一次被涉诈的经历反思
1. 异常包裹
2025年6月4号,有一个包裹送到,我没买什么东西,看了一下地址,地址不是我这,但和我这小区名称相差一个字,虽然只相差一个字,但所属行政区不对
其他楼栋、房号、行政区都是一致的(如果真是定向攻击,那很方便实施人进行风险规避吧,这些人真“聪明”)
没在意,看上去像是送错了,这是当时的第一反应
快递公司是顺心捷达,从来没听说过这家快递公司,不知道其官方电话就没打快递公司电话,打了收货人的电话(这真是个错误的决策),快递单上的虚拟号码,告诉她有个快递送错了,当时还傻傻地报给了她快递单号,真是太相信这个社会的善良了
当时就觉得奇怪,接电话这女的声音有点熟悉,以前可能打过我电话,当时没在意,就一个包裹而已,哪怕有问题,对我也没什么损失
这事后面这让我想起了三通电话:
1,第一个,近几年,当时在上海,接到一个女的打来的电话,精准的叫出了我的名字,问我是不是,
没回答,反问她是谁,然后就挂了,之后也同样收到了各种异地推销、骚扰电话
2,第二个,当时在杭州,收到异常电话,而且精准攻击我家人,当时很火,就用我自己办的那个杭州号码发了条短信,
威胁再敢针对我家人灭她九族,估计是这短信惹出了不少麻烦。我都怀疑近期诈骗是不是当年的诈骗组织,相关机构还没打掉这诈骗组织吗
3,第三个,好久以前了,当时被迫离开广州(找工作受影响,有人干预,找不到工作),来到了杭州,办了一张杭州的号码,
接着就从广州打来一个怪异的电话,也知道我是谁,问我记不记得他,鬼知道你他妈的是哪个王八蛋啊,呵呵,现在想想广州当年那批人真牛逼啊
跑题了,回归正题继续
2. 全国各地异地号码来电
接下来几周,从打了上面那电话第二天开始断断续续接到全国各地打来的电话,异地的都没接,此时感觉不对劲,我这号码是新办没多久,根本没人知道,怎么会有异地电话呢
就查了一下那个包裹,看配送记录像一个电商包裹,查实际配送地址,发现那小区还在建设中,根本就没有交付,也就是说这地址是不存在的,为了送到我这里,所有写了我这地址所属的行政区,如果能确认是诈骗快递,那真实处心积虑啊
虽然觉得可能和前面打那个包裹电话有关系,但没在意,后面实在烦了就直接把手机关机了
最近也在查当时来电的异地号码,可惜运营商那里都查不到,未接电话都没有记录,只有接通了的电话才有记录,这运营商也是真奇怪...
3. Jira项目创建失败提供包含cookies的调试日志
接下来几天,清净了,自己也在尝试开发一个项目,用Github及其他一些在线服务,会用到邮箱验证
其中一个是项目管理jira的在线服务,创建免费项目一直不成功,就联系了jira在线客服
让我提供浏览器Preserve log调试日志用于后台工程师排查,当时还真提供(😦),里面包含了用户登陆cookies,虽然客服有安全提示,会包含用户登陆信息,没怎么在意
之后客服那边也没解决,我从调试日志中发现有些url报错,就挂了代理尝试了一下,项目建成功了,应该境内网络限制导致的,之后及时删除了上传到Jira官方的Preserve log调试日志,但貌似没用,看后续
4. 勒索诈骗邮件
平时几乎不怎么去看邮件,除了网站注册登陆会用到邮箱验证码,更不要说是垃圾邮箱中的邮件了
那天打开邮箱收验证码,不知道怎么点开了垃圾邮箱,看到一封前一天发的奇怪的邮件,是从我自己邮箱发给我自己的
为什么能从我自己邮箱给我发邮件呢,账号被盗了?还是前面cookies泄漏,导致通过cookies发送邮件,这种可能性很大
如果是通过cookies异地、本地登陆,估计过不了微软的安全系统,同时也会留下登陆记录,但只通过cookies发送邮件却不会留下异常安全记录,只能通过邮件头的IP追踪,随便挂个代理都能避免了。当然了,也有可能是控制了我电脑,通过我电脑操作发送的,但是IP对不上,邮件头的IP属地是欧洲,发送时间是夜间,在我电脑关机的时候。
大概浏览了一下邮件内容,全英文,只能看懂部分,声称对方是一个勒索组织,控制了我的所有电子设备,包括电脑、平板、手机,而且是全平台台的,包含Windows、IOS、Android系统
同时通过摄像头拍下了我的隐私照片、视频,威胁支付比特币赎金,大为震惊,接下来来是个人处理步骤,仅供警示教训,我这处理出了不少问题,很多信息丢失,建议直接拨打96110,让他们指导处理
第一步:查看微软账号异常登陆记录及扫描电脑
第首先查的是微软账号登陆记录,结果是没有任何异地异常登陆记录,所有近期登陆都是我自己的IP
Windows11系统一直都是自动更新的,最新的安全补丁都是打上了的,而且也安装了卡巴斯基旗舰版杀毒软件,全盘扫描过多次都没发现任何异常
第二步:清理微软账号下的所有数据并注销账号
清理了所有的邮件、todo、存储的文件等等信息,在删除邮件时还查看了邮件头信息,邮件头中的一个邮件来源IP,查了一下是来自欧洲的没听说过的小国家
