社工案例:骗子骗了我500美元,最后却求我不要告诉他父母 -合天网安新闻 

社工案例:骗子骗了我500美元,最后却求我不要告诉他父母

发表于:2016-09-15 10:30:00 来源:  黑客与极客 阅读数(0人)



故事的开端


记得那一年是2012年,我当时参加了“系统管理员日”(SysAdmin Day)的比赛,还一不小心获得了冠军。主办方以漫画的形式记录下了我在比赛中讲述的求职故事(下图所示)。于此同时,主办方还给了我两张总共价值500美元的苹果商店购物卡作为奖励。而正是这两张购物卡引出了接下来的一系列故事。




自从拿到了那两张购物卡后,我每天都在想方设法地要用掉或卖掉它们,但“臣妾”做不到啊,因为本人不在美国。于是乎,reddit便成了我最后一根“救命稻草”。


我知道在reddit上有很多骗子!不过我觉得用比特币交易应该没问题,因为骗子无法在我提供了购物码之后再把钱收回去。我跟一些有购买意向的买家聊过,但是有的买家聊了一会儿就没下文了,而且有的买家竟然想低于半价购买。你TM一定是在逗我…


天空一声巨响,骗子闪亮登场


在此之后,我就被骗子盯上了。我与骗子的第一次搭话是在reddit上。这位骗子的用户名因为种种原因改来改去,不过我没什么好隐瞒的,所以为了让他信任我,我就把我的真实身份告诉了他。下面是我和骗子的对话:


Ungustly(骗子的昵称):你那两张购物卡还卖吗?这是苹果商店的购物卡还是iTunes的?380美元的比特币能成交的话请私信跟我联系。


我:卖啊,是苹果商店的,不过只能在美国的苹果商店使用。卡号分别是


6066 XXXX XXXX 2453和6066 XXXX XXXX 2012,你可以拨打1-800-MY-APPLE验证这两张购物卡的真实性。你还可以通过以下方法核实我的身份:


1、点开此链接

https://www.wired.com/2015/07/proxy-services-totally-unsecure-alternatives/

2、点击文中的”wrote a script that analyzed 443 open proxies” ,会跳转到我的博客

3、点击“关于我”,你会看到我的个人资料。如果你能接受0.6400个比特币的价格,请转账给我,我的每篇帖子底下都有账号(1ChrisHMgr4DvEVXzAv1vamkviZNLPS7yx)。到账后我会把密码发给你。

骗子:让我先给你转账?没门!我在网上交易过很多次了,而且我ebay上的好评数量已经超过150个了。我觉得,你比较像骗子吧?反正我不会先给你转账的,因为我有ebay的好评而你没有。


他不信任我,我一点也不感到奇怪,因为网上骗子确实太多了,也许我真的是其中一个呢。不过我也不相信他,说不定他的ebay账号是买来的呢。


而他是这么回答我的:“ebay账号买不了。因为要实名认证,如果认证信息无法通过的话,就会被封号。这就是我的ebay账号,我可以用ebay给你发私信验证真假。”然后他就用ebay给我发了条私信,截图如下:




他确实没骗我,他在ebay上的信誉极好:




这两张购物卡我已经卖了四年了,现在终于可以摆脱它们了!管他呢,他应该不是骗子…吧?


于是,心存侥幸的我就把两张购物卡的密码告诉了他,并且叮嘱他记得付款给我。


然后他想让我把卡片寄给他,因为没有卡就无法在苹果实体店消费。然后他就给了我一个假的地址,而我就按假地址给他寄过去了。我也是服了我自己了!


幸好我保留有购物卡的照片:




我在把购物卡寄给他之前发了这张照片给他,照片我一直保存在PictShare上。我还给他发了物流单号。这是查询物流的网址:


https://www.post.at/en/track_trace.php/details?pnum1=RS316003643AT


把卡寄出去之后,我天天都在查看有没有进账记录,然而我啥也没收到…于是,我登录我的reddit准备找他算账,没想到这货竟然把他的reddit账户注销了!当时我的内心是崩溃的!





好戏开始了


这时我已经确定他是骗子了,于是我马上在ebay上联系他,并试图把钱要回来。


Ebay上的聊天记录:


我:“你好,我是reddit上的geek,我发现你的reddit账户注销了,你还没把购物卡的钱给我呢,你拿去消费了吗?”

骗子:“不好意思,你是哪位?我从来不用这个账号,除了网购的时候。哦对了,我的ebay账号和电子邮箱前段时间被盗了,盗号者还用了我的PayPal和ebay。所以这不关我的事,我不会给你钱的。对于你的遭遇我只能深表同情。”

我:“演得挺像那么回事啊!我给你4天时间,不把钱给我我只能告你了。”

骗子:“那你告我啊!我还要告你恶意诽谤呢!我是学法律的,你别吓唬我。我压根就不认识你,更不知道你在说什么。我从来没买过你的东西。如果你再骚扰我我就要报警了!”

