李鬼|揭秘！大额跨境贸易诈骗中间人攻击( 二 )_李逵

文章插图
滴水成海，大海捞“鱼”
在不断的进行前面几步操作的状态下，此时就不断的有大量窃密数据被传送到设定的邮箱、FTP、Web服务器等，形成海量数据集。数据内容包括前文提到的键盘记录信息、邮箱账号密码、浏览器中的用户名密码等。
如果是有实力的犯罪团伙，这个时候估计会建立一个数据分析系统。
接下来，就是分析这里面的数据，可以通过分析键盘记录信息挖掘相关目标、通过窃取的邮箱账户、网站账户登录查看里面的信息。从中筛选出关注目标，逐步建立目标画像，并持续进行关注。
举个例子，如一个跨国贸易企业的财务人员的电脑不小心中了间谍软件，那么犯罪团伙可以监控到财务人员的键盘记录（如可能包含聊天信息、编写文档信息），甚至可以登进该人员的邮箱进行查看邮件来往信息。那么在这些窃密信息中极有可能包含和贸易企业的来往信息、交易信息、转账信息等，那么这个财务人员就成为了重点关注对象。犯罪团伙的目的就是挖掘出这类高价值信息及诈骗目标（尤其是正在进行交易的目标），为其实施诈骗提供了有效的信息基础。
信息扩展，深度挖“鱼”
经过上面的挖掘，这个财务人员和这家跨国企业就成了其中一个诈骗关注对象。
这个时候犯罪团伙不仅仅只关注这位财务人员持续回传的窃密信息，还会对这家跨国企业及其员工展开深入调查，目的就是尽可能全的收集目标的相关信息，如目标公司业务、人员配置、岗位功能、外贸交易细节（外贸交易对象、交易金额、交易时间等）。然后分析诈骗时机，在交易之前，以伪装者身份入场进行诈骗。
这个深入调查过程，就是持续挖掘掌握更多信息的过程，如会不断收集这个跨国企业的员工邮箱，尝试通过一些方式拿到一些邮箱的账号密码，登入观察。查看企业是否存在外部数据泄露，如将业务代码等放在GitHub等开放的地方，挖掘是否有可利用的账户信息、或业务漏洞等。观察是否存在业务站点，对其进行攻击，获取补充数据。
李逵和“李鬼”
经过前面掌握的信息，犯罪团伙会在合适的时机入场，这个时候假李逵真“李鬼”上线。犯罪团伙人员会冒充跨国企业的贸易对象的交易工作人员，和该跨国企业交易人员进行联系，开始实施诈骗。
这个合适的时机也有一定的讲究，如果太早入场可能信息还不全面，怕有疏漏，太晚入场，如交易前夕，那么恐生嫌疑。
“李鬼”如何上线？犯罪团伙在这个环节也花足了功夫。
我们把这家跨国贸易企业设为A，跨国贸易企业的外贸交易企业设为B。
如犯罪团伙会根据外贸交易企业B的公司邮箱域名申请伪装域名，伪装域名和原域名十分接近，带有迷惑效果，大概就是google.com变成qoogle.com、gooogle.com、g0ogle.com、googie.com、goog1e.com这样。
根据前期掌握的信息，已经获取了外贸交易企业B交易人员的邮箱信息及交易人员姓名，这个时候就可以用上邮箱账户名产生“李鬼”邮箱了。
“李鬼”邮箱开始替代“真李逵”邮箱和跨国贸易企业A交易人员进行多次邮件来往，让企业A交易人员对“李鬼”邮箱是信任的。这中间还有一个关键点是真李逵邮箱，犯罪团伙可能通过一定技术手段阻断真李逵邮箱对企业A交易人员邮箱的信息发送，或也存在可能同时使用“李鬼”模式，冒充企业A交易人员邮箱和外贸交易企业B交易人员邮箱进行沟通，进行双向欺骗。这一过程的目的，就是让双方都不产生怀疑，达到无感状态。应该还有许多奇异的手法，可以自行想象。