记一次对垂纶邮件的实地回击 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

记一次对垂纶邮件的实地回击

0x00配景

6月15日,呼唤中央的同事来讯问关于一封邮件的事变,IT和信息平安团队一看,必属垂纶邮件无疑 ,第一时候示知呼唤中央的同事们不要剖析该邮件。

邮件内容以下:

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

为了防备翻开附件后中毒,我们在虚拟机中翻开了附件,效果发明是让加QQ群,八成是让我们发敏感资料。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

0x01 三十六计之假痴不癫

假作不知而实知,假作不为而实不可为,或将有所为。司马懿之假病昏以诛曹爽,受巾帼假请命以老蜀兵,以是成功;姜维九伐华夏,明知不可为而妄为之,则似痴矣,以是幻灭。兵法曰:“故善战者之胜也,无智名,无勇功。”当其机未发时,静屯似痴;若假癫,则不只露机,则乱动而群疑。故假痴者胜,假癫者败。或日:假痴能够对敌,并能够用兵。宋朝,南俗尚鬼。狄青征侬智高时,大兵始出桂林之南,因佯祝曰:“输赢无认为据。”乃取百钱矜持,与神约,果大捷,则投此钱尽钱面也。阁下谏止,傥不如意,恐沮师,青不听。万众方耸视,已而挥手一掷,百钱旨面。因而举兵喝彩,声震林野,青亦大喜;顾阁下。取百丁(钉)来,即随钱疏密,布地而帖丁(钉)之,加以青纱笼,手自封焉。曰:“俟班师,当酬神取钱。”厥后平邕州还师,如言取钱,幕府士大夫共祝视,乃两面钱也。

这套路太初级了,一最先我们五体投地,厥后想了想何不将计就计,若是有时机能回击归去黑掉骗子的电脑也是蛮有意思,终究目标是给骗子电脑装置一个木马,因而我就用QQ小号请求加了群。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

进群以后不久,对方发了第一条音讯,以下图,可见这时候骗子还没注重到细节,群昵称照样“乐乐”,我看着确切想乐,心说这点细节都不注重,太不专业了吧。不外我作为一个演员,照样忍住了没掩饰他,继承跟他缠斗。对方间接探我内情,想看看我是否是真的出纳,因而让我发给他一份进出明细,同事X在旁支招说:“一样平常不都是月尾发么”,借此时机进一步赢得对方信托。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

0x02 三十六计之瞒天过海

诡计作为,不克不及于背时秘处行之。半夜行窃,穷巷杀人,愚俗之行,非谋士之所为。昔孔融被围,太史慈将包围求救,乃带鞭弯弓,将两骑自从,各作一的持之。开门出,围表里观者并骇。慈竟引马至城下堑内,植所持的射之,射毕,还。嫡复然,围下之人或起或卧。如是者再,乃无复起着。慈遂严行蓐食,鞭马直突其围,比敌觉,则驰去数里矣。

就在我说须要两个多小时以后能力弄完后,骗子耐不住性质最先让我查账截图给他。我手里哪会有帐本,纵然有也不克不及给啊。因而我随即用excel假造了一份数据。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

这里又有一个细节:下图中excel,我有意从F列最先写5月份的数据,而且解冻首列。实在后面B-E列都是空缺的,隐蔽后截图发曩昔能够说1-4月的均在后面。然则若是我从B列最先写5月份数据,对方如果夺目的话,会立时看出马脚,疑心我是否是暂时假造的。同时为了诠释6月份为什么倏忽账目余额多了1亿,我还特地备注了“6月大促”来增添可信度。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

骗子看完后还跟我玩套路,问这个是否是悉数的账目,我顺势复兴把其他几个公司信息也说进来,这些均为博取骗子信托的铺垫。但是刚说完,对方直奔转账套路而去,我一看情势纰谬,发挥“拖”字诀,托言有会暂时推延付款,并向其索要账号信息。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

———————————————-

对方发来收款信息后,我琢磨了一下报警的可行性,想了想仅经由过程这个账户的信息来抓到骗子的能够性太低。现在黑产骗子们一定不会用团伙中的任何一个人的实在身份来注册银行卡,一样平常均从偏僻山村花“小钱”(关于黑产来讲是小钱,但关于人均收入较低的村民来讲多是对照客观的数量)向村民“借”身份证,用他们的身份证来注册银行卡、手机号等须要实名制的账户,从而绕过身份追踪。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

对方继承催问,预计是没耐烦了,此时我继承用拖字诀,推延到下昼3点,不克不及让对方把鱼钩摊开,此时我和骗子的脚色均互为渔夫和鱼。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

0x03 三十六计之反宾为主

为人驱使者为奴,为人尊处者为客,不克不及驻足者为暂客,能驻足者为久客,客久而不克不及主事者为贱客,能主事则可渐握秘密,而为主矣。故反宾为主之局:第—步须争客位;第二步须趁机;第三步须插手;第四足须握机;第五乃为主。为主,则并人之军矣;此渐进之诡计也。如李渊书尊李密,密卒以败;汉高视势未敌项羽之先,卑事项羽。使其见信,而渐以侵其势,至垓下—役,—亡举之。

因而时候离开约定好的下昼3点,我随意截了个图,用公司的DLP加密发送曩昔,对方没有解密的终端一定是打不开的,此时为下一步发送木马客户端做铺垫。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

待对方说打不开后,我们立时翻开了Gh0st远控,制作了个exe文件并做了免杀,以后将文件停止紧缩伪装成解密对象给对方发曩昔。但从下图中对方迫切让我截图回执单这一行动来剖析,对方照样有些小心的。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

在对方屡次请求截图后,我给他发了个黑屏(DLP在某些顺序运行时停止截图会间接黑屏,以制止经由过程截图来泄漏信息)。但这里有个马虎,最最先的“进出明细”也是截图曩昔的,还好被我拖了好几个小时,对方能够都忘记了。

因而两边就这样缄默沉静了一会儿,我们倏忽发明Gh0st有一个上线关照,一阵喝彩,看到骗子电脑中有各个行业的行骗信息。至此,侵占回击战宣布第一阶段成功,我们就点到为止了。

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

记一次对垂纶邮件的实地回击 记一次对垂纶邮件的实地回击

0x04总结

1.垂纶邮件品种单一,应用邮件欺骗敏感信息是最简朴和罕见的垂纶体式格局,这类邮件大多自称是指导或许运维治理部,看到这类邮件一样平常都邑头脑发热,精神紧张,很轻易搜索枯肠就间接复兴。

2.在翻开陌生人发来的邮件附件时,请务必做杀毒处置惩罚。

3.在时候和平安均知足的情况下,能回击就全力回击,要严厉打击这类坑蒙拐骗的人。

4.回击时务须要做好免杀处置惩罚和后期server准备工作,务须要做到一击必杀。

本文为 RipZ 原创稿件,受权嘶吼独家宣布,未经许可制止转载,如若转载,请联络嘶吼编纂: http://www.4hou.com/web/5800.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明记一次对垂纶邮件的实地回击
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址