接到一名粉丝求助，他说前几天有朋友发来链接让他下载一个软件注册帮忙砍价，粉丝在下载朋友发来的软件并帮忙砍价后，没有多久他的朋友就发来了一则视频。这是一段不雅视频，而不雅视频中那个人的脸竟然是粉丝的脸，粉丝惊了！他从来没有拍摄过这个不雅视频，然后这个朋友将这位粉丝的通讯录截图一并发送过来让他交钱平事，不然就群发给他的亲人朋友。

粉丝立刻打电话给这位朋友，而他的朋友则告诉他他的qq号已经被盗，也就是这个人其实是一个骗子，还好粉丝比较明智，第一时间将骗子拉黑删除。虽然如此，但接到求助后本着不让骗子继续勒索别人的目的，我便有了以下操作，根据已有的线索我们可以从这两方面入手：

·一是这个骗子要求汇款的银行卡号。

·二是发来的砍价软件，通过查询骗子要求汇款的卡号是缅甸的一个伊洛瓦底银行(Ayeyarwady Bank)的账号。由此可以知道这是一家有组织有规模的境外诈骗团伙，他们的目标就是国内的用户。由于缅甸警方管理稀松，所以很长一段时间以来缅甸就成为了各诈骗团伙的聚集地。因为是境外账号追查难度太大，这条线索就此中断。

·而另一条也是唯一剩下的线索，就是发来的软件，这个软件中极有可能植入了后门程序，读取存储卡中的内容，读取短信/彩信，读取：窃取手机的信息。通过对这个软件进行初步分析，发现这个软件会索取用户的通讯录相册信息。这就十分奇怪了一个砍价软件并不会用到相关权限，这很有可能就是为窃取用户信息而设置的。

为了印证我的猜想，我把这个软件安装到了虚拟机中，把虚拟机的全局代理设置为我自己的电脑，然后打开电脑的代理拦截工具通过抓包功能捕获软件请求数据。有一条可疑的数据引起了我的怀疑，这条数据足足有7mb。我看到了一条条超出常规数据的数据包大小，要知道在开发中为了减轻服务器负担是绝对不会出现这么大的数据的。

而这些数据全部传输到了一个服务器的php文件当中，通过一番周折，最终追查到了服务器的ip位于缅甸勃固市的一个机房当中，更加证明了这是一个境外犯罪团伙。

既然有了ip地址，我尝试使用美杜莎密码攻击程序连接控制服务器的ssh密码。可是没等跑完10个密码我的ip就被封了。于是我换了一个ip继续顺着线索准查下去。

通过社会工程学公开情报查询，我查到了这个ip下绑定了3个域名域名，其中一个是网站另外两个是网站。也就是说我只有通过其中任何一个网站注入到服务器内部，就能获得整个服务器的最高权限也就是旁站注入其中一个域名下的网站引起了我的注意。

还记得开头粉丝被勒索的视频吗？我通过python爬取了这个网站的视频，然后通过图像逐一比对，最终我在里面找到了这个视频，只不过不是粉丝的脸。至此骗子的方法我已经全部搞明白了。

骗子首先盗了粉丝朋友的qq号，后来在列表当中发送砍价邀请，受害者一旦下载安装了这个app里面的后门程序就会将手机中的相册和通讯录一并上传到骗子的后台。骗子在相册中找到粉丝的照片，通过ai换脸技术将粉丝的脸批到不雅视频上，以此勒索受害人。在服务器的另外一个后台管理程序的域名中，我把能打sql的地方都打了一遍，终于找到了一个注入点。

在反复几次弱密码的尝试后我成功攻进了后台。随后在后台的一个php脚本中，我发现了一个文件上传漏洞。我通过图片木马直接进入了服务器的根，翻出了数据库中的后台账号密码。至此骗子整个后台已经被我完全掌握。正如我猜想的那样通讯录和相册图片被上传到了后台当中，一并上传的甚至还有受害者的短信。

我翻了翻数据日志被害者足足有几百人之多。然后为了防止骗子进一步勒索受害者，我将这个服务器的根目录直接删除。