2026-03-03 06:29:45 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文是一篇网络购物诈骗案侦破纪实，讲述湖州警方侦破一起以‘品牌尾货清仓’为诱饵的系列诈骗案。诈骗团伙通过抖音等平台投放低价广告，使用仿冒网站模板诱导受害者支付‘保证金’‘税费’等，单笔金额小但总数巨大。警方从一名大学生保留的客服QQ线索入手，追踪登录IP，最终在广州捣毁一个公司化运营的诈骗窝点，抓获15人，查封数百个网站。文章总结了此类诈骗的常见类型与侦查思路，强调需从资金流、虚拟身份和窝点特征等多维度突破。 综合评分： 78 文章分类： 网络安全,威胁情报,安全大事件,社会工程学,其他

cover_image

网络购物诈骗案侦破之消失的“尾货仓库”

原创

子午猫子午猫

网络侦查研究院

2026年2月25日 08:22 湖南

老刘把最后一口烟抽完，烟蒂按在塞满烟头的搪瓷缸里。他盯着白板上那张错综复杂的资金流向图，像在看一张藏宝图——只不过，这张图通向的不是宝藏，而是一个藏在网络深处的诈骗窝点。

“师父，这案子……有点邪乎。”徒弟小赵凑过来，手里拿着刚打印出来的银行流水，“你看这笔，上午十点收的款，十点零五分就转到境外赌博网站了。这速度，比外卖还快。”

老刘没说话，只是用红笔在白板上画了个圈，圈住那个境外网站的域名。然后，他又画了一条线，连到旁边那张地图——地图上标着十几个红点，遍布七个省份。

“邪乎的不是速度。”老刘终于开口，声音沙哑，“邪乎的是，这么多人被骗，居然没一个人见过‘货’。”

一、案发：九块九的“品牌冲锋衣”

2023年11月，双十一刚过，双十二还没到。湖州市公安局吴兴分局的接警大厅里，来了个六十多岁的老太太，姓王，退休教师。

“警察同志，我在网上买衣服，被骗了。”王老师说话条理清晰，从包里掏出个小本子，上面工工整整记着时间、金额、对方账号。

值班民警小李接过本子看了看：“王老师，您慢慢说，怎么回事？”

“我在抖音上看到个广告，说‘波司登尾货清仓，原价899，现价9块9’。我想着，九块九买不了吃亏，就点进去了。”王老师推了推老花镜，“页面做得挺像样，有客服，有商品详情，还有‘已售三万件’的提示。我就下单了，买了三件。”

“然后呢？”

“付完款，页面跳转到一个‘抽奖活动’，说我是第8888位顾客，可以抽奖。我一点，抽中了个‘一等奖’——一台苹果手机，价值8999元。”王老师苦笑，“我当时还挺高兴，心想今天运气真好。”

“但领奖要条件，对吧？”小李已经猜到了后续。

“对。”王老师点头，“客服说，领奖需要支付‘个人所得税’和‘保证金’，一共998元。我想着，998换8999，还是划算的，就转了。”

“然后呢？”

“然后……就没有然后了。”王老师叹了口气，“转完钱，客服说系统繁忙，让我等通知。等了两天，再联系，发现那个店铺已经‘不存在’了。我买的衣服也没发货，物流信息一直显示‘等待揽收’。”

小李记录着：“您损失了多少？”

“九块九的衣服钱，加上998的‘保证金’，一共1007块9。”王老师说，“钱不多，但我气不过。我教了一辈子书，没想到老了被这种把戏骗了。”

小李安慰了几句，立了案。他以为这只是个普通的小额诈骗，很快就能查清。

但他没想到，接下来一周，类似的报案像雪片一样飞来：

张先生，32岁，程序员，在“尾货网站”买“北面羽绒服”，被骗“海关税”5000元。
李女士，28岁，公司职员，买“戴森吹风机”，被骗“物流保价费”3000元。
周大爷，71岁，退休工人，买“茅台镇白酒”，被骗“品质鉴定费”2000元。
赵同学，19岁，大学生，买“二手苹果手机”，被骗“平台手续费”1500元。

短短七天，二十三起报案，涉案金额从几百到几千不等，总金额八万七千元。

案子转到刑侦大队时，老刘刚泡好第二壶浓茶。他把二十三份报案材料铺在会议桌上，像摆扑克牌。

“都看看，有什么规律。”

二、初查：二十三个网站，一个模板

小赵先发言：“受害者年龄跨度大，从19岁到71岁都有。职业也杂，学生、上班族、退休老人。”

