文章总结: 本文通过两个真实案例深入剖析了裸聊敲诈和虚假二维码诈骗的作案手法与技术原理。裸聊敲诈利用木马窃取通讯录配合录屏实施勒索,二维码诈骗通过篡改支付金额参数实施盗窃。警方从打击木马开发者和商户包装黑产链条入手,揭示了网络诈骗的完整产业链,并针对两类诈骗提出了差异化的侦查思路与防范对策。 综合评分: 86 文章分类: 威胁情报,安全意识,应急响应,恶意软件,实战经验
深夜的QQ好友申请,让我一夜回到解放前
原创
子午猫 子午猫
网络侦查研究院
2026年3月23日 07:44 湖南
#
一、凌晨两点的“附近的人”
2020年10月22日,凌晨两点十七分,海河石街道某小区。
曹明躺在床上翻来覆去睡不着。三十八岁,离异三年,在皮革厂当车间主任,白天管三十号人,晚上回家对着四面墙。
手机屏幕在黑暗里亮得刺眼。他打开QQ,点开“附近的人”。
列表刷新,第一个头像是个穿吊带的女人,昵称“小薇”,距离0.5公里。签名:“深夜寂寞,想找个人聊聊天。”
曹明手指悬在屏幕上。他知道不该点,但手指有自己的想法。
添加好友。秒通过。
“哥哥还没睡呀?”小薇发来消息,配个害羞表情。 “睡不着。” “我也是呢,一个人在家好无聊。”
聊了十分钟,话题越来越露骨。小薇发来一张照片:昏暗灯光下,女人侧脸,肩带滑落。
“想看更多吗?”她问。 曹明喉咙发干,打字:“想。” “那我们视频吧,用QQ视频。”
曹明插上耳机,点开视频邀请。接通后,画面里是个长发女人,穿着暴露,背景像是宾馆房间。
“哥哥,你也让我看看你嘛。”声音娇滴滴。
曹明犹豫了三秒,把摄像头对准自己上半身。女人开始脱衣服,他也跟着脱。
三分钟。视频断了。
曹明还没回过神,QQ弹出一条消息,来自另一个陌生账号:“兄弟,刚才的视频很精彩。”
附上一段视频截图——正是曹明赤膊的画面,还有他通讯录的截图:父母、前妻、同事、老板的电话号码,全在上面。
“你想干什么?”曹明手开始抖。 “很简单,转一万块钱,视频删掉,通讯录也删掉。不然,我把视频发给你通讯录所有人。”
曹明脑子嗡的一声。他月工资六千五,一万是他一个半月的收入。 “我没那么多钱……” “那行,我先发给你爸妈看看。”
五分钟后,曹明手机响了。父亲打来的,声音颤抖:“小明,你……你刚才发什么视频给我?”
曹明眼前一黑。骗子真发了。 “爸,那是假的!我手机中毒了!” “可……可上面是你啊……”
挂断电话,QQ消息又来了:“看到没?我说到做到。下一个发你老板。”
曹明瘫在床上。皮革厂老板是个老古板,要是看到这种视频,他工作就没了。
“我给钱……别发了。” “微信转账,账号发你。”
曹明打开微信,把银行卡里仅有的八千转过去,又找同事借了两千,凑够一万。
转完,他问:“删了吗?” “删了。但还有个事:刚才视频录了你的脸,我们数据库备份了。想彻底删除,再交五千保密费。”
曹明血往头上涌:“你说话不算数!” “随你。明天上班前,你老板手机就能收到视频。”
凌晨四点,曹明又转了五千——用花呗套现的。
转完,对方把他拉黑了。
他坐在黑暗里,手机屏幕的光照在脸上,惨白。通讯录里,父亲、老板、前妻的名字,像一根根刺。
窗外天快亮了。他该去上班了,但他不敢出门。
二、同一个月,另一个陷阱
2019年11月29日,晚上八点,海河金官镇。
王某刷着微信“附近的人”。他四十二岁,货车司机,常年在路上跑,老婆孩子在老家。
一个头像跳出来:风景照,昵称“清风”,签名:“海宁本地交友群,真诚交友。”
王某加了。对方很快通过:“哥,想交朋友吗?我们有个本地群,都是海宁的,经常组织聚会。”
“什么群?” “同城交友群,男女都有。扫码进群,交9块钱入群费就行,防止广告党。”
一个二维码发过来。王某扫了,跳转到支付页面:“支付9元入群费”。
他点了支付,输入密码。
支付成功。但页面没跳转到群聊,而是显示“支付失败,请重试”。
王某又扫了一次,支付9元。还是失败。
他问“清风”:“怎么回事?” “可能是系统问题,你再试试。”
第三次扫码,支付9元。这次成功了,但页面显示:“您已支付900元”。
王某愣住。900?不是9块吗?
