裸聊敲诈是目前为止从2019年开始就持续上升的一种新类型的敲诈手段,从去年圈内有一个小伙子中招开始我以为是个例,但是随着时间的发展,身边越来越多的人被敲诈,找我的都至少有三个例。

这种敲诈手段比较新颖,主要有几个特点:投资少,操作简单,获利高。

下面是我针对一个80多人裸聊敲诈团伙的分析拓扑图


咋们再来讨论一下关于如何获取到的这80多人PC权限的。

对于大规模的PC权限获取,我们不妨可以从诈骗者身上去找到,在持续性对诈骗嫌疑人监控中我们了解到了一个非常值得我们学习的地方。

比如下面这段对话:

A为:诈骗者
B为:受骗者

B:我们怎么知道你是不是一个真的贷款公司??万一是假的呢?
A:我们公司在重庆XXX地方,联系电话:xxxx ,你不信的话可以打电话询问。

可以看到A在诈骗之前就已经有针对B提出的疑问答案,而且包括详细的电话 地址都提供了,但是B肯定不会去验证,或者即便验证了,他也得不到A是不是诈骗的最终确定性。

B:我已经转给你们了,你们快下款吧。

A:经过查询,你的银行卡错误,导致打款错误,我们严重怀疑你涉嫌骗贷。

于是乎经过A那么几说,B被砍了好几刀,最后B无奈到了派出所报案。C为警察

B:我已经到xxx大队报案了,随后拍摄了笔录,你快把钱退给我。

A:你好,我们是正规的xx贷款公司,我的工作证,身份证,公司地址你都看到了,如果你有疑问可以致电我们的公司电话:400-xxxxx

以上整个过程,A一直保持着职业精神,不会骂受害者,也不会说任何多余的话,如果不细看,各位应该都会怀疑这是一个正儿八经的贷款公司。

在衍生到权限获取这里来,我们通常获取PC权限或者手机权限,无非就是植入我们的马子,那么我们就的要学习上面A诈骗者的 “真” , 真到连官方客服都无法分辨的程度。

就拿Flash钓鱼来说,这本身就是个烂大街的技术手段,就算没了Flash,

  1. 证书更新
  2. 浏览器更新
  3. 网站崩溃需要修复

等等思路多了去了,但是基本遇到的都只是学习了其中的技术,并未去研究其中的社会工程学,说白了还是 模 仿,既然要模仿我们就得做的足够真,而非半成品。

就比如 假鞋,假包 当做到了巅峰状态,超越了原来的制作者,消费者更加喜欢那个呢。当然是价格便宜 比真货还真的东西。

以上所述的话无法就是透露一个意思,那就是 一个假的东西,当你做到了极致 他就是一个真的,80多台PC权限的获取到权限维持都是不小的量,并且还要保证这80多个人都不能发现任何猫腻,一旦发现就等于全盘崩溃,所以 我们就需要研究一个软件从下载,到安装,再到他干了啥,我们都得模仿;

其中对 技术人员的突破也是个不小的挑战,如果东西做的不够真,厂家派技术人员来看,就能看出端倪。

可能各位师傅看着这长篇大论,结果最后就一个总结,就是做的真,各位师傅都会踩我。但是我们就是靠这条路子拿下了这80PC,