记一次对钓鱼邮件的实地反击

本文讲的是记一次对钓鱼邮件的实地反击，

0x00背景

6月15日，呼叫中心的同事来询问关于一封邮件的事情，IT和信息安全团队一看，必属钓鱼邮件无疑，第一时间告知呼叫中心的同事们不要理会该邮件。

邮件内容如下：

为了防止打开附件后中毒，我们在虚拟机中打开了附件，结果发现是让加QQ群，八成是让我们发敏感材料。

0x01 三十六计之假痴不癫

假作不知而实知，假作不为而实不可为，或将有所为。司马懿之假病昏以诛曹爽，受巾帼假请命以老蜀兵，所以成功；姜维九伐中原，明知不可为而妄为之，则似痴矣，所以破灭。兵书曰：“故善战者之胜也，无智名，无勇功。”当其机未发时，静屯似痴；若假癫，则不但露机，则乱动而群疑。故假痴者胜，假癫者败。或日：假痴可以对敌，并可以用兵。宋代，南俗尚鬼。狄青征侬智高时，大兵始出桂林之南，因佯祝曰：“胜负无以为据。”乃取百钱自持，与神约，果大捷，则投此钱尽钱面也。左右谏止，傥不如意，恐沮师，青不听。万众方耸视，已而挥手一掷，百钱旨面。于是举兵欢呼，声震林野，青亦大喜；顾左右。取百丁（钉）来，即随钱疏密，布地而帖丁（钉）之，加以青纱笼，手自封焉。曰：“俟凯旋，当酬神取钱。”其后平邕州还师，如言取钱，幕府士大夫共祝视，乃两面钱也。

这套路太低级了，一开始我们嗤之以鼻，后来想了想何不将计就计，如果有机会能反击回去黑掉骗子的电脑也是蛮有意思，最终目的是给骗子电脑安装一个木马，于是我就用QQ小号申请加了群。

进群之后不久，对方发了第一条消息，如下图，可见这时候骗子还没注意到细节，群昵称还是“乐乐”，我看着确实想乐，心说这点细节都不注意，太不专业了吧。不过我作为一个演员，还是忍住了没拆穿他，继续跟他缠斗。对方直接探我底细，想看看我是不是真的出纳，于是让我发给他一份收支明细，同事X在旁支招说：“一般不都是月底发么”，借此机会进一步博得对方信任。

0x02 三十六计之瞒天过海

阴谋作为，不能于背时秘处行之。夜半行窃，僻巷杀人，愚俗之行，非谋士之所为。昔孔融被围，太史慈将突围求救，乃带鞭弯弓，将两骑自从，各作一的持之。开门出，围内外观者并骇。慈竟引马至城下堑内，植所持的射之，射毕，还。明日复然，围下之人或起或卧。如是者再，乃无复起着。慈遂严行蓐食，鞭马直突其围，比敌觉，则驰去数里矣。

就在我说需要两个多小时之后才能弄完后，骗子耐不住性子开始让我查账截图给他。我手里哪会有账本，即使有也不能给啊。于是我随即用excel捏造了一份数据。

这里又有一个细节：下图中excel，我故意从F列开始写5月份的数据，并且冻结首列。其实前面B-E列都是空白的，隐藏后截图发过去可以说1-4月的均在前面。但是如果我从B列开始写5月份数据，对方要是精明的话，会即刻看出破绽，怀疑我是不是临时编造的。同时为了解释6月份为何突然账目余额多了1亿，我还特意备注了“6月大促”来增加可信度。

骗子看完后还跟我玩套路，问这个是不是全部的账目，我顺势回复把其他几个公司信息也说出去，这些均为博取骗子信任的铺垫。然而刚说完，对方直奔转账套路而去，我一看形式不对，施展“拖”字诀，借口有会临时推迟付款，并向其索要账号信息。

对方发来收款信息后，我琢磨了一下报警的可行性，想了想仅通过这个账户的信息来抓到骗子的可能性太低。如今黑产骗子们肯定不会用团伙中的任何一个人的真实身份来注册银行卡，一般均从偏远山村花“小钱”（对于黑产来说是小钱，但对于人均收入较低的村民来说可能是比较客观的数目）向村民“借”身份证，用他们的身份证来注册银行卡、手机号等需要实名制的账户，从而绕过身份追踪。

对方继续催问，估计是没耐心了，此时我继续用拖字诀，推迟到下午3点，不能让对方把鱼钩放开，此时我和骗子的角色均互为渔夫和鱼。

0x03 三十六计之反客为主

为人驱使者为奴，为人尊处者为客，不能立足者为暂客，能立足者为久客，客久而不能主事者为贱客，能主事则可渐握机要，而为主矣。故反客为主之局：第—步须争客位；第二步须乘隙；第三步须插足；第四足须握机；第五乃为主。为主，则并人之军矣；此渐进之阴谋也。如李渊书尊李密，密卒以败；汉高视势未敌项羽之先，卑事项羽。使其见信，而渐以侵其势，至垓下—役，—亡举之。

于是时间来到约定好的下午3点，我随便截了个图，用公司的DLP加密发送过去，对方没有解密的终端肯定是打不开的，此时为下一步发送木马客户端做铺垫。