当时拷贝了邮件头,就清空了所有已删除的邮件,后面开始注销账号,账号是注销完成了
但前面拷贝的邮件头内容不见了,可能是复制了什么其他东西导致剪贴板中内容消失了
可惜了,没保存下证据,失去了反向调查追踪这个组织的可能,当然得有对应的能力才行,估计保存了也没啥用处,连邮件中提到的勒索组织名称都忘了,只记得包含d和f两个字母,后面去查过全球的勒索诈骗组织名称,都没有查到对得上号的
第三步:冻结微信、支付宝、银行卡
通过其他手机冻结了几乎所有涉及钱的账号,尤其是银行相关账号,这步骤应该一旦发现异常就立即执行
第四步:电脑手机断网,处理电脑、手机可能被控制的情况
这里建议发现这种问题,电脑、路由器尽快关闭断网,手机拆除电话卡,换手机拨打96110
首先做的是重装系统,先尝试是从win11的恢复分区恢复系统,这里很震惊,竟然都无法恢复成功,不管是删除数据重装,还是进入恢复分区的PE系统从微软官方下载最新镜像重装,在安装的过程中都会报错,无法重装成功
离线查看过重装日志,也没发现问题出在哪里,重装报错日志不记得保存了没有,此时感觉不对劲了,通过恢复分区重装,以前都试过都是正常的,有点相信前面邮件说控制了我电脑了,虽然卡巴斯基没检测出
后面就通过U盘启动Live Linux系统(随时准备linux live系统的重要性),不挂载硬盘情况联网下载了一个Linux镜像,将Windows重装成了Linux系统,原Windows的引导分区、MBR、恢复分区全部干掉了
其实此时电脑依然不是安全的,还有一个数据分区未删,太大没删掉重建,另一个BIOS固件如果被写入了病毒影响中记得在线更新过一次BIOS ,重装系统也没用,但凑合用吧,只要不存储敏感信息就行,但换了Linux系统一定程度上能规避50%的攻击吧,除非这病毒真能适配全平台
接着处理手机,IOS系统备份转移数据,然后重置系统,更换手机
5. 手机号码被涉诈停机
前面手机开机没多久,就收到涉诈停机短信了,从运营商发来的停机信息,到联系运营商确认,都提示我名下卡参与涉诈嫌疑,要求重新认证
这是真奇怪,怎么就涉诈了呢?难道这和前面打的那个包裹上的电话有关系?打过的有问题的电话就那一个
从这一点看,我觉得反诈相关决策人做的还是不够的,当然里面很多人估计都是混日子的吧
6. 问题分析
可疑的问题:
-
为什么快递会送到我这?
首先可能是附近熟悉的人,这种能获取到这些信息正常。另一种是个人信息售卖,被诈骗组织获取了,然通过地址来进行定向攻击确认相关信息。当然也有可能就是一个正常快递被快递员送错了而已,但从种种迹象来看,这种情况可能性几乎为零
-
如果快递是为了定向攻击确认身份和手机号码,又有谁能策划呢?又是谁给的地址关联信息呢?
不管怎么说,这里面要嘛是售卖信息,要嘛是相关人配合
-
为什么能通过我的邮箱给我发邮件?
从技术上来说,只有两种情况,一个是真控制了我电脑,那没话说,别说发个邮件了,啥都能做了。另一种是Jira平台泄漏的登陆cookies,通过cookies发送也是可行的
-
勒索诈骗组织是国际的还是国内的?
这是一个值得深思的问题,前面搜索勒索诈骗组织时,也看到过来源中国的几个勒索组织,可惜勒索组织的名称没记下来。我有一个U盘被偷,当时三个U盘放在小包里,两个系统盘一个数据盘,被偷的是数据盘,可能是从北京回上海那趟动车上睡着了被偷的 ,这U盘又到了谁的手里呢?勒索邮件中的信息和我U盘中的数据貌似有点关联
-
手机关机后就出现勒索诈骗邮件,那异常快递和勒索诈骗邮件发送人是同一批人吗
这问题无解
可能的情况:
- 如果勒索诈骗邮件和快递发送人是同一批人的情况,那就值得深思了,能做到这一点的人,不多,那100%就是那批人了
- 如果勒索诈骗邮件和快递发送人是两批人的情况,就在这么巧合的时期内先后发生了这一系列事情,如果这样那是真倒霉了😓
- 还有一种可能,入侵了我手机,通过手机上的京东、天猫等公司获取到了我的地址手机等信息,如果是这种情况,完全没必要像前面那样寄一个快递来确认或收集手机/身份等信息吧
最大问题
- 不管上面两种情况的哪种情况,都涉及到一个最新信息泄漏的问题,才能这么精准地定位,并进行定向攻击,一定是什么人比如开发商下面的人、物业下面的人或者其他比较了解这一片区域的人参与售卖或提供区域人员信息
- 如果能确定前面那快递是诈骗的,或许可以通过快递员来确定,但大概率快递公司无法判断,或者说这本就是一个正常合法的快递,只是为了信息收集而已,前面电话中才会问我快递单号。当然一定有非常熟悉这两个小区的人员参与信息售卖
7. 反思及教训
- 非自己快递一律不收,不联系,直接扔了,别人的快递关我屁事啊,做人别那么善良,善被人欺是永恒真相
- 注意账号密码安全
