一份“熟人”發(fā)來的文件！

日前，我區(qū)一家公司財務(wù)被拉入在外出差“領(lǐng)導(dǎo)”新建的一個微信群，“領(lǐng)導(dǎo)”在群里發(fā)來一份“稅務(wù)稽查緊急通知”文件。其在“領(lǐng)導(dǎo)”要求下，下載并打開了該文件，后續(xù)幾天內(nèi)就在同一個群中，按照“領(lǐng)導(dǎo)”的指示向所謂“稽查賬戶”轉(zhuǎn)賬十余萬元。事后才發(fā)現(xiàn)，自始至終，領(lǐng)導(dǎo)都沒建群并讓其轉(zhuǎn)賬。經(jīng)調(diào)查發(fā)現(xiàn)，所謂的“稅務(wù)稽查緊急通知”文件實質(zhì)是攜帶了“銀狐”木馬病毒，它暗中竊取了張女士的電腦操作記錄和社交信息，讓騙子得以完美模仿領(lǐng)導(dǎo)身份，實施精準(zhǔn)詐騙。

這起案件背后，是一個龐大的黑色產(chǎn)業(yè)鏈——“銀狐”攻擊團伙。他們專門制作偽裝成“發(fā)票助手”“報稅軟件”“項目資料”的帶毒文件，甚至假冒成“XShell”“Navicat”等專業(yè)軟件的“綠色破解版”，瞄準(zhǔn)企事業(yè)單位廣泛傳播。

“銀狐”的狡猾偽裝與侵入路徑

1

精準(zhǔn)投遞，投其所好。攻擊者會以“最新稅收政策解讀”“XX項目投標(biāo)書終版”等名稱精心制作或包裝惡意文件，通過微信、企業(yè)微信或郵件發(fā)送，利用工作的緊急性和對領(lǐng)導(dǎo)、同事的信任，誘導(dǎo)員工毫不猶豫地點擊。

2

無聲潛入，長期潛伏。文件一旦打開，惡意程序便會悄無聲息地安裝到電腦中。它可能偽裝成某個正常程序組件，初期不進(jìn)行任何破壞操作，從而逃避普通殺毒軟件的查殺，靜靜潛伏下來。

3

竊取信息，復(fù)制身份。在潛伏期間，木馬會秘密記錄鍵盤輸入、截圖、甚至盜取微信等聊天工具的登錄狀態(tài)和聊天記錄。攻擊者借此掌握了企業(yè)內(nèi)部的組織架構(gòu)、溝通風(fēng)格和業(yè)務(wù)往來細(xì)節(jié)。

4

伺機而動，實施犯罪。在充分掌握信息后，攻擊者會選擇最合適時機（如領(lǐng)導(dǎo)外出時），直接利用竊取賬號發(fā)號施令，或新建高度逼真的“內(nèi)部工作群”，偽造領(lǐng)導(dǎo)身份，下達(dá)轉(zhuǎn)賬或索要敏感數(shù)據(jù)的指令，完成詐騙或數(shù)據(jù)竊取。

這起發(fā)生在本區(qū)的案件，絕非孤立的網(wǎng)絡(luò)安全事件。攻擊者不再滿足于簡單地破壞電腦，而是致力于構(gòu)建從制作惡意程序、投放釣魚信息、到洗錢銷贓的完整黑色產(chǎn)業(yè)鏈。他們的目標(biāo)也從過去的個人電腦，轉(zhuǎn)向存儲著大量資金和數(shù)據(jù)的企業(yè)或機構(gòu)電腦，危害性呈幾何級數(shù)增長。

守住網(wǎng)絡(luò)防線，企業(yè)可以這樣做

企業(yè)

國家推行的網(wǎng)站備案，能直接防住“銀狐”病毒嗎？

它雖不能像殺毒軟件一樣直接攔截某個特定病毒，但卻是構(gòu)建企業(yè)整體免疫系統(tǒng)的基石。

網(wǎng)警

網(wǎng)站備案是網(wǎng)絡(luò)空間治理的“實名制”基礎(chǔ)。它確保了在互聯(lián)網(wǎng)上提供服務(wù)的網(wǎng)站主體可追溯、可聯(lián)系。一旦發(fā)生像“銀狐”團伙利用釣魚網(wǎng)站進(jìn)行攻擊的情況，備案信息能為公安機關(guān)的快速溯源和打擊提供關(guān)鍵線索，不至于出現(xiàn)“門戶大開，一擊即潰”的情況。

守牢網(wǎng)絡(luò)安全底線

筑牢“人”這道防火墻

再堅固的城墻，也可能因為一扇未關(guān)好的門而被攻破。在網(wǎng)絡(luò)安全中，“人”往往是最關(guān)鍵也是最脆弱的一環(huán)。結(jié)合“銀狐”案例，我們?yōu)槠髽I(yè)與員工提供以下可立即行動的指南：

給企業(yè)的建議：

制度先行：嚴(yán)格執(zhí)行“凡轉(zhuǎn)賬、必核實”的財務(wù)制度，必須通過電話或當(dāng)面等第二種獨立渠道進(jìn)行確認(rèn)，絕不能僅憑線上聊天信息執(zhí)行。

源頭管控：建立軟件統(tǒng)一下載渠道，嚴(yán)禁員工從非官方、不可信的網(wǎng)站下載特別是所謂“破解版”“綠色版”的專業(yè)或辦公軟件。

持續(xù)教育：定期開展案例式網(wǎng)絡(luò)安全培訓(xùn)，讓員工對釣魚郵件、詐騙鏈接、可疑文件保持警惕。

給每位員工的提醒：

謹(jǐn)慎點擊：對任何線上發(fā)來的文件、鏈接，尤其是冠以“緊急”“重要”之名的，保持第一反應(yīng)是“懷疑”，核實發(fā)送人身份。

官方渠道：務(wù)必從官方網(wǎng)站或應(yīng)用商店下載軟件，警惕任何第三方提供的“免費破解”資源。

及時報告：發(fā)現(xiàn)自己可能點擊了可疑文件，或電腦出現(xiàn)異常，應(yīng)立即斷開網(wǎng)絡(luò)并報告給公司IT或安全部門。

來源：“金山警務(wù)百事通”微信公眾號

編輯/責(zé)編：干鈺瓊

審核：陳建軍、戚靜偉