他打开微信账单,三条记录:
- 19:58 支付9元(失败)
- 19:59 支付9元(失败)
- 20:01 支付900元(成功)
收款方:某某商贸有限公司。
“我付了900!”王某发消息。 “啊?不可能吧,群费就是9块。你是不是点错了?” “二维码是你发的!” “那是微信官方二维码,不可能有问题。你再看看账单?”
王某再看账单,第三条确实显示900元。他点开详情,商户名是“某某商贸”,但经营范围是“服装批发”,和交友群八竿子打不着。
“这是诈骗!”王某反应过来。 “哥你别乱说,我只是分享群二维码。你要觉得有问题,找微信客服吧。”
说完,对方把他拉黑了。
王某报警时,手还在抖:“我就想进个群,交个朋友……”
三、报警:裸聊敲诈的“标准化流程”
曹明是早上七点到的派出所。眼睛通红,说话语无伦次。
接待他的是刑侦大队民警李锋,三十出头,办过十几起裸聊敲诈案。
“视频多久?”李锋问。 “三……三分钟。” “露脸了吗?” “露了。” “通讯录被获取了?”
“嗯,全被截图了。”
李锋打开电脑里的案例库:“你看,过去三个月,海宁发生八起裸聊敲诈,手法一模一样:深夜QQ或微信添加,诱导视频,录屏后敲诈,金额从三千到五万不等。”
他点开一个案例:十九岁大学生,被敲诈两万五,最后跳河自杀未遂。 另一个案例:四十五岁公务员,被敲诈三万,挪用公款,被判刑。
“这不是个案,是产业链。”李锋说,“境外诈骗团伙,专门针对中年男性、大学生、异地务工人员,利用性需求和羞耻心理,批量作案。”
曹明低头:“钱能追回来吗?” “我们试试。”
李锋让他提供所有信息:骗子QQ号、微信账号、转账记录。
骗子QQ号:十位数,等级零,资料空白。登录IP在云南边境,通过VPN跳转。
微信收款账号:实名“张某某”,但调查发现是盗用身份,本人不知情。
转账记录:一万五千元,分两笔转出,收款账户不同。
“钱已经转走了。”李锋说,“但我们可以追查资金流向。”
四、第一层侦查:裸聊敲诈的“四步陷阱”
裸聊敲诈不是随机犯罪,而是标准化作业。李锋总结出四步:
第一步:引流 骗子在QQ、微信、陌陌、探探等平台,用美女头像、暧昧昵称、挑逗签名,吸引男性用户添加。目标人群精准:深夜在线的、资料显示单身的、年龄25-50岁的。
“曹明凌晨两点还在刷‘附近的人’,正是骗子重点狩猎的时间。”李锋说。
第二步:诱导 添加后,快速建立暧昧关系,发露骨照片,诱导视频裸聊。话术固定:“哥哥想看吗?”“视频更刺激。”“你也让我看看你嘛。”
“骗子会用提前录好的色情视频,或者真人直播,但受害人必须露脸。”李锋解释,“露脸是关键,有了脸,敲诈才有威慑力。”
第三步:录制 视频开始后,骗子会录屏,同时用木马程序获取受害人通讯录。木马通常藏在“直播软件”“视频插件”里,受害人点击链接后自动安装。
“曹明说,小薇发过一个‘高清视频插件’链接,他点了,没看到下载提示。那就是木马。”技术中队小陈说。
