紅包，升到4級……最終升到7級，然后你就可以賺錢了，怎么賺錢呢？你去發(fā)展下線，發(fā)展一個下線，他給你發(fā)10塊錢紅包…… 

于是他們的層級是這樣的： 

很快我們就把這個做微信紅包詐騙的團伙給搞定啦！得到了很多信息，包括所有的數(shù)據(jù)庫、成員通訊錄等等，然后我又對這個項目做了一個統(tǒng)計：

歷時四個月,受騙人員15萬，人均金額150 元, 總額2200萬。 

請注意，這個案件中人均受騙金額只有150元，如果你是受騙者，你會去報警嗎？即使去報警，警察又會怎么處理呢？但是涉案的總金額就非常多，尤其是當(dāng)只有兩個人瓜分的時候，因為最后查出來的幕后操作者確實只有兩個人。 

一個微商，一個程序員。 

其中，這個微商有57000多個直屬下線，每個下線都是7級，這57000個人，每個給他70塊錢，那么他光是從這一個層級就能直接獲利350萬以上。 

當(dāng)我用數(shù)據(jù)層級分析軟件一下展現(xiàn)這個項目人群的層級時，最初即使我一直放大放大，結(jié)果依然是這樣的，人實在太多了：

     

于是我抽取了其中2000條數(shù)據(jù)做了這樣一個抽樣數(shù)據(jù)圖，用兩種形式展現(xiàn)出來分別是這樣：

從里到外，從左到右的每一個大圈的人的關(guān)系都比較復(fù)雜，通過拉下線，這些人都賺到了錢，像我這種單純的人就沒賺到錢，只是個孤立的點。

0x03 “真實存在”的投資集團

最后給大家分享的另一個也是利用微信實施詐騙的案例，但是這個就比較直接了。上次微信紅包那件事之后，我找到了另外一個新的項目，看起來是一個投資項目。  

對方聲稱 JVP 公司是一個以色列的投資公司，我立馬去百度了一下，結(jié)果不僅真有這么個公司，還是個專門投資網(wǎng)絡(luò)安全企業(yè)的公司。

對方告訴我，假如JVP投資之后，每天都可以分紅，然后他不斷強調(diào)JVP公司和阿里巴巴、360、盛景公司都有合作關(guān)系，我假裝說我想試試看，然后給他發(fā)了136 塊錢和報名信息（姓名手機號當(dāng)然是亂填的），于是我收到了一個靜態(tài)收益表。 

   

按照表在一個周期之內(nèi)，我就能賺410多塊錢，然后我還可以發(fā)展下線，發(fā)兩個下線就可以多賺60多塊錢。 

調(diào)查了這個團體之后，我發(fā)現(xiàn)果真有 JVP 這么一家以色列投資公司，也確實是投了很多網(wǎng)絡(luò)安全公司，但是我注意到微信傳銷那個人給我的的網(wǎng)址是 jvp.cc, 但是真實的網(wǎng)址是 jvp.com , 所以這個微信傳銷集團是在嘗試復(fù)制一家真的企業(yè)，或者是借這個企業(yè)的名聲去外面做壞事。 

這個項目的所有流水都是走的微信紅包，一共4萬多會員，人均1088元，歷時3個月，主要成員2人。

 一個微商， 一個程序員。 

大家可能會想，咦，怎么都是微商+程序員的組合？大家先不要笑，我覺得并不是說微商跟程序員組合適合去做這么個事兒，而是微商只有跟程序員組合才可能做出這么一些“大事兒”。 

我今天分享的幾個內(nèi)容，主要是希望通過這些比較獨特的案例，讓大家去發(fā)現(xiàn)、了解這樣的新型騙局，然后一起研究如何打擊，這樣的“非主流”騙局雖然沒有傳統(tǒng)意義上的騙局涉案金額那么大，單筆金額也不高，但往往上當(dāng)受騙者的數(shù)量同樣非常多，涉案總額同樣很高，同樣值得大家去關(guān)注。

最后我再次呼吁更多的人能夠加入我們反電信詐騙的隊伍當(dāng)中，一起去打擊這些層出不窮的新型詐騙！

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。