趙鑫 楊小虎 孫佩東 唐寧 甘肅省公安廳網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)

引言

2020年全球新冠病毒爆發(fā)以來，遠(yuǎn)程辦公、線上教育、網(wǎng)上購物等相關(guān)產(chǎn)業(yè)爆發(fā)式增長(zhǎng)，使人們的生活更加便捷。但網(wǎng)絡(luò)技術(shù)的發(fā)展往往帶來很多安全問題，境外APT組織通過網(wǎng)絡(luò)釣魚攻擊手段對(duì)我國金融、醫(yī)療、教育、科研等領(lǐng)域進(jìn)行網(wǎng)絡(luò)攻擊，竊取國家機(jī)密，嚴(yán)重威脅國家安全；犯罪集團(tuán)通過假冒中獎(jiǎng)信息，仿冒網(wǎng)上銀行、手機(jī)銀行的方式對(duì)公民實(shí)施網(wǎng)絡(luò)釣魚詐騙，嚴(yán)重?fù)p害了公民利益。敵對(duì)勢(shì)力以遠(yuǎn)程辦公為突破口、圍繞新冠疫情話題發(fā)起網(wǎng)絡(luò)釣魚攻擊，竊取抗疫情報(bào)，嚴(yán)重干擾了我國的抗疫工作。因此，對(duì)網(wǎng)絡(luò)釣魚類案件的電子數(shù)據(jù)偵查過程進(jìn)行研究有利于打擊網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜活動(dòng)，有利于提升我國應(yīng)對(duì)網(wǎng)絡(luò)釣魚事件威脅的能力。

一、網(wǎng)絡(luò)釣魚基本概述

（一）網(wǎng)絡(luò)釣魚的定義

網(wǎng)絡(luò)釣魚是一種網(wǎng)絡(luò)攻擊手段，是指攻擊者結(jié)合社會(huì)工程學(xué)偽造電子郵件及釣魚網(wǎng)站，誘導(dǎo)被攻擊者點(diǎn)擊觸發(fā)電子郵件中的惡意代碼，或者誘導(dǎo)受害者在釣魚網(wǎng)站中輸入銀行卡賬戶密碼、個(gè)人身份證號(hào)等隱私信息，從而控制受害者終端以及收集其個(gè)人隱私信息的一系列行為。

（二）網(wǎng)絡(luò)釣魚的特點(diǎn)

一是欺騙性。攻擊者根據(jù)需要克隆受害者經(jīng)常訪問的網(wǎng)站，并結(jié)合近似域名的網(wǎng)址來加強(qiáng)真實(shí)性，達(dá)到以假亂真的效果?；蛘甙l(fā)送釣魚郵件時(shí)，將木馬偽裝成正常的文件，很容易騙過受害者得到其響應(yīng)；二是針對(duì)性。網(wǎng)絡(luò)釣魚攻擊者的目標(biāo)很明確，會(huì)對(duì)特定的目標(biāo)發(fā)起釣魚攻擊，比如涉及國家機(jī)密的政府、科研、醫(yī)療機(jī)構(gòu)等，或者是涉及網(wǎng)絡(luò)資金流動(dòng)的網(wǎng)上銀行、電子商務(wù)、網(wǎng)絡(luò)購物等；三是多樣性。網(wǎng)絡(luò)釣魚在本質(zhì)上是一種欺騙手段，是將計(jì)算機(jī)科學(xué)技術(shù)、社會(huì)工程學(xué)、心理學(xué)等多學(xué)科進(jìn)行融合，因此攻擊手法也是五花八門。

（三）常見的釣魚技術(shù)

通常，網(wǎng)絡(luò)釣魚攻擊者會(huì)收集攻擊目標(biāo)的相關(guān)信息，結(jié)合社會(huì)工程學(xué)原理，向目標(biāo)發(fā)送欺詐性電子郵件，郵件的內(nèi)容可以是仿冒的網(wǎng)站用于騙取銀行卡賬戶密碼、個(gè)人社交賬戶、身份信息等個(gè)人隱私，郵件的內(nèi)容還可以是木馬偽裝的正常文件，誘導(dǎo)目標(biāo)點(diǎn)擊后個(gè)人終端被控制。總之，網(wǎng)絡(luò)釣魚的類型多種多樣，下面介紹一下主要的手段：

