点击上方蓝字“小谢取证”一起玩耍
前言
未曾想到上篇文章引发热烈反响,感谢各位对小谢取证的关注与支持,小谢继续努力!也欢迎取证界各个专家前来投稿(有些许稿费哈哈)。本期特邀全国刑侦技术专家梁警官分享一起打击"冒充企业老板诈骗"的新型涉网案件,此案件最终落地,让我们一起来看看吧。
简要案情
2023年8月3日,XX市XX区发生了一起电信网络诈骗案。报案人戴某报案称:2023年8月3日12时许有人添加其微信好友,其看到对方的微信头像和昵称跟老板林某某一样,于是通过了验证,通过验证后,“老板”首先询问其为什么把他给删掉了,接着要看公司账户还有多少钱,其查询过后,将账户截图发给对方,对方发来一公司账户让其打款,后其真正老板收到打款短信提醒后给戴某打电话,发现被骗,遂报警。共计被诈骗金额:2982000元。
本案难点
1、涉案要素少:仅有1个涉案微信和1个对公账号,且是1笔转账;
2、案发周期短:同杀猪盘、刷单类诈骗不同,该案从案发至结束仅不到1个小时
本案初查情况
1、对资金流打击:抓获对公账户持有人XXX公司法人李某及10名二、三级卡主
2、信息流打击:对涉案微信查询,反聩数据为空
至此,案件陷入僵局
本案疑点
1、受害人案发前已经添加过老板的微信且并没有删除过老板微信行为,但在案发后在受害人陈某的微信好友中未发现其真正老板贺某某的微信。
2、该公司在财务审计方面有完整的审核机制,存在三层审核,为何该笔转账能如此迅速完成,是否存在内外勾结的行为?
本案初步分析
对受害人陈某进一步询问,加上对受害人资金、关系人、通联记录等进行综合研判分析,排除其内盗的可能性。判断该起案件应为一起借助黑客技术,远程操作陈某电子设备删除受害人老板,并利用新微信伪装成其老板实施诈骗行为的新型诈骗。
案件性质明确后,如何开展取证工作成为接下来工作的重点。
首先排除受害人戴某的微信账号被盗取的可能性,那很有可能就是陈某的手机或电脑、平板等设备被植入了木马病毒。
本案线索收集
对戴某手机进行备份后发现其于8月2日16时27分左右在一“会计交流群”中双击了一文件(文件名受害人记不清,发文件的“依然”发完文件后便撤回,且随后退群)
“投毒手”向微信群投毒
◆ ◆ ◆ ◆ ◆
8月3日12时13分06秒陈念添加了嫌疑人的微信并被骗。
受害人与嫌疑人聊天记录
◆ ◆ ◆ ◆ ◆
对受害人陈某的计算机做全盘镜像,再对镜像进行仿真后,发现陈某的计算机内未安装任何杀毒软件。
在仿真后的计算机中安装杀毒软件并进行全盘杀毒,发现4个木马病毒文件。
发现木马病毒文件
◆ ◆ ◆ ◆ ◆
定位到这4个文件的路径后,发现4个病毒文件都是2023年8月2日16时26分生成。
同一时间点的病毒文件
◆ ◆ ◆ ◆ ◆
同时,在会计陈某的电脑里找到了病毒软件每3秒1次对陈某电脑的截图(保存在陈某电脑内),也即还原了整个作案过程。
木马病毒自动截屏保存
本案时间线梳理
利用取证软件中的时间线功能对2023年8月2日16时26分前后会计陈某电脑内的行为进行分析,发现可疑点,上述这些病毒文件都是在运行了1个名为“税务新规定.2150.exe”的文件后才产生的。
利用取证软件对电脑镜像进行分析,根据时间线功能找到了相关线索。但是对镜像文件进行全盘搜索,并未发现“税务新规定.2150.exe”这个疑似木马病毒的源文件。
时间线梳理
本案还原
1、黑客或者投毒手利用肉鸡设备在各大会计交流群内投送病毒文件
2、监控各中毒电脑,设备,查找作案目标
3、发现目标(陈某),利用会计中午午休不关电脑,且不操作电脑的机会,删除企业老板微信。
4、伪装成企业老板的微信添加会计微信并让陈某产生愧疚感;
5、在会计未反应过来之前,安排工作的急迫感;
6、收款公司账号为同省内一家企业的对公账户。
本案研判思路
因资金流、信息流未作出有价值的线索,只有对木马病毒文件进行重点攻坚,以求网络流能够突破改案件。具体思路如下:
1、病毒文件开发者一般在开发病毒后会使用杀毒软件或云沙箱测试免杀能力;可通过病毒文件查找技术员;
2、投毒手会使用PC设备或手机设备接收病毒文件,在接收的过程中难免会误点击病毒文件,可通过病毒文件查找投毒手设备;
3、本案病毒文件明显使用了远程控制功能,必然有一控制端电脑,可尝试查找控制端电脑明确境外窝点及人员身份。
技术人员身份落地
对病毒原文件及生成的文件合集进行技术分析,发现大量PC设备,最终找出一台境外设备并通过该设备找到嫌疑人陈某,发现陈某有非法侵入计算机系统前科及非法开设赌场前科。
境外窝点落地
首先对木马病毒文件行为进行分析:该木马病毒为“白+黑”签名模式,文件的主要运行程序为1.exe,该样本为shellcode的启动器,样本进去之后会在HKEY_CURRENT_USERConsole查找tt1注册表项,随后读取键值并分配内存执行。最终通过技术分析落实到境外窝点的真实地址。
木马行为分析
敬请各位大佬关注:小谢取证
原文始发于微信公众号(数据取证杂谈):特邀专家分享:冒充企业老板诈骗案件分析研判思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论