《我协助破案的那些年》：网络安全工作者的女朋友深陷刷单风波！

本文纯属虚构，如有雷同，纯属巧合

故事一：震惊！网络安全工作者的女朋友深陷刷单风波惨失去......！

现在不干网络安全工作了，在家养老看茶铺的我，偶尔还会有些老友来到我的茶铺里面坐一坐，喝喝茶，摆一摆龙门阵。他们总是三五成群的点上一壶龙井或是碧螺春，摆上一盘瓜子和猪肉脯，天南海北的聊着，上午聊着哪家出了新的0day；下午又说哪家的0day出了exp还是poc。有时候他们还会聊着行业八卦，哪家的哪家又在干什么了，哪家的什么文件里面又有后门了。我在屋内开着小窗听着，却也别是一般感觉。我也曾以为这种混日子的生活可以持续到二三十年之后，却没想到才租了这家茶铺几年，就有人按着当初的暗号上门求助了。

这让我想起了当初设置的这个暗号。我常于门前摆一壶开水，一壶普洱，三个茶杯，慢火细煮。若是来人不懂暗号，拿起那三个不同的茶杯随意把弄，那我也便不管罢了。若是来人按照一杯清水两杯普洱的前一后二的顺序摆杯，便是知道来人是有技术难题，我便会拿出一个投影仪，连接上他带来的电脑，让在茶馆里面的朋友尽力解答，若是解答出来，便可免了茶费。若是来人按照一杯清水一杯普洱一杯清水的顺序摆杯，便是得知此人来意是为工作，又或者是想找工作，又或者是有工作不顺心的事情想跳槽，又或者是想要转岗做技能提升。如此来意，我便会让他把简历与联系方式留下，待到晚上九点，关门以后，我便带着简历送到相关朋友那边，实习的送与hr，跳槽的送与猎头，转岗的送与相熟的培训机构。若是来人按照一杯普洱一杯清水一杯普洱的顺序，便知道是因为生活问题，如此我便会将其接到内屋，或资助资金，或给以其他的帮助。若是来人按照两杯普洱一杯清水的顺序，我便知来人是因家人深陷事件之中而来求助，如此我便把事情在小厅当中公开，让各位茶客来想办法解决，或是我自己出力将其解决。

我本以为当初设置暗号的时候不会有人按着暗号上门拜访，便也并未将其当回事。没想到我租下这个茶铺才没有几年，便有人按着当初为了避免打扰设置的暗号来上门拜访，这不经让我有了些许的诧异。

来人是很年轻的一对小情侣，男生在那先倒茶，那女孩却哭的梨花带雨。我开始以为这一对情侣是在那瞎摆弄，但是那小男生倒了茶以后端起茶盘走了进来，那女孩哭的梨花带雨的还说：“这都时候了你还弄这个干嘛，你不是说这老板是个技术达人吗，怎么还会有这么多规矩呢。”

“就因为老板为了避免别人打扰，才设了规矩。哎呀我说你别哭了行不行，不是说了来试试吗。”

那男孩进来过后，我看了看他茶盘上的摆位，便引他两到了小厅之中。一路上那女孩哭的依旧啜泣。眼泪啪啦啪啦的掉，我不禁感慨一口，这狗粮真他妈的好吃，草。

来到小厅里面那男生劝住了女孩的哭泣，那女孩才把情况的慢慢的说出来。

“情况是这样的，前两天我做了兼职的刷单然后一开始刷了几千块钱，但是一开始我也没想到是骗钱的，因为客服那边确实把钱返回来了，但是没想到越刷越多，结果刷了大概五六万的时候这钱就没回来了，我才知道被骗了。”

我听完我就知道这是典型的刷单兼职诈骗，但是我纳闷的是小a作为她男朋友，还是个典型的网络安全从业人员，怎么会让自己的女朋友被骗，这让我真的很不解。

我拉过小a过来问详细的情况。小a也才慢慢的说了出来“我哪知道她啊，一开始她都没跟我说，还天天喊陪她，我才工作没多久又是天天应急驻场都忙不过来，哪有功夫啊”

我回想了一下小a的工作情况，好像也是在某安全行业乙方工作人员做驻场，没办法，加班嘛，常态了，底层人员没有尊严的嘛。。

我先让小a安慰了一下他的女朋友。等他女朋友心情平稳了。我继续开口问到：“截图啊，记录啊，账号啊都留着了吧”

小s止住了啜泣才缓缓的说“聊天记录都有，截图跟转账记录都在手机里面，这些都没删，而且在之前也报过警了，这是警方的受案回执”

我拿了过来看了一下，顺便看了一下小a“还好你这个教了，要不然我都准备喷你了”