第四步:敲诈 视频结束后,立即发来录屏截图和通讯录截图,威胁群发,索要钱财。金额从几千到几万,分多次敲诈:第一笔“删除费”,第二笔“保密费”,第三笔“技术费”……直到榨干。
“曹明被敲诈两次,是因为他还有花呗额度。如果他有信用卡,还会被敲第三次、第四次。”李锋说。
侦查重点:追查木马来源和资金流向。
五、第二层侦查:虚假二维码的“偷梁换柱”
王某的案子,看似简单,实则技术含量更高。
李锋分析那个二维码:“表面是‘支付9元入群费’,实际支付时,金额被篡改为900元。”
技术中队小陈解析二维码数据,发现它指向一个第三方支付平台接口,但接口被黑客篡改,支付金额参数从“9”变成了“900”。
“这是‘金额篡改型’诈骗。”小陈说,“骗子生成一个正规商户的收款二维码,但通过技术手段,在支付瞬间修改金额。”
他演示:用二维码生成器,生成一个“某某商贸”的收款码,金额9元。但后台设置中,可以修改“金额参数”,支付时实际扣款900元。
“普通用户扫二维码时,只看到‘支付9元’,不会仔细看商户信息、支付详情。等发现时,钱已经扣了。”小陈说。
王某的三次支付,前两次失败,是骗子故意设置的——让他放松警惕,以为真是系统问题。第三次成功,但金额被篡改。
“骗子利用了什么心理?”李锋问。 “小额支付不设防。”小陈说,“9块钱,谁都付得起,不会多想。但如果是900,很多人会犹豫。”
侦查重点:追查二维码生成平台和商户账户。
六、资金追踪:钱去哪了?
两个案子,资金流向不同。
曹明的裸聊敲诈:
- 第一笔10000元 → 微信转账,收款人“张某某”(盗用账户)
- 第二笔5000元 → 支付宝转账,收款商户“某某网络科技”(空壳公司)
李锋追查“张某某”的微信账户,发现钱到账后,五分钟内转出,经过三层转账,最终购买USDT,流向境外交易所。
“某某网络科技”的支付宝账户,钱到账后直接提现到银行卡,银行卡在广西开户,户主是七十岁老人,说“卡被孙子拿走了”。
“洗钱通道已经成熟。”反诈中心老周说,“裸聊敲诈金额大,走虚拟币洗钱。虚假二维码诈骗金额小,走银行卡提现。”
王某的虚假二维码诈骗:
- 900元 → 微信支付,收款商户“某某商贸有限公司”
查这个商户,注册地在广东,法人“李某”,但公司是空壳,没有实际经营。商户的微信支付接口,是通过伪造营业执照申请的。
“李某是谁?”李锋联系广东警方,找到李某。他是个农民工,说:“我身份证丢了,可能被人冒用了。”
冒用身份注册商户,申请支付接口,用于诈骗收款。
900元到账后,从商户账户提现到银行卡,银行卡在云南开户,户主也是冒用身份。
“这种小额诈骗,单笔金额小,但数量多。”老周调出数据,“过去一个月,全国类似案件三千多起,每笔几百到几千,总金额上千万。”
侦查难点:金额小,追查成本高;商户身份虚假,溯源难。
七、第三层侦查:木马和二维码的“供应商”
虽然资金难追,但作案工具从哪来?木马程序、二维码生成平台,是谁提供的?