他绝对是骗子!他的账号根本没被盗,因为我在谷歌上搜索了他在reddit和ebay上使用的昵称,发现他在Steam上用的也是这两个名字。我通过ebay找了他之后,他连ebay的昵称也改了。




然后,我通过以下方式掌握了更多骗子的信息 :


1、招聘网站


他之前的ebay用户名正好跟他在招聘网站上使用的用户名一样。




事情发展至此,我已经得知了他的名字、他姓氏的首字母、他所居住的城市、以及他的IP地址(我还知道了他目前所在的位置)。


2、他的好友


我在Facebook上输入了他之前使用的ebay用户名,然后搜索到了他之前发的一条状态。




但是这时还看不到他在Facebook上的个人简介,帖子也看不了,因为他的Facebook设置了隐私权限。




这不要紧,因为骗子的好友所发的帖子都没有设置访问权限。我翻到了四年前的一张帖子,终于发现了跟骗子有关的信息,这简直如获至宝啊!





那是一张英雄联盟的游戏截图,背景是Facebook,然后我就在截图的好友列表里发现了这个骗子,于是我就知道了他的全名。


3、他的家人


十分钟后,骗子全家人的Facebook简介都被我掌握了。我还在他母亲的Facebook里找到了他的照片,于是我当然要保存好了,说不定我心情好的话会报警呢!然后我添加了他还在上大学的哥哥为好友,并给骗子的哥哥和母亲留了言。内容如下:


你好,我叫Christian Hasche,我是安全研究公司HascheSolution的老板。我想跟你聊聊你弟弟,他就是Reddit上的大骗子!几个星期前,他骗了我价值500美元的苹果商店购物卡。他说他要买,但在我把东西给他之后,他就注销了他的reddit账户。但我通过他的IP地址和ebay账号找到了他,现在我已经掌握了他全部的个人信息,如果要起诉他的话这些证据足够了。

我知道他的IP地址、邮箱地址、steam、以及ebay等一切账号,当然,我还知道他的住址和生日。我通过各种渠道联系了他很多次,但是他死活都不承认那是他干的。他才22岁,我并不想交给警察解决,因为我在他这个年纪也干过蠢事,我不想因此毁了他的未来。我跟你联系是想问你这事该如何解决,正如我所说,我不想毁了他,但是他不能再去骗别人。



我把事情的大概情况跟他哥哥说了,我并不想报警,因为这会毁了他。


他的哥哥震惊了!


大概十分钟后,我在reddit上收到了骗子的留言,内容如下:


我是reddit上的ungustly。我为我所做的蠢事向你道歉,我只是一时糊涂。我只是一个全日制学生,也没有工作。我已经联系了苹果公司,并把购物卡要了回来。购物卡余额还有477美元,其中一张没用过,我可以把购物卡还给你。但求你不要难为我,我再也不会干这种蠢事了,我真的觉得很后悔。

其实我并没有比特币,要是我有的话我早就给你了。我是个普通的大学生,我真的一毛钱存款都没有。求你放过我!这几天我因为这件事还得了焦虑症,我真的很害怕。我现在只求你放过我,我真的知道错了。我再也不会干这种蠢事了。如果我有钱我会马上给你,但是我现在真的没有。因为我每天都得上课,所以没法工作,我是真的很穷,穷得只能吃廉价的快餐。我请求你原谅我,并把购物卡收下,我真知道错了!

从他的留言内容看来,他貌似真的被吓坏了。他想把购物卡还给我,可是我想摆脱那两张购物卡已经好几年了,我才不想要回来。所以我让他把购物卡卖掉,然后再把钱给我。最后他照做了,我俩的交易就此结束啦!


我说过我不会报警,但要是被我发现他又去祸害别人,那我肯定会毫不留情地揭发他。


后来他又给我留言了:


我再次向你道歉,也要感谢你。另外,我想拜托你删掉我家人和我朋友的联系方式,我哥因为这件事气炸了。趁我妈还没看到你给她的留言,拜托你删掉吧,求求你啦!



我觉得,他应该有阴影了,他应该不敢再去骗别人了。


经验总结:


1、你的社交媒体账号也许设置了隐私访问权限,但你的好友却不一定设置了。所以这个功能只有当你和你的好友都设置正确的时候,才能发挥其最大功效;

2、不要在网上使用相同的用户名;

3、如果想要通过比特币交易的话,尽量使用中介服务; 


相关新闻

大家都在学

课程详情

信息安全基础

课程详情

网络安全漫谈

课程详情

网络安全事件