利用社交网络获取骗子的信息

更新日志

  • 2019-06-24 初稿
  • 2019-07-10 骗子已归还钱
  • 2019-12-09 修改几处 typo

背景

朋友 A 在闲鱼上遇到骗子 B,被骗金额 1000 元。因为使用微信转账故走平台是无法解决的,能做的就是利用该骗子 B 现有的信息顺藤摸瓜搞到她的真实身份、真实姓名、学校,身份证号、家庭住址等信息。耗时巨大,将近 6 个小时,一点一点地从及其微小的线索找到了她的实名信息。同时也为自己在隐私保护方面敲响了警钟。

1.获取真实姓名

刚开始从朋友 A 那里得到骗子 B 的信息有:手机号、闲鱼 ID、微信 ID、微博 ID。有了手机号及其方便,整条线索都是围绕这个手机号来进行的。通过闲鱼 ID 确认到她的姓应该为 [X]。接着利用支付宝转账,使用手机号搜索到她的支付宝账号,通过支付宝转账界面看到她名字最后一位是 [Y]。然后高潮来了,向她转账需要确认她的身份,而且显示的仅仅一位 [Y] ,可以判断出她的名字是两位数。于是尝试了一下,输入一个假的姓,提示转账失败。但再次尝试输入从闲鱼 ID 获取到的姓 [X],提示转账成功(给她转了 1 分钱)!支付宝神助攻,于是确定了骗子 B 的真实姓名为 [X][Y]。注意:支付宝如果自己关闭了真实姓名显示的话,在转账的时候是不会显示任何姓名信息的。通常情况下一般人不会关闭,默认是开启显示真实姓名的。如果姓名有三位的话,转账页面会显示两位,其中姓会隐藏掉。

2.获取快递收货地址

在骗子 B 的闲鱼上,她发布了一个物品 C,且通过描述在某市 D 可以面交,于是就确认了骗子 B 目前就在某市 D。通过物品 C 的订单找到了淘宝店 E,于是直接联系淘宝店主 E。开门见山说要买骗子 B 的收货信息,当然店主 E 肯定是不会给的啦,我猜也是 😂。于是另劈一条路出来。

3.综合使用各大网站密码找回

通过闲鱼里的个人页面确认了她是某市 D 某校 F 的大学生,于是进她学校官网了解以下她的学校。使用强大的搜索引擎搜索 [X][Y] site:*[该校域名].edu.cn 。看看能不能找到包含她名单之类的信息,比如获奖名单、奖学金名单、表彰名单之类的,然而并没有抓到任何有用的信息。于是关注了她们学校的微信,找到了她们学校的一个校友平台。利用该校的校友平台我尝试用一个虚假的手机号登录一下,发现提示没有注册。于是再用骗子 B 的手机号登录,提示密码错误。尝试了一下密码找回功能,发送验证码成功。从而确定骗子 B 确实是该校的学生。

想到她是学生,那肯定在学信网上有信息。于是利用学信网的密码找回功能,输入她的手机号和验证码之后,出现了三个有用的信息。第一,学信网手机号的确实她本人的手机号;第二,身份证号第一位和最后一位;第三,她的 QQ 邮箱前三位。

接着尝试了京东、百度、微博、淘宝、12306 等密码找回功能,确实有账号,但通过密码找回功能,并没有其他有用的信息。

4.从微博入手

就在一筹莫展的时候,突然想到她还有微博。之前大致浏览了一下,但没有发现有用的信息。于是再次仔细阅读她的每一条微博,在她的最早的一篇微博里。她转发了 QQ 空间里的说说截图,在这条微博里发现了一个及其重要的线索。从该微博 QQ 截图里可以确认到骗子的好友 H 和好友 H 的微博。于是进入到好友 H 的微博找线索,在好友 H 的微博的博客页面,找到了好友 H 转发的一篇 QQ 空间里的文章,并且有好友 H 的 QQ 空间链接。点进入后发现不是好友无法查看 QQ 空间,但从地址栏里的 URL 找到了好友 H 的 QQ 号。于是加上了好友 H 的 QQ,居然秒通过!感谢腾讯神助攻!

