月神大世界功能

凌晨三点四十九分，受害人孙某正在寻找建筑工地的工作，或许他正为他的生机而发愁，然而骗子正在调用他的手机摄像头进行人脸识别。然而在孙某毫不知情的情况下，骗子给他成功办理了某银行信用卡分期业务，薅走三万元，然后骗子再利用短视频 app 的 借钱功能 继续薅走几千块。最后，这位凌晨三点半夜辗转反侧着急找工地工作的受害者孙某，至少被骗子夺走三万元血汗钱。这次我们联合月神团队稍微不小心进入了骗子电脑。以上例视角看骗子诈骗的全过程。 还记得我们今年在过年的时候，揭露了一波骗子利用黄色 app 骗人的原理，没想到才过了几个月的时间，不仅诈骗 app 升级了，骗子的手段也跟着升级了，我们的反诈视频全网播放有千万了， 但很可惜的是，经过我们布控发现依然有非常多的人被骗，而且我们发现他们的生活条件真的很一般，而且很多还是从事建筑工地相关工作的工人。本期视频以上例视角揭晓骗子如何盗取受害者银行卡密码，如何通过钓鱼的方式一步步让受害者走向深渊的。 我们通过布控发现，骗子后台清晰记录了这些受害人的手机解锁图案、解锁密码， 甚至网银密码、支付宝密码、微信支付密码。看过我们上期视频的朋友应该知道，骗子是如何拿到手机解锁密码了，那网银密码、支付宝、微信支付密码又如何拿到的呢？这次我背后男人边亮意向了诈骗 app， 原来原理如此简单粗暴！他们在 app 中制作了假冒的银行支付页面， 同理，支付宝、微信的支付密码页面也是通过假冒钓鱼的方式引诱被害人输入支付密码，从而套取支付密码。可以看到，诈骗 app 制作了多达十四种钓鱼输入框，比如我们看到编号为 m 的 led 就是 微信的转账密码输入界面。其实这一切的罪恶入口就是安卓的无障碍功能， 一旦开启安卓无障碍功能，你的手机就不再是你的了。不过值得欣慰的是，有些国产手机已经开始对诈骗 app 申请无障碍权限进行拦截。但是说起高危操作被拦截的事情啊，骗子也有所察觉。接下来我们再来看另一个刷单诈骗案例， 我们不小心又进入另外一个诈骗团伙的后台。注意看，这个骗子主要是扮演托，当受害人发现自己被骗时，骗子还有一个专门的话术查询软件，针对多种不同情况给予不同的话术回复， 甚至针对反诈电话有一套说辞。由于我们的软件是在反诈中心备案过的，这是正常访问，也是国家为了保护我们公民的财产安全的保障。遇到反诈上门或者电话咨询的，请积极配合，切勿泄露商家数据。 亲，请勿违反签署的首付协议，甚至是句措辞，还要让好几个托配合演戏，我都习惯了，经常接到我在别的平台被骗了两千四百多，随着托们开始晒收入，我昨天才赚两百多， 我最多一天赚上万呢。为了增加可信度，骗子还开发了一款各种虚假截图生成软件，手机银行、网页银行网络钱包、证件聊天等等。其中银行截图基本就覆盖了绝大多数的主流银行，甚至截图中还在定制化手机型号、电量，包括银行各种参数也非常详细，完全可以以假乱真。这里我们还发现了细 节，骗子让受害者付款的时候，骗子要求受害者安装的浏览器，这点引起了我们的好奇，难道这个浏览器有什么猫腻吗？ 于是我们亲自把骗子二维码扫了一下，可以看到这个二维码是一个钓鱼的支付页面，指向的是境外网站，而如果直接用支付宝扫码，会提示网站不安全，禁止访问。而令我惊讶的是，浏览器可以轻松扫码， 完全没有任何危险提示。我们分析了一下网页代码，其实也没有对该浏览器做什么特殊优化，纯粹是因为该浏览器没有拦截诈骗网站，骗子才要求被害人下载该浏览器进行扫码操作。但是拦截也不是万能的， 毕竟都是马后炮，诈骗网站的域名可以随时更换，诈骗 app 的 包名也可以随时更换，系统拦截。