記一次對釣魚郵件的實地反擊

新聞 06-28

0x00背景

6月15日，呼叫中心的同事來詢問關於一封郵件的事情，IT和信息安全團隊一看，必屬釣魚郵件無疑，第一時間告知呼叫中心的同事們不要理會該郵件。

郵件內容如下：

為了防止打開附件後中毒，我們在虛擬機中打開了附件，結果發現是讓加QQ群，八成是讓我們發敏感材料。

0x01 三十六計之假痴不癲

假作不知而實知，假作不為而實不可為，或將有所為。司馬懿之假病昏以誅曹爽，受巾幗假請命以老蜀兵，所以成功；姜維九伐中原，明知不可為而妄為之，則似痴矣，所以破滅。兵書曰：「故善戰者之勝也，無智名，無勇功。」當其機未發時，靜屯似痴；若假癲，則不但露機，則亂動而群疑。故假痴者勝，假癲者敗。或日：假痴可以對敵，並可以用兵。宋代，南俗尚鬼。狄青征儂智高時，大兵始出桂林之南，因佯祝曰：「勝負無以為據。」乃取百錢自持，與神約，果大捷，則投此錢盡錢面也。左右諫止，儻不如意，恐沮師，青不聽。萬眾方聳視，已而揮手一擲，百錢旨面。於是舉兵歡呼，聲震林野，青亦大喜；顧左右。取百丁（釘）來，即隨錢疏密，布地而帖丁（釘）之，加以青紗籠，手自封焉。曰：「俟凱旋，當酬神取錢。」其後平邕州還師，如言取錢，幕府士大夫共祝視，乃兩面錢也。

這套路太低級了，一開始我們嗤之以鼻，後來想了想何不將計就計，如果有機會能反擊回去黑掉騙子的電腦也是蠻有意思，最終目的是給騙子電腦安裝一個木馬，於是我就用QQ小號申請加了群。

進群之後不久，對方發了第一條消息，如下圖，可見這時候騙子還沒注意到細節，群昵稱還是「樂樂」，我看著確實想樂，心說這點細節都不注意，太不專業了吧。不過我作為一個演員，還是忍住了沒拆穿他，繼續跟他纏鬥。對方直接探我底細，想看看我是不是真的出納，於是讓我發給他一份收支明細，同事X在旁支招說：「一般不都是月底發么」，藉此機會進一步博得對方信任。

0x02 三十六計之瞞天過海

陰謀作為，不能於背時秘處行之。夜半行竊，僻巷殺人，愚俗之行，非謀士之所為。昔孔融被圍，太史慈將突圍求救，乃帶鞭彎弓，將兩騎自從，各作一的持之。開門出，圍內外觀者並駭。慈竟引馬至城下塹內，植所持的射之，射畢，還。明日復然，圍下之人或起或卧。如是者再，乃無復起著。慈遂嚴行蓐食，鞭馬直突其圍，比敵覺，則馳去數里矣。

就在我說需要兩個多小時之後才能弄完後，騙子耐不住性子開始讓我查賬截圖給他。我手裡哪會有賬本，即使有也不能給啊。於是我隨即用excel捏造了一份數據。

這裡又有一個細節：下圖中excel，我故意從F列開始寫5月份的數據，並且凍結首列。其實前面B-E列都是空白的，隱藏後截圖發過去可以說1-4月的均在前面。但是如果我從B列開始寫5月份數據，對方要是精明的話，會即刻看出破綻，懷疑我是不是臨時編造的。同時為了解釋6月份為何突然賬目餘額多了1億，我還特意備註了「6月大促」來增加可信度。

對方發來收款信息後，我琢磨了一下報警的可行性，想了想僅通過這個賬戶的信息來抓到騙子的可能性太低。如今黑產騙子們肯定不會用團伙中的任何一個人的真實身份來註冊銀行卡，一般均從偏遠山村花「小錢」（對於黑產來說是小錢，但對於人均收入較低的村民來說可能是比較客觀的數目）向村民「借」身份證，用他們的身份證來註冊銀行卡、手機號等需要實名制的賬戶，從而繞過身份追蹤。

對方繼續催問，估計是沒耐心了，此時我繼續用拖字訣，推遲到下午3點，不能讓對方把魚鉤放開，此時我和騙子的角色均互為漁夫和魚。

0x03 三十六計之反客為主

為人驅使者為奴，為人尊處者為客，不能立足者為暫客，能立足者為久客，客久而不能主事者為賤客，能主事則可漸握機要，而為主矣。故反客為主之局：第—步須爭客位；第二步須乘隙；第三步須插足；第四足須握機；第五乃為主。為主，則並人之軍矣；此漸進之陰謀也。如李淵書尊李密，密卒以敗；漢高視勢未敵項羽之先，卑事項羽。使其見信，而漸以侵其勢，至垓下—役，—亡舉之。

於是時間來到約定好的下午3點，我隨便截了個圖，用公司的DLP加密發送過去，對方沒有解密的終端肯定是打不開的，此時為下一步發送木馬客戶端做鋪墊。