怎么样追踪一个不知名的邮箱?

我的QQ邮箱收到了一封邮件,内容如下,完全不知道的邮箱,莫名其妙的邮件内容。

我瞬间产生了好奇,想知道这种邮件从哪里发送的,这个邮箱最近登陆的详细地址啥的,就像电影里那种炫酷的黑客做的事差不多。各位有这种方法吗?

下面是邮件原文的抬头:


喜欢这个问题 | 分享 | 新建回答

回答

喷火的尾巴

May 19, 2021
3 赞

首先,对这类邮件可以进行一个定性。
诈骗邮件。

以下是别人收到的类似邮件:

诈骗邮件

而可用的信息其实就是两个域名:

goodluck520.com和pashan66.com

用的都是海外ip,ip信息个人感觉意义不大;即使是域名信息,初看之下,也是意义不大,不能指望着电信诈骗犯主动去做icp备案。

whois了一下,得出如下信息(多余的whois信息我删了):

$ whois pashan66.com

   Domain Name: PASHAN66.COM
   Registry Domain ID: 2598238315_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.namecheap.com
   Registrar URL: http://www.namecheap.com
   Updated Date: 2021-03-16T04:59:58Z
   Creation Date: 2021-03-16T04:59:56Z
   Registry Expiry Date: 2022-03-16T04:59:56Z
   Registrar: NameCheap, Inc.

$ whois goodluck520.com

   Domain Name: GOODLUCK520.COM
   Registry Domain ID: 2568253452_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.namecheap.com
   Registrar URL: http://www.namecheap.com
   Updated Date: 2020-11-23T04:17:51Z
   Creation Date: 2020-10-26T08:31:41Z
   Registry Expiry Date: 2021-10-26T08:31:41Z
   Registrar: NameCheap, Inc.

可以看出“pashan66.com”这个域名是2021年3月16日启用的;
“goodluck520.com”这个域名是2020年10月26日启用的。

从网上搜索相关收到类似邮件的一些情况,也符合这个时间顺序,以及手法一致,可以将“pashan66.com”和“goodluck520.com”绑定为相同案犯的作案域名。

但是whois信息都是公开的,给不了太多信息,NameCheap是海外站点,一般不会配合中国警方,但是以中国的能力公关一下NameCheap的负责人还是能搞定这点小事的,主要就是这个事情并没有上升到这个高度。而且NameCheap这类海外站点未必会记录很多用户信息,跟中国不一样,中国的都要提供各种身份证明文件。还是中国好,虽然手续多一点,但是对于网络治安是有好处的。

但是,这个电信诈骗分子还是有点疏漏的地方(不过也未必,只是很有这种可能性):

那就是域名本身代表的信息。

goodluck520这是一个相对具有特殊意义的字符串,
很有可能就是电信诈骗分子曾经用过的网名、微信号等等。

所以这是一条可能性极高的线索:

通过微信搜索“goodluck520”就能看到一个叫“浮云”的微信用户,用“goodluck520”也搜到了一个微博用户,如下:

goodluck520

但是微博用户的goodluck520是首字母大写,Goodluck520,外加是一个女生,翻了一下她的微博感觉应该不是她(我这是唯心主义),至于微信那个,我没加,感觉有可能是他。

此外在阿莫电子论坛发现“goodluck520”的踪迹:
https://www.amobbs.com/home.php?mod=space&uid=291084&do=friend

家长帮社区也发现了“goodluck520”的踪迹:
http://www.jzb.com/bbs/space-8084191.html

B站也发现了“goodluck520”的踪迹:
https://space.bilibili.com/253760399

通过这种方法,还能搜到关于goodluck520的踪迹,更多的踪迹,我就不在这里一一展示了,甚至91porny这种色情网站上还有他上传的色情视频,应该是嫖娼自拍的,我看了,拍的不怎样。

家长帮、B站的未必是那个人,阿莫电子论坛的我估计有可能是,总之,一切国内网站或APP有注册名为goodluck520的都可以作为协查对象。国内站点,都会记录很多信息的,会要求有手机号的。所以,公安就有可能直接锁定到这个人本身。

不过,以上只是一种推测方式,最多是锁定重点嫌疑人,但是还是要进一步的证据。真的,这年头各式各样的犯罪分子,只要有心,每天在微博上搜,都能搜到一堆传销、电信诈骗、金融诈骗的。能力有限,目前只能追查到这么多了。



备注:以上通过goodluck520来锁定重点嫌疑人只是一种方法,并不代表叫goodluck520网名的就一定是电信诈骗犯,所以上文列出的链接地址的指向用户未必就是犯罪嫌疑人。

另外补充一下,上面说IP信息可以放过,是海外ip查下去没意义,我收回这句话,查ip依然能查出很多信息,我就是懒得继续查了,另外手里没有足够的资源。