大多数情况都是已经有非常多人受骗之后的决策了。 我们一直认为诈骗离我们很远，这种一眼假的诈骗内容谁会信啊？而现在诈骗专门盯着文化程度不高的人性下手，披着不劳而获的刷单黄色软件的外衣，依然每天有非常多的人被骗，这是诈骗分子的内部成绩单，一刀、两刀，三刀，四刀五刀， 甚至有的人挨了九刀，还依然在给骗子送钱，骗子往往先骗走你小额几百块钱，然后就给你一个能赎回的假象，让你源源不断的往里面充钱， 最后可能被害人自己知道被骗了，骗子依然会用 p y 恐吓的手段，让被害人持续不断的交钱，最后落入无尽的深渊。而骗子多数分布在缅北、越南等境外国家，钱一旦被转走，极难追回。有的人觉得手机中不应该有各种限制，比如安装应用的限制，开启开发者无障碍的限制。 当然了，对于我这种专业用户来说，这些限制看起来确实比较麻烦，但对于完全不懂技术的普通用户来说，或许这些看似麻烦的限制给骗子增加了一道门槛。 大家怎么看待这个问题呢？欢迎评论区里发表你的看法。我们做反诈，做逆向分析那么久，垃圾代码、恶心的逻辑早就见怪不怪了，但每次看到这些真正的受害者的成绩单，依然会感到深深的无力与愤怒。技术可以逆向钓鱼， app 可以 被系统拦截， 在我们永远无法提前站在被害者面前告他这是诈骗。在这个信息差能杀人的时代，看我们视频的人可能并不是骗子潜在目标。而你的父母长辈，那些在工地上挥汗如雨的叔叔阿姨们，他们根本不懂什么是安卓无障碍功能， 甚至都不知道在哪里可以查看手机浏览器当前访问网站的 u o l， 不知道如何判断是不是钓鱼网站，他们只知道手机屏幕上弹出的界面看起来像，可能就是真的了。这就是为什么我们要做反诈视频， 希望大家能把视频转发给你们，相亲相爱一家人群中转发给你身边的善良朴实，甚至有些轻易相信他人的长辈和朋友。好了，这就是本期视频的全部内容了，上帝视角看反诈，关注我们永远不被骗！

这个官方活动，官方活动呢？我们就可以去测一些隐藏活动，有一些活动他是限时活动，就比如我们去看一下他的活动有活动时间，那如果活动时间过了之后，我还能参与这个活动，因为有些活动他是会给你流量的， 活动时间过了之后，我还能参与这个活动，那我就可以一直白嫖这个流量，对不对？那所以这一块也能测，那这个合集呢？合集我可不可以把我的视频并到别人视频合集里边， 对吧？比如我把我的视频并到那个央视的视频里边，别人一看央视视频就能，哎，就突然看到了我的视频了，那是不是又引流了，对吧？ 这个精选会员也是，那这个比如普通用户没有精选会员，我可不可以去开通抓包，去强行的去开通这些？还有这些付费会员 付费我可不可以给他改这个付费金额，改成最大值一除，对吧？让他引导类型最大值一除。那这个章节编辑呢？我也可以去手动的去添加，往别人的视频里面去编辑他的章节，对吧？所以就像这个刚才有人问的， 每一个功能点我们都要去测，因为每一个功能点都有不同的思路，对吧？所以测漏洞就是这样子的，你不可能说我，我打开这个页面了，这么多功能，哎，我就看一个功能看完了，哎，没动我就不测了，对吧？每一个功能点都有很多种测试方式啊， 所以挖漏洞最重要的是什么？是你能不能想到怎么去测？并不是啊，这讲的这些工具，这工具谁不会用啊？对吧？工具大家都会用，你工具不会用，你花个一两天时间你就会用了，那最重要的就是思路对不对？ 所以呢，我的课程里边就讲到了很多这种呃特殊的业务逻辑思路，就针对各种各样不同的这个漏洞挖掘的不同的业务，如何去挖？如何去绕过？如果后端做校验了，我们如何绕过他的校验，对吧？ 现在有一个充值接口，对吧？然后我可以改充值金额 s r c 挖了多少？算你起码挖个几 w 吧？