1. 魚叉式網(wǎng)絡(luò)釣魚

這種攻擊方式主要是通過發(fā)送郵件來實(shí)現(xiàn)攻擊，發(fā)送郵件有兩種方法，一種是從目標(biāo)組織中獲取到大量的郵箱地址，并向所有郵箱發(fā)送可能單擊的電子郵件，就像撒網(wǎng)一樣釣魚。另一種是攻擊者針對(duì)個(gè)人，就像在魚塘中，釣魚者將注意力全部集中在一條魚上以確保其能上鉤，當(dāng)目標(biāo)確定后，攻擊者會(huì)收集目標(biāo)相關(guān)的信息，結(jié)合社會(huì)工程學(xué)原理，誘使該目標(biāo)認(rèn)為來源是友好的或者沒有威脅的形式，讓其上鉤。例如：境外APT組織針對(duì)某機(jī)構(gòu)發(fā)起了魚叉式網(wǎng)絡(luò)釣魚攻擊，意在控制機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)資產(chǎn)、竊取用戶數(shù)據(jù)及涉密文件，攻擊流程如圖1所示。

該攻擊者確定攻擊目標(biāo)后，首先開展信息收集活動(dòng)，通過網(wǎng)絡(luò)空間搜索引擎爬取目標(biāo)外網(wǎng)資產(chǎn)的IP及URL，根據(jù)URL實(shí)施子域名挖掘，獲得了目標(biāo)的郵件服務(wù)器地址。根據(jù)該機(jī)構(gòu)的官方網(wǎng)站公布的文件材料獲得了大量?jī)?nèi)部人員郵箱地址，并利用這些郵箱對(duì)郵件服務(wù)器實(shí)施爆破；接著實(shí)施釣魚郵件偽造，攻擊者將一個(gè)惡意木馬偽裝成正常的文件，構(gòu)造了一個(gè)看起來很重要、很緊迫的文案內(nèi)容。最后就是實(shí)施釣魚攻擊，攻擊者利用爆破的郵箱發(fā)送釣魚郵件給該機(jī)構(gòu)的網(wǎng)絡(luò)管理員，網(wǎng)絡(luò)管理員以為是同事發(fā)給自己的郵件，非常信任的打開釣魚郵件后觸發(fā)了惡意木馬，個(gè)人的電腦被攻擊者控制。

2. 水坑式網(wǎng)絡(luò)釣魚

即在受害者必經(jīng)之路設(shè)置一個(gè)“水坑（陷阱）”。攻擊者在鎖定攻擊目標(biāo)后會(huì)分析其上網(wǎng)活動(dòng)規(guī)律，找到目標(biāo)經(jīng)常訪問網(wǎng)站的漏洞，根據(jù)漏洞將惡意代碼植入其中，被攻擊者訪問網(wǎng)站時(shí)終端會(huì)被植入惡意程序或者直接被盜取個(gè)人重要信息。與一般的網(wǎng)絡(luò)釣魚手段相比，攻擊者不需要花費(fèi)時(shí)間搭建釣魚網(wǎng)站或者制作木馬偽裝文件，而是利用合法網(wǎng)站的脆弱性，因此具有很強(qiáng)的隱蔽性。例如：某團(tuán)伙為竊取某企業(yè)商業(yè)機(jī)密，掌握了該企業(yè)高層管理人員的上網(wǎng)活動(dòng)規(guī)律，并對(duì)其發(fā)起水坑式釣魚攻擊。攻擊流程如圖2所示。

該團(tuán)伙在招聘網(wǎng)站及中標(biāo)公告中獲取到了該企業(yè)高層管理者的個(gè)人信息，并將其作為攻擊目標(biāo)，冒充投資者和該目標(biāo)開展了長(zhǎng)達(dá)兩周的交流，摸清了其經(jīng)常訪問的網(wǎng)站；犯罪團(tuán)伙通過自動(dòng)化漏洞挖掘工具及代碼審計(jì)的方式對(duì)該網(wǎng)站實(shí)施漏洞挖掘，拿到了網(wǎng)站服務(wù)器權(quán)限；接著篡改網(wǎng)頁代碼，植入了惡意代碼，當(dāng)目標(biāo)再次訪問該網(wǎng)站時(shí)觸發(fā)惡意代碼，迫使目標(biāo)安裝偽裝的木馬病毒，目標(biāo)的個(gè)人終端被控制；最后犯罪集團(tuán)通過控制的終端成功進(jìn)入該企業(yè)內(nèi)網(wǎng)，進(jìn)而控制其重要信息系統(tǒng)。

