# 事情经过
小钱是公司的财务,有一天接收到了同事微信传来的图片,其内容为一张税务局的通知,要求他们下载一份资料进行填写。基于对同事的信任,小钱下载了网址中的压缩包并进行了解压。奇怪的是,压缩包解压后为空。小钱感觉怪异但只认为是电脑可能有问题,于是决定吃过午饭后再解决。不过在他离开工位时并没有关闭电脑(因为计划之后再来尝试一下),于是悲剧就发生了。
在小钱用餐的时间里,通过压缩包解压植入的木马已经在控制端悄然上线。
诈骗犯发现上线后并没有第一时间出击,而是选择隐蔽。他尝试上传了新的木马,并企图添加到启动项中。但没能成功绕过 360。
于是便查看起了电脑的状况,发现了居然还登陆了微信!翻看了相关的聊天记录,发现了公司的紧急打款预案与各个群聊。于是诈骗犯在群中发布了一则通知,并准备了一个新的 EXCEL 文档进行钓鱼。其内容为伪造的公安文件,要求员工进行资料的下载与填报。
在两个小时后,小钱发现了自己的账号在群中发布了通知,于是发现可能中了病毒,急忙赶回公司进行查杀,并将之前的压缩包和解压目录删除。
遗憾的是,并没有完成有效的删除。因为诈骗犯已经上传了其他的木马进行了持续访问。他研究了群内的聊天记录,掌握了各个员工的习惯,于是灵机一动,远控到电脑使用小钱的微信添加了自己的微信成为好友,换上了老板的名称和头像,并删除了原老板的微信。使用伪装成老板的微信与小钱进行联系,找了个与中病毒相关的由头,启动了紧急打款预案,要求小钱进行转账。由于情况紧急且与自己相关,小钱不疑有他进行了转账。
当公司账上剩余的款项不多后,小钱电话联系了老板,顿时觉得天昏地暗。事已至此,只能亡羊补牢,启动了 360 查杀病毒,将之前的面杀木马进行了隔离。
至此,诈骗犯离场,清除痕迹。
# 要素分析
- 木马免杀
- 解压后自启动
- 伪装身份获取信任
- 利用紧迫感
免杀是一定的
rar 有解压后自启动选项,勾选后构成攻击。
伪装成了老板,具有权威性和压迫性。
转钱事件与本人相关,不敢多问。
# 取证
事件发生后,就需要还原经过,以及样本提取。
这个时候就需要小钱提供线索了。
- 你是在什么时候,因为什么原因认为自己的电脑中木马了?
- 图片是谁发给你的?能不能联系到来源?
- 在这前后做了哪些操作,大概的时间范围?
- 文件的名称能回想多少?
获取到一定的线索,还原出了事件经过后就要去实地勘察了。
翻阅浏览器记录,回收站内容,下载文件和 360 防护日志。提取相关的浏览器记录,隔离区的木马病毒和群中的文件。
在这个过程中可能有文件很难找到,这就需要在询问期间的多个维度的信息进行搜索。例如时间、关键字、文件类型、来源等特征。
还会出现文件不落地的情况,如在群内的 EXCEL 表格是直接通过微信收藏的方式进行转发,全程没有落地。这种情况下在本机上查找是没有办法的,浪费大量时间。
# 建议
- 涉及转账操作前,必须经过电话核实。打电话只需要几十秒,无论多紧急的情况,说 “是我” 这两个字的时间还是有的。
- 事事回应,当接收到同事的消息一定要及时回复,可以降低被中间人伪造的概率。
- 杀毒软件常驻,定期做扫描和日志的查阅,发现异常记录及时断网,并请专业人士进行勘察。
# 心得
通常与懈怠、恐惧等各种各样的心理有关。犯罪分子利用人性的弱点和受害人对计算机知识的匮乏构造诈骗思路。
诈骗的手段层出不穷,应对的最好的方法就是积极沟通,确认所有的信息来源,消除信息差。
对于取证来讲,还原事件经过是相当重要的。因此要具备良好的沟通技巧,引导受害人还原经过。
在定位木马文件的过程中可能出现被删除等情况,还是要根据具体现状进行确定。