技术组的小陈调出电脑数据：“诈骗手法基本一致：先在抖音、快手、微信朋友圈投广告，用‘品牌尾货’‘工厂直销’‘清仓处理’做噱头，价格低得离谱——九块九的波司登，十九块九的北面，二十九块九的戴森。”

“网站呢？”老刘问。

“二十三个受害者，提供了十五个不同的网站链接。”小陈打开浏览器，一个个展示，“但你看，这些网站的模板一模一样——左上角是logo，中间是商品大图，右边是购买按钮，底下是滚动播放的‘已售出’信息。”

“同一个模板，不同的域名。”老刘眯起眼睛，“域名有什么特点？”

“都是新注册的，注册时间集中在最近一个月。”小陈说，“而且域名很‘山寨’：bosideng-clear.com、northface-outlet.com、dyson-sale.com……都是‘品牌名+清仓/折扣’的组合。”

“服务器在哪？”

“查了IP，大部分在境外，美国、日本、新加坡都有。少数几个在国内，但用的是虚拟主机，一个IP上挂着几百个网站，查不到实际运营者。”

老刘点点头：“收款账户呢？”

这才是关键。

小陈调出银行流水数据：“二十三个案子，用了三十八个收款账户。有个人银行卡，有企业账户，还有第三方支付平台的商户号。”

“能关联吗？”

“表面上看，关联性不强。”小陈说，“但这些账户有个共同点：都是‘新户’——开户时间不超过三个月，而且开户后很快就有大额流水进入。”

“资金流向？”

“复杂。”小陈打开一张流程图，“钱进账后，一般在五分钟内就被转走。有的转到其他个人账户，有的转到企业账户，有的直接购买虚拟货币。我们追踪了其中一条线：一笔5000元的诈骗款，在半小时内转了六次，最后进了境外赌博网站。”

老刘盯着那张图，看了很久。然后，他问了一个问题：“这些网站，现在还能打开吗？”

小陈试了试：“大部分已经打不开了。少数还能打开的，商品页面还在，但购买按钮点了没反应——估计是后台关闭了支付接口。”

“也就是说，他们打一枪换一个地方。”老刘总结，“注册新域名，搭建新网站，投广告骗一波，然后关站跑路。等风头过了，再换个域名继续。”

“对。”小陈说，“而且他们很狡猾，单笔诈骗金额都不大，最多的也就五千。很多人被骗了，觉得钱不多，嫌麻烦，就不报案了。”

“所以实际受害人数，可能远不止二十三个。”老刘站起身，走到白板前，“我们需要找到一个突破口，把他们连根拔起。”

突破口在哪里？

三、转机：一个“坚持维权”的大学生

就在侦查陷入僵局时，第十天，来了第二十四位报案人。

是个大学生，叫孙明，二十岁，戴着黑框眼镜，说话有点紧张，但逻辑清晰。

“警察叔叔，我被骗了三千八。”孙明打开手机，展示聊天记录，“但我……我留了个心眼。”

老刘来了兴趣：“什么心眼？”

“我学计算机的。”孙明说，“那个诈骗网站，我点了购买按钮后，发现它跳转的支付页面，域名和商品页面不一样。我就怀疑有问题。”

“然后呢？”

“然后我假装付款失败，联系客服。”孙明翻出聊天记录，“客服让我加他QQ，说QQ上指导我操作。我加了，但没马上转账，而是跟他周旋，问了很多问题。”

聊天记录显示，孙明问了这些问题：

你们的仓库在哪里？
有没有营业执照？
能不能开发票？
物流走哪家公司？
售后怎么处理？

客服的回答很敷衍：

仓库在广州（但没说具体地址）。
营业执照“在办理中”。
发票“暂时开不了”。
物流“随机安排”。
售后“找客服就行”。

“最可疑的是这个。”孙明点开一张截图，“我问能不能货到付款，他说不行。我说那我去广州自提，他就不回我了。过了半小时，他发来一个链接，说‘这是我们的新店铺，您在这里下单可以优惠’。”

“新店铺？”

“对，域名又换了，但模板一模一样。”孙明说，“我点进去，发现商品图片都没换，连‘已售三万件’的数字都没改。”

老刘眼睛亮了：“你保留了那个QQ号？”

“保留了。”孙明说，“而且，我查了这个QQ的登录记录——用了个小工具，可能不太合法，但……我查了。”

“查到什么？”

“这个QQ，最近一个月，在五个不同的城市登录过：广州、深圳、东莞、佛山、惠州。”孙明说，“而且登录时间很有规律：上午九点到十二点，下午两点到六点，晚上八点到十点——像上班一样。”

