打開“熟人”發來的文件，十幾萬沒了！

一份“熟人”發來的文件！

日前，我區一家公司財務被拉入在外出差“領導”新建的一個微信群，“領導”在群里發來一份“稅務稽查緊急通知”文件。其在“領導”要求下，下載并打開了該文件，后續幾天內就在同一個群中，按照“領導”的指示向所謂“稽查賬戶”轉賬十余萬元。事后才發現，自始至終，領導都沒建群并讓其轉賬。經調查發現，所謂的“稅務稽查緊急通知”文件實質是攜帶了“銀狐”木馬病毒，它暗中竊取了張女士的電腦操作記錄和社交信息，讓騙子得以完美模仿領導身份，實施精準詐騙。

這起案件背后，是一個龐大的黑色產業鏈——“銀狐”攻擊團伙。他們專門制作偽裝成“發票助手”“報稅軟件”“項目資料”的帶毒文件，甚至假冒成“XShell”“Navicat”等專業軟件的“綠色破解版”，瞄準企事業單位廣泛傳播。

“銀狐”的狡猾偽裝與侵入路徑

1

精準投遞，投其所好。攻擊者會以“最新稅收政策解讀”“XX項目投標書終版”等名稱精心制作或包裝惡意文件，通過微信、企業微信或郵件發送，利用工作的緊急性和對領導、同事的信任，誘導員工毫不猶豫地點擊。

2

無聲潛入，長期潛伏。文件一旦打開，惡意程序便會悄無聲息地安裝到電腦中。它可能偽裝成某個正常程序組件，初期不進行任何破壞操作，從而逃避普通殺毒軟件的查殺，靜靜潛伏下來。

3

竊取信息，復制身份。在潛伏期間，木馬會秘密記錄鍵盤輸入、截圖、甚至盜取微信等聊天工具的登錄狀態和聊天記錄。攻擊者借此掌握了企業內部的組織架構、溝通風格和業務往來細節。

4

伺機而動，實施犯罪。在充分掌握信息后，攻擊者會選擇最合適時機（如領導外出時），直接利用竊取賬號發號施令，或新建高度逼真的“內部工作群”，偽造領導身份，下達轉賬或索要敏感數據的指令，完成詐騙或數據竊取。

這起發生在本區的案件，絕非孤立的網絡安全事件。攻擊者不再滿足于簡單地破壞電腦，而是致力于構建從制作惡意程序、投放釣魚信息、到洗錢銷贓的完整黑色產業鏈。他們的目標也從過去的個人電腦，轉向存儲著大量資金和數據的企業或機構電腦，危害性呈幾何級數增長。

守住網絡防線，企業可以這樣做

企業

國家推行的網站備案，能直接防住“銀狐”病毒嗎？

它雖不能像殺毒軟件一樣直接攔截某個特定病毒，但卻是構建企業整體免疫系統的基石。

網警

網站備案是網絡空間治理的“實名制”基礎。它確保了在互聯網上提供服務的網站主體可追溯、可聯系。一旦發生像“銀狐”團伙利用釣魚網站進行攻擊的情況，備案信息能為公安機關的快速溯源和打擊提供關鍵線索，不至于出現“門戶大開，一擊即潰”的情況。

守牢網絡安全底線

筑牢“人”這道防火墻

再堅固的城墻，也可能因為一扇未關好的門而被攻破。在網絡安全中，“人”往往是最關鍵也是最脆弱的一環。結合“銀狐”案例，我們為企業與員工提供以下可立即行動的指南：

給企業的建議：

制度先行：嚴格執行“凡轉賬、必核實”的財務制度，必須通過電話或當面等第二種獨立渠道進行確認，絕不能僅憑線上聊天信息執行。

源頭管控：建立軟件統一下載渠道，嚴禁員工從非官方、不可信的網站下載特別是所謂“破解版”“綠色版”的專業或辦公軟件。

持續教育：定期開展案例式網絡安全培訓，讓員工對釣魚郵件、詐騙鏈接、可疑文件保持警惕。

給每位員工的提醒：

謹慎點擊：對任何線上發來的文件、鏈接，尤其是冠以“緊急”“重要”之名的，保持第一反應是“懷疑”，核實發送人身份。

官方渠道：務必從官方網站或應用商店下載軟件，警惕任何第三方提供的“免費破解”資源。

及時報告：發現自己可能點擊了可疑文件，或電腦出現異常，應立即斷開網絡并報告給公司IT或安全部門。

來源：“金山警務百事通”微信公眾號

編輯/責編：干鈺瓊

審核：陳建軍、戚靜偉