5.从 QQ 空间入手

得到骗子好友 H 的 QQ 后,翻看他的 QQ 空间动态,从 1000 多条说说里找实在不方便,好在空间说说页面的底下有跳转翻页功能。于是翻到 2017 年的时候骗子好友 H 转发的骗子 B 的那个说说,也就是骗子 B 在微博上最早的那条说说。于是我点进骗子 B 的空间,居然允许陌生人查看,真实天助我也!腾讯又来一波神助攻啊 😂!QQ 空间里、点赞、转发、评论都等,陌生人会看到非好友的 QQ 昵称,但只要鼠标放在 QQ 昵称上,就会显示其 QQ 空间的 URL 地址,而通过 QQ 空间的 URL 地址是可以确认到 QQ 号的。这点腾讯又来了个大的神助攻。结合使用学信网密码找回搞来的 QQ 前三位,准确无误地确认到骗子 B 的 QQ 号。学信网密码找回显示的 QQ 邮箱前三位正好和骗子 B 的 QQ 号前三位相同,看来这个 QQ 号绝对是她本人的 QQ 号。如是进骗子 B 的 QQ 空间摸索,好在骗子 B 的 QQ 空间设置为允许陌生人访问,能一览无余她所有的 QQ 空间动态。


叨叨

在骗子 B 的 QQ 空间里,翻了将近 2 个小时 😭 可累坏我了。撇开失信于人这件事儿,在她 QQ 空间里看到的她是一个很优秀的大学生,有自己喜欢的爱好,而且这个爱好和我姐一样,并始终坚持着这份热情,我内心真的很佩服佩服。但很遗憾,在金钱和利益面前,任何人都可能会沦为奴隶。她不是完美无缺的人,我也不是完美无缺的人,任何人都会犯错的。但我想到,从 QQ 空间里看到的她是多么的友善,有自己坚持的目标,愿意为自己所爱之物付出时间和精力。写到这里真的不忍心给她加上骗子的标签,但她确实欺骗了我的朋友。可能是一时的财迷心窍让她犯下错误,可能是她的确缺钱。我想她心里其实也是愧疚与人的。朋友 A 是因为骗子 B 说她手头紧,才信任她的,但善意不该被利用啊 😞。
这也让我想到了厉害国的失信名单与征信系统,以后管制的也越来越严格。虽然我朋友 A 被骗子 B 欺骗了,钱没了。但我还是坚决地反对这种失信名单与征信系统。一人失信全家遭殃,这种制度在专制国家只会沦为独裁政府控制人民的工具。难道老赖就应该受到欺负吗?难道老赖的儿女就要为此付出代价,不能上学吗?这种制度早已经侵犯了人权。我对这种制度很悲观,它会和人脸识别、大数据等结合在一起,来为当权者维护社会的稳定,俗称维稳。火车霸坐上征信、公交车外放抖音上征信、欠账不还上征信、垃圾不归类上征信、发表老大哥不爱听的言论上征信等等。什么行为上征信?行为不端吗?然并没有一个明确的法律规定,就和寻衅滋事罪一样。我觉着在自由民主的社会,社会信用体系的维护不应该是通过强制性的武力,限制失信名单上人员的自由。虽然我从不失信于人,但我还是愿意为失信人维护、捍卫他们的人权和自由。


闲扯这么多 😂 回归正题。在 骗子 以后用卖家 B 的 QQ 空间里,翻遍 500 多条说说,从大学到高中。最关键的是一条她发的一张火车票,而且没有打码。而且火车票上的姓名与她的支付宝姓名相同,身份证号第一位和最后一位正好和从学信网那里搞来的一样。但火车票上缺少出生日期。通过她发的一个她星座的说说,以及她 QQ 空间里的生日提醒,准确确定了生日。从而结合火车票确定了她的身份证号。

接下来高潮的时候到了,拿到这些信息怎么进一步确认呢?还是去学信网找回密码,不过这次不用手机号,而是用身份证号和姓名,结果一看果然和手机号找回密码的结果一样!还是不死心,再上了教师资格考试成绩查询的网站,输入她的姓名和身份证号,果然是她本人。由此判定了身份证号以及真实姓名。

她的 QQ 空间对于此时的我来说简直是个“宝藏”,挖掘到各种有用的信息,又通过她发的说说找到她是 201X 级的学生,某校某专业某班。某市区某中学毕业的学生。最后不忘使用 chrome 浏览器保存了这个个 QQ 空间动态的页面,这样防止她发现后而关闭陌生人允许访问。

6.定位地址

拿到准确的身份证号之后,通过身份证号查询到她户口所在的市区,但无法精确定位到是哪个曲线或街道?身份证 15 位和 16 位是可以准确知道户口所在地的派出所编号。于是询问了一下在派出所上班的哥们,他说可以通过身份证号确认到户口所在地的乡镇和街道。但他目前没有查询的权限,所以无法帮到我。于是我又在 Google 和 baidu 上搜索卖家 B 所在市的身份证图片和身份证号,看看能不能找到与卖家 B 身份证号 15 位和 16 位相同的身份证号,但是很遗憾没找到。如果报警立案的话,派出所的人很快就能搞出来,但目前还不想立案,因为这样会伤害到卖家 B。我不想因为这件事儿,而让她纳入失信名单,在她的档案里留下污点。希望她能理解我的好意把钱归还。

7.定位公司

这个并不是很准确,通过卖家 B 的微信昵称可以确定,她在某市的一家教育机构里上班。在谷歌里搜索了一下这家公司,正好和她微博上发图片的定位地址在一个市区。但不是很确定她是否还在这家公司上班。找了一下这家公司的招聘信息,还是没有找到有用的线索。