李锋从曹明的手机入手。技术中队提取了那个“高清视频插件”的木马样本。
反编译分析,发现这个木马有两个功能:
- 录屏:偷偷录制手机屏幕。
- 窃取通讯录:获取手机通讯录、短信、相册权限。
木马的签名证书显示,开发者是“某科技公司”,但公司不存在。
“这是黑产团伙开发的专用木马。”小陈说,“在暗网出售,一套五千元,带后台管理功能。”
他尝试追踪木马的服务器IP,发现服务器在柬埔寨,但控制端IP在福建泉州。
“开发者在境内,服务器在境外。”李锋判断。
同样,王某案中的“金额篡改二维码”,也需要技术支撑。小陈在网上搜索“二维码金额篡改”,找到几个黑产论坛,有人在卖“支付接口篡改工具”,价格三千元。
“这些工具,让不懂技术的人也能作案。”小陈说,“骗子买来工具,生成二维码,就可以诈骗。”
李锋决定:打击工具供应商。
八、突破口:一个“木马销售商”的落网
2020年12月,海宁警方联合福建泉州警方,打掉一个木马开发团伙。
头目叫“阿杰”,二十五岁,计算机专业毕业,曾在软件公司上班,后辞职做黑产。
抓捕时,他正在家里调试木马代码。电脑屏幕上,几十个聊天窗口,都在谈生意: “裸聊木马,五千一套,包更新。” “通讯录窃取功能稳定吗?” “稳定,支持安卓和iOS。”
警方查获的电脑里,有十几个木马样本,功能包括:录屏、窃取通讯录、拦截短信、远程控制手机。
“这些木马卖给了谁?”李锋审问。 “不知道……网上交易,用虚拟币,不问身份。”阿杰低头。 “买家大概有多少?” “几百个吧。主要是缅甸、菲律宾的诈骗团伙。”
阿杰交代,他通过Telegram接单,客户发需求,他定制木马,收USDT。一套木马五千到一万不等,每月收入十几万。
“你不怕被抓?” “服务器在境外,钱走虚拟币,我觉得查不到。”
警方从阿杰的电脑里,找到了客户名单——虽然都是虚拟ID,但有些ID和之前裸聊敲诈案中骗子使用的ID重合。
“找到关联了。”李锋说,“阿杰的木马,卖给了曹明案中的诈骗团伙。”
虽然抓不到境外骗子,但打掉木马供应商,他们更新木马的成本就高了。
九、第四层侦查:二维码诈骗的“商户黑产”
王某案中的虚假商户“某某商贸有限公司”,是怎么注册的?
李锋调查发现,有人专门从事“商户包装”黑产:用买来的身份证,注册空壳公司,申请微信支付、支付宝支付接口,然后卖给诈骗团伙。
“一个支付接口,卖两千到五千元。”老周说,“诈骗团伙用来收款,收到钱后快速提现。”
警方在广东打掉一个“商户包装”团伙。头目叫“阿强”,三十岁,以前是做代注册公司的,后来发现“诈骗来钱快”,转行做黑产。
他雇人在农村收购身份证,每张两百元。用这些身份证注册公司,申请支付接口,卖给境外诈骗团伙。
“一个月能办多少?”李锋问。 “几十个吧。一个接口卖三千,月入十几万。”
阿强的电脑里,有上百个公司的营业执照、银行开户许可证、支付接口信息。
“这些公司,都是空壳,没有实际经营,专门用于诈骗收款。”老周说。
警方联系微信支付、支付宝,批量冻结这些商户账户,截留资金三十多万元。
但阿强交代,他的上家是云南一个“物流公司”,负责把支付接口的U盾、银行卡寄到缅甸。
“又是缅甸。”李锋皱眉。
十、侦查思路总结:两类诈骗的“对症下药”
办完这两个案子,我总结出不同的侦查思路。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络侦查研究院 子午猫 子午猫《深夜的QQ好友申请,让我一夜回到解放前》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论