3. 社交平臺(tái)釣魚、短信及語音釣魚

網(wǎng)絡(luò)釣魚者通過QQ、微信、微博、短信的形式，發(fā)送中獎(jiǎng)、理財(cái)投資等相關(guān)的url鏈接，冒充有影響力的人物或領(lǐng)導(dǎo)，對(duì)其受眾進(jìn)行誘導(dǎo)性操作。

二、案例分析

（一）基本情況

2020年2月，有人以領(lǐng)取游戲大禮包形式，誘使受害者登錄偽造的釣魚網(wǎng)站輸入身份證、手機(jī)號(hào)、信用卡號(hào)、信用卡CVV等信息，根據(jù)非法搜集到的用戶個(gè)人信息注冊(cè)多個(gè)快捷支付平臺(tái)，利用免密支付的漏洞進(jìn)行小額話費(fèi)充值、加油卡充值、平臺(tái)支付等進(jìn)行消費(fèi)，然后再將充值卡打折出售給個(gè)人商戶（超市、營業(yè)廳）進(jìn)行套現(xiàn)，實(shí)現(xiàn)盜刷信用卡非法獲利的目的。犯罪嫌疑人偽造的釣魚頁面如圖3所示。

（二）偵查思路

這是一起典型的通過網(wǎng)絡(luò)釣魚實(shí)施盜刷信用卡的案例。通過分析，受害者除了信用卡在不同的平臺(tái)進(jìn)行刷卡以外，無任何其他異常操作，如果按照常規(guī)偵查思路就應(yīng)該到對(duì)應(yīng)的平臺(tái)調(diào)取相應(yīng)的刷卡記錄進(jìn)行下一步偵查，當(dāng)時(shí)由于是疫情期間無法出差。因此調(diào)整思路，從釣魚網(wǎng)站開始偵查。

一是在對(duì)該釣魚網(wǎng)站進(jìn)行電子數(shù)據(jù)偵查過程中，發(fā)現(xiàn)網(wǎng)站后臺(tái)存在弱口令漏洞，通過該漏洞獲取管理權(quán)限，密取后臺(tái)數(shù)據(jù)發(fā)現(xiàn)存放大量的受害者信息和一批釣魚網(wǎng)站域名，進(jìn)一步偵查發(fā)現(xiàn)跳轉(zhuǎn)后鏈接均為游戲官網(wǎng)客服聯(lián)系方式，無任何管理員和運(yùn)營人員信息，僅從以上信息無法確定該網(wǎng)站的管理和運(yùn)營人員，對(duì)案件偵查并無價(jià)值，如圖4所示。

二是按照水坑式網(wǎng)絡(luò)釣魚的思路，對(duì)該網(wǎng)站的管理員實(shí)施釣魚，目的是遠(yuǎn)程控制其服務(wù)器和工作的終端，查清組織架構(gòu)，實(shí)現(xiàn)遠(yuǎn)程勘驗(yàn)并固定相關(guān)電子數(shù)據(jù)證據(jù)。首先制作免殺木馬并偽裝成flash組件，搭建flash更新網(wǎng)站；然后在嫌疑搭建的釣魚網(wǎng)站中通過XSS漏洞植入惡意代碼，強(qiáng)制執(zhí)行flash版本過期的彈窗，嫌疑人點(diǎn)擊后跳轉(zhuǎn)到偽造的flash更新網(wǎng)站，下載執(zhí)行木馬偽裝的flsh更新包，如圖5。

當(dāng)該運(yùn)營網(wǎng)站被強(qiáng)制安裝flash更新包之后，電腦無任何異常反應(yīng)，但flash包已經(jīng)觸發(fā)惡意代碼執(zhí)行，終端已經(jīng)被偵查員控制（如圖6所示），終端上所有的操作將全部呈現(xiàn)在偵查員眼前，通過對(duì)網(wǎng)站運(yùn)營者的電腦進(jìn)行錄屏，并在其休息的時(shí)間密取相關(guān)財(cái)務(wù)賬本、工作日志、嫌疑人的虛擬身份，組織架構(gòu)等重要信息。

（三）偵查小結(jié)

通過該案例可以看出，針對(duì)網(wǎng)絡(luò)釣魚類案件電子數(shù)據(jù)偵查的首要任務(wù)是對(duì)釣魚網(wǎng)站及發(fā)布的釣魚信息進(jìn)行深入分析，尋找網(wǎng)站后臺(tái)存在的漏洞，結(jié)合常見釣魚的基本方式進(jìn)行逆向偵查，最終對(duì)嫌疑人的核心數(shù)據(jù)進(jìn)行遠(yuǎn)程固定，為案件偵破提供偵查方向和有力的證據(jù)支撐。