8.结尾

到此结束,耗时 6 个小时,一直在利用各种线索找找找找找,弄完后感慨万千。掌握的信息有:她的真实姓名和身份证号、手机号、学校、年级、班级、毕业高中、以及一些她舍友的 QQ 号,她所在社团的 QQ 群等。终于告一段落了。于是我使用我美国的手机号给她发了短信。

9.忽悠短信

我希望你能诚实守信,你考过教师资格证,道德底线你应该明白
你已经涉嫌欺诈犯罪,我们这儿超过500元派出所就给立案。
但我不想走司法起诉的方式解决这件事儿。因为这样对你的前途
有极大的影响。首先你会因为这件事被纳入失信名单,上征信系统
往后你买火车票都买不到,整个家庭都会因为你失信而受到影响
你当老师也会受到影响。希望你能冷静地考虑清楚,把该退款的钱
归还与我。不要逃避,逃避是解决不了问题滴,我有充足的时间能
弄到你父母的联系方式。但我真的不忍心打扰你的父母。为了你身
边的朋友,以及你的辅导员,同事,舍友,还有社团里的同学等,
我不想去打扰他们,但你要是死赖着我就不敢保证他们知道
你失信于人后会对你有什么看法和影响。我已经得到你舍友以及社团
还有你辅导员的联系方式。希望不要因为这点事而自毁自己的前途。

其中有些话是危言耸听,故意吓唬她。😂

结局

第二天我朋友再次联系她,她回信息了,之前是不回的。她说下个月十五号发工资就还。但我朋友 A 还是再次同情她一次,允许她下个月还。这是第三次故意拖延了,我为朋友 A 的做法感到无奈。没有办法,卖家 B 比我朋友 A 的妹妹还小,还是个学生和老师。朋友 A 心太善良了,朋友 A 很早就辍学了所以一向很羡慕和尊重大学生和老师,所以这次再次允许卖家 B 拖到下个月还钱。

骗子 B 最终在 7 月份归还了朋友 A 钱,其实骗子 B 并不是专业的骗子,可能是一时财迷心窍或者缺钱花才不讲信用不还钱给我朋友的。

时间线

  • 从闲鱼 ID 推测骗子 B 的姓名为 [X]
  • 通过支付宝转账确认骗子 B 的全名为 [X][Y]
  • 通过骗子 B 闲鱼发布的闲置确认到骗子 B 目前所在城市
  • 使用手机号通过学校校友平台确认到骗子 B 所在学校
  • 在骗子 B 微博上找到骗子的好友 H 并加好友秒过
  • 骗子好友 H 的空间里找到骗子 B 的 QQ
  • 在骗子 B 的 QQ 空间里找到未打码的火车票
  • 根据 QQ 空间生日提醒确认到骗子 B 的生日
  • 火车票 + 生日推断出骗子 B 的身份证号
  • 在学信网确认手机号、姓名、身份证号一致
  • 在教师资格证成绩查询网站确认以上信息

教训

整个过程花了 6 个小时,从各种网站上提取信息,我深刻意识到隐私保护的重要性,及其重要。这篇博客的目的不是为了去人肉陷害他人,我希望是用合法的手段利用逻辑和推理来捍卫自己的权力,整个过程没有违法,没有侵害到他人权力,仅仅是利用一些 公开的信息进行推理和判断,从而找到自己想要的信息。关于隐私保护我觉着编程随想大佬总结的十分好,大家可以自己搜搜去读一下,他写过整个系列的文章,十分强烈推荐去读。在此我不贴出链接,有能力的人自然可以找到。我仅仅是补充一些,以及一些切实可行的措施来保护我们的隐私。

措施

1.关闭任何网站或社交软件使用手机号登录
2.不同的网站账号使用不同的邮箱注册和绑定。可以使用 outlook 的别名功能,为不同的账号分配不同的邮箱别名,别再用 QQ 邮箱啦 😂。而且 outlook 邮箱别名功能所有的地址都会发送到一个邮箱中,十分方便。不过我使用的是自己域名的邮箱,在 namecheap 开启邮件转发功能,会将我域名下所有的邮件转发到我的 gmail 中。这样也很方便,不过这样也会暴域名。
3.朋友圈、QQ 空间等社交网站禁止陌生人访问,虽然我早已删光了所有的 QQ 空间动态和朋友圈。
4.社交平台的生日不要设置为真的,也不要设置城市学校等敏感信息
5.火车票、机票、电影票等别再晒了,那点虚荣心值得晒嘛 🐎
6.各个网站之间不要有关联,闲鱼不要链接微博等网站
7.还有很多待补充,欢迎在评论区留言。

经验

关于隐私保护的详细系统的方案墙裂建议看一下安全经验总结