小a战战兢兢的说“那大哥你现在准备怎么弄”

我撇了一眼小a跟小s说道“钱的话就等着吧，就算是把人抓到了，才会走退赃的流程，把你小女友拉回去好好教育去”

我看了看他受案回执上的的联系方式，好像还是个相熟的警官，我掏出了手机打了过去“张sir啊，那个刚刚上午的时候有一个小女生在你们那报了案，人又到我我这来了，刚好发现是熟人，我这不找你来聊聊吗，需不需要我协助一下啊”

“技术大神来协助啊，那我可非常欢迎啊，那要不你下午来我这把手续给走一下，协助一下？”

下午的时候，我便驱车赶往了警局，找到了张sir，拿到了协助调查案件的手续。

我回家梳理了一下这个事情的情况。

首先是先加入到了学校的学生交流群，学生的寒暑假兼职交流群一类的大部分为学生的讨论群组，也有部分直接建立成群组等待学生加入，受害人大多数是学生，而且大部分都是迫切找工作赚钱生活的想法的学生。前期先用以高回报，高单酬来诱惑学生进行多次的佣金抵押与刷单的金额支付，到了后期，刷到几千元的单，或者是价值上万的单的时候就会失踪，并且拉黑所有的联络方式，而且由于部分的支付渠道都是第四方支付渠道或者是跑分账号，也有一部分是直接盗用他人的支付账号，所以对于支付方面的追查会很难。但是也有部分是直接用的相关账号，这里面撞运气的成分还是有点的。

既然已经把思路顺序给理清楚了，那么就可以准备着手分析溯源了。

最开始最前期应该还是正规的网络店铺的刷单，这个应该也是属于产业链条的一部分。之前我也是略有耳闻，比如用账号购买发空包这种的也是属于刷单的流程之一。后面给小s发的链接就是属于那种站外链接了。算是那种仿站的手段了。不过在这个事件的里面也算是一个线索了。最后就是关于资产与赃款的转移，我看了看这一块交易的流水什么的是属于那种跑分的性质，大多是利用了人性当中有的人爱贪小便宜的点。去获取账号，然后进行支付，每个账号大多只会用一次。

我尝试这使用了小s的账号再去与对方沟通，对方好像是发现不是同一个人，并没有继续交流下去。不过我用了我一个小号申请加入了他们的群组，在群组当中，对方在一直发着一些关于刷单的转账支付报酬，在截图的下面还会有刷单的网站链接，群里也有不少学生在说着确实赚到了钱，在我看来，至少在他们眼中看来，一单的三五十的报酬也是对于大部分的学生来说，是有一天很不错的生活了，可以去加一顿餐，去饭店点一个小炒，去网吧上几个小时的包厢，对于他们来说，这样改变一下生活的机会，为什么不去做呢？

而我现在要做的事情，就是开始分析他们的这个站外链接。我先看了一下这个网站，是仿造的网店的风格搭建的。如果我不是一开始仔细的分辨网站当中的一些外部链接与文件，如果我不看链接的话，我也会以为是正常的网店链接。也难怪没有这些网络意识的学生会被骗。

我先用了一些路径扫描的工具开始对网站对后台目录扫描，发现了后台路径admin888.php。我特么对没想到都这么多年了还有人用admin888做路径啊，一开始我想着先用一些简单的弱口令去尝试登陆，结果没想到我还真的登陆上去了（扯淡呢，假的，哪有那么容易啊）弱口令没登陆上，于是乎我祭出了burpsuite神器，爆破功能，打开就是干。

结果bp无果，无奈，我只能找到我的好朋友索要某0day打穿登陆上。（别问，问就是0day小达人）在后台，我看到了不少的交易流水，小s的流水只是中间很微不足道的一点点，可

以说是沧海一粟。在后台我也看到了，其实就是跑分平台的性质，一个支付账号只使用一次，然后大规模的使用收集的支付账号。

随后我有打开查看了日志功能，把里面IP地址全部记录了下来。然后把这些信息打包好了我开车去了一趟警局，把信息送给了张sir。

张sir说会按照提供的信息与本身的信息进行判断。如果证据都确定且可以落实到嫌疑人的话就会进行抓捕。这一个事情到这也算告一段落了。需要我出力到地方已经结束了。

再过了一段时间，张sir让我去领取感谢信。而小a带着小s也来到了我的茶楼，点了一大堆的单品，向我表示感谢，顺手说一句，小s好像说要给我介绍小姐姐，那我是不是离脱单就不远了。

本篇故事提醒点：切勿轻信线上关于刷单、跑分等类似平台带来的高回报，天上不会掉馅饼，有的只可能是陷阱。