三、注意事項(xiàng)

隨著科技的進(jìn)步，社會(huì)信息化程度不斷加深，許多案件電子數(shù)據(jù)的作用顯得尤為重要。電子數(shù)據(jù)的偵查，往往是憑借偵查人員或技術(shù)人員的主觀能動(dòng)性和個(gè)人經(jīng)驗(yàn)進(jìn)行，然而這樣容易導(dǎo)致越權(quán)取證的發(fā)生。針對(duì)如何在電子數(shù)據(jù)偵查過程中保證電子數(shù)據(jù)的有效性，提出以下幾點(diǎn)注意事項(xiàng)：

（一）電子數(shù)據(jù)偵查過程及時(shí)性

電子數(shù)據(jù)和其他證據(jù)不同，部分電子數(shù)據(jù)可能由于本身的性質(zhì)會(huì)相應(yīng)變化，可能導(dǎo)致電子數(shù)據(jù)不再是案發(fā)時(shí)的電子數(shù)據(jù)，比如計(jì)算機(jī)內(nèi)存、局域網(wǎng)IP地址、操作系統(tǒng)等，一旦發(fā)生變化將不能復(fù)原，不能反映案件的真實(shí)情況。或者由于人為刪除、病毒侵襲或者意外物理損壞等原因都可導(dǎo)致電子數(shù)據(jù)的毀損、滅失。這就對(duì)電子數(shù)據(jù)收集的實(shí)時(shí)性提出了較高要求。因此，應(yīng)注意電子數(shù)據(jù)偵查提取的及時(shí)性問題，并判斷提取的電子數(shù)據(jù)本身是否會(huì)隨時(shí)間的改變而發(fā)生變化。

（二）電子數(shù)據(jù)偵查過程合法性

要求計(jì)算機(jī)取證過程必須按照法律的規(guī)定進(jìn)行，從而得到真實(shí)且具有證明效力的證據(jù)。《公安機(jī)關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》對(duì)電子數(shù)據(jù)提取過程的程序進(jìn)行了明確規(guī)定，包括收集、提取電子數(shù)據(jù)，電子數(shù)據(jù)的檢查和偵查實(shí)驗(yàn)，電子數(shù)據(jù)委托檢驗(yàn)與鑒定，內(nèi)容全面、完整，涵蓋了電子數(shù)據(jù)提取所有過程。在偵查過程中按照公安部發(fā)布的規(guī)定審查公安機(jī)關(guān)提取電子數(shù)據(jù)過程的合法性，程序必須合法，才能保證實(shí)體有效，程序往往制約實(shí)體。

（三）電子數(shù)據(jù)偵查過程全面性

不僅要收集電子數(shù)據(jù)本身，還要收集其載體，電子數(shù)據(jù)收集的全面性在于保證電子數(shù)據(jù)的客觀性，由于電子數(shù)據(jù)與其存儲(chǔ)載體具有不可分性，存在于載體之上的電子數(shù)據(jù)比單純的電子數(shù)據(jù)更有證明力，這也符合最佳證據(jù)規(guī)則，況且載體上也存在大量的輔助信息從側(cè)面印證電子數(shù)據(jù)的真實(shí)性。此外，還應(yīng)收集電子數(shù)據(jù)的相關(guān)環(huán)境信息，由于電子數(shù)據(jù)需要存在于特定的載體中，而載體又要存在于特定的環(huán)境中，這些環(huán)境信息包含了大量的有用信息。所以，還要收集電子數(shù)據(jù)載體所在環(huán)境信息，如設(shè)備位置地點(diǎn)、IP地址、網(wǎng)絡(luò)連接環(huán)境、端口之間的連接等相關(guān)外部環(huán)境?？傊?，收集電子數(shù)據(jù)一定要堅(jiān)持全面的原則。

四、結(jié)語

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，新型網(wǎng)絡(luò)釣魚類案件也會(huì)不斷的出現(xiàn)，電子數(shù)據(jù)作為一項(xiàng)法定證據(jù)，在刑事案件辦理過程中發(fā)揮著越來越重要的作用，加強(qiáng)和提高對(duì)偵查工作中電子數(shù)據(jù)取證問題的認(rèn)識(shí)和重視，逐步建立和完善電子數(shù)據(jù)取證體系，才能保證今后偵查取證工作的順利開展。