老刘拍了拍孙明的肩膀：“小伙子，你帮大忙了。”

四、深挖：QQ背后的“公司化运营”

有了QQ号这个线索，侦查工作有了方向。

网安支队调取了这个QQ的详细登录数据：

过去三个月，登录IP地址十七个，集中在广东珠三角地区。
登录设备主要是电脑，偶尔用手机。
同一时间段，这个QQ经常和另外十几个QQ有密集聊天记录——那些QQ，正是其他诈骗案中“客服”使用的号码。

“这是一个团伙。”老刘在白板上画了个组织结构图，“最上面是‘老板’，负责搭建网站、注册域名、投放广告。中间是‘客服’，负责聊天、诱导付款。下面是‘资金处理’，负责转账、洗钱。”

“他们可能还有‘技术支撑’。”小陈补充，“那些网站模板，不是随便能搞到的。我分析了代码，发现里面用了不少反侦查技术：自动清除访问日志、屏蔽国内某些IP、支付成功后自动删除订单记录。”

“还有‘物料供应’。”小赵说，“那些商品图片，都是盗用正规电商平台的。我反向搜索了几张图，发现来自淘宝、京东的官方店铺。他们连详情页文案都直接复制粘贴。”

老刘点点头：“所以，这是一个分工明确、链条完整的诈骗团伙。要打，就得全链条打。”

突破口，就在那个QQ的登录地点。

五、抓捕：城中村里的“电商公司”

通过QQ登录IP，警方锁定了五个可疑地点。经过摸排，最终确定主窝点在广州市白云区的一个城中村。

2024年1月，春节前，老刘带队南下广州。

抓捕行动定在早上八点，正是“客服”上班时间。那是一栋六层自建房，三楼整层被租下，门口挂着牌子：“××电子商务有限公司”。

破门而入时，屋里的景象让所有人都愣住了。

一百多平米的房间里，摆着二十多张电脑桌。每张桌上两台电脑，一台显示商品网站后台，一台登录着QQ和微信。十几个年轻人坐在电脑前，戴着耳机，正在打字聊天。

墙上贴着“业绩排行榜”，写着每个人的“成交额”。还有“话术模板”，打印出来贴在每个工位前：

《破冰话术：如何回应顾客咨询》
《促单技巧：制造稀缺性》
《应对怀疑：如何解释低价》
《二次诈骗：如何引导顾客“补税”“交保证金”》

角落里堆着几十部手机，都是廉价智能机，每部手机注册着一个抖音/快手账号，专门用来发广告。

控制住所有人后，老刘开始搜查。

主电脑里存着上百个网站模板，涵盖服装、数码、家电、酒水等十几个品类。还有一份“域名清单”，列着已经使用和准备使用的域名，足足有三百多个。

财务电脑里，有详细的资金流水表。记录显示，这个窝点运营三个月，诈骗金额超过两百万元，受害者估计上千人。

“老板”是个三十岁出头的男人，叫黄文强，高中毕业，以前在电商公司做过运营。审讯时，他交代得很痛快：

“我就是看别人这么干，赚钱快，就学着干。注册个公司，租个场地，招几个人，买点电脑手机，就能开工。”

“网站模板哪来的？”

“网上买的，五百块一套，带后台管理系统。”

“商品图片呢？”

“淘宝京东扒的，用软件批量下载。”

“广告怎么投？”

“找‘渠道商’，他们专门做这个。我们提供素材，他们负责在抖音、快手、微信朋友圈投放。按点击付费，一个点击几毛钱。”

“骗来的钱怎么分？”

“渠道商拿30%，我们拿70%。我们这70%里，我拿一半，剩下的给客服发工资和提成。”

“知道这是犯罪吗？”

黄文强沉默了一会儿：“知道。但……来钱太快了。一个月几十万，以前想都不敢想。”

“那些被骗的人，有的老人攒了一辈子的钱，有的大学生靠助学贷款生活。”老刘盯着他，“你晚上睡得着吗？”

黄文强低下头，没说话。

六、侦查思路复盘：如何在虚拟购物中抓贼？

案子破了，抓了十五个人，查封了三百多个诈骗网站，追回赃款八十多万。但老刘知道，这只是冰山一角。类似的诈骗窝点，在全国可能还有几百个。

回湖州后，局里组织了一次经验交流会。老刘站在台上，身后是那个诈骗窝点的照片。下面这些，是他们用两个月时间换来的经验。

第一步：认清“购物诈骗”的四大类型

购物诈骗不是一种手法，而是一类手法。常见的有：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络侦查研究院子午猫子午猫《网络购物诈骗案侦破之消失的“尾货仓库”》