2026-03-17 23:23:06 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档详述了一起涉案金额86.9万元的远程控制诈骗案，受害者被诱导下载木马APP并开启屏幕共享导致资金被转。警方通过技术追踪、资金流查控及社会工程学调查，打掉了国内的取现车队、推广中介及信息处理窝点，揭示了跨境诈骗团伙的层级结构。案件反映了新型诈骗技术门槛高、隐蔽性强的特点，并总结了侦查的五层穿透法。 综合评分： 86 文章分类： 实战经验,应急响应,威胁情报,社会工程学,恶意软件

cover_image

远程控制劫持案侦破之屏幕背后的黑手

原创

子午猫子午猫

网络侦查研究院

2026年3月1日 07:55 湖南

一、86.9万的“系统对接”

2025年11月3日，周四，下午两点。

曾文斌坐在自家书房的电脑前，手心全是汗。屏幕上，他的股票账户余额正在跳动：86.9万元，一分一分地减少。

他眼睁睁看着，却动不了。

不是电脑卡了——电脑屏幕一片漆黑，只有一行白色小字：“系统正在对接银联中心，请勿触碰设备，否则后果自负。”

手机在旁边震动，是他妻子打来的第三个电话。他不敢接，因为“客服”说了：“对接期间任何中断都会导致资金永久冻结。”

事情要从三小时前说起。

曾文斌，48岁，深圳一家外贸公司中层。那天上午，他接到一个电话，号码显示“+852”开头，香港地区。

“曾先生您好，我是抖音平台客服工号3087。系统显示您于今年8月开通了‘直播商家自动扣费服务’，每月扣除2880元。需要我帮您取消吗？”

曾文斌确实在抖音开过小店，卖外贸尾货。听到要扣钱，他立刻警觉：“我没开通过这个服务。”

“可能是您误操作了。现在很多商家都遇到这个问题，我们可以远程协助您取消。”对方语气专业，“您方便下载一个‘抖音会议’APP吗？我们通过官方会议系统指导您操作。”

曾文斌听说过“抖音会议”，好像是官方出的办公软件。他同意了。

下载、安装、注册。对方发来会议号，他加入。屏幕共享功能自动开启。

“曾先生，您能看到我的操作指引吗？”一个温和的男声。

“能看到。”

“好的，现在请您打开手机银行APP，我需要确认一下扣费绑定的账户。”

曾文斌照做，打开了招商银行APP。

“请点击‘账户总览’，我需要截图备案。”

他点击了。

“现在请进入‘转账汇款’页面。”

他进入了。

“为了验证是您本人操作，需要您输入一次密码。请放心，我们这边看不到密码，只是系统需要这个验证步骤。”

曾文斌犹豫了一下。但想到对方是官方客服，而且屏幕共享状态下，对方确实看不到密码输入框（银行APP有安全保护，密码输入时会屏蔽共享）。

他输了密码。

然后，屏幕突然黑了。

“曾先生，系统正在对接银联中心，验证您的账户信息。这个过程需要3小时，期间请勿触碰任何设备，否则资金可能永久冻结。”

对方的声音依然温和，但曾文斌开始慌了。

“要这么久吗？”

“是的，因为涉及跨平台数据对接。您放心，3小时后会自动恢复，扣费服务也会取消。”

电话挂断了。

曾文斌等了十分钟，越想越不对劲。他尝试按键盘，没反应。想强制关机，又怕真的导致“资金冻结”。

他给妻子打电话，小声说了情况。妻子在电话那头尖叫：“挂断！马上挂断！那是骗子！”

但已经晚了。

三小时后，屏幕恢复。银行APP还开着，余额显示：0.00元。

转账记录里，有五笔交易：

14:07，转出20万，收款方“李某某”
14:23，转出18.5万，收款方“王某某”
14:41，转出22万，收款方“陈某某”
15:02，转出16.4万，收款方“赵某某”
15:30，转出10万，收款方“孙某某”

总计86.9万元，是他和妻子攒了半辈子的积蓄。

曾文斌瘫在椅子上，浑身发抖。手机响了，是那个“客服”。

“曾先生，对接完成了。您的扣费服务已经取消……喂？曾先生？”

曾文斌用尽力气吼出来：“我的钱呢？！”

对方沉默了两秒，挂断。再打，已是空号。

二、立案：新型远程控制诈骗

深圳市公安局反诈中心接到报案时，值班民警老陈第一反应是：“这不像传统诈骗。”

传统诈骗，受害者至少是自己操作转账的。但曾文斌的情况是：钱在他眼皮底下被转走，他全程没碰转账确认键。

“远程控制。”技术组的小吴说，“骗子通过屏幕共享，看到了他的银行账户信息，然后远程操控电脑，模拟鼠标点击，完成了转账。”

“但银行转账需要密码、验证码啊。”老陈皱眉。

“如果骗子已经通过屏幕共享看到了账户余额、账号信息，再结合其他手段，就有可能绕过二次验证。”小吴解释，“有些银行APP在登录状态下，小额转账不需要重复验证密码。或者，骗子诱导他提前输入了密码。”

曾文斌确实输入过一次密码——在“验证本人操作”的环节。

“那是陷阱。”小吴说，“银行APP的密码输入框虽然屏蔽了共享，但骗子可以通过录屏软件的外挂，或者利用系统漏洞，捕获键盘输入记录。”

老陈立刻意识到问题的严重性：这种诈骗不需要受害者“配合转账”，只要骗到一次屏幕共享权限，钱就可能无声无息地消失。

“立案，成立专案组。”老陈拍板，“这可能是新一代诈骗手法。”

三、侦查第一步：追踪虚拟身份

专案组调取了曾文斌的所有通话记录、APP下载记录、会议软件日志。

关键线索有三个：

那个“+852”开头的电话
“抖音会议”APP
会议服务器的IP地址

“电话是虚拟号码，注册地在境外，追不了。”小吴说，“重点在APP和服务器。”

他们分析了“抖音会议”的安装包。发现它虽然图标、名字都模仿正版“抖音会议”，但签名证书是伪造的。安装后，它会自动申请多项敏感权限：

屏幕共享
麦克风
通讯录
存储访问
无障碍服务（可模拟点击）

“这是个木马。”小吴说，“打着官方软件的幌子，实际上是个远程控制工具。”

更可怕的是，这个APP在应用商店里搜不到，只能通过骗子发的链接下载。曾文斌点击的链接，是一个伪装成“抖音官网”的钓鱼页面。

“域名是‘douyin-huiyi.com’，看起来像官网，其实是私人注册的。”小吴追踪域名信息，发现注册人叫“Zhang San”，邮箱是临时邮箱，注册IP在菲律宾。

“又是境外。”老陈叹气。

但他们没放弃。通过会议服务器的IP，反向追踪到一家国内的云服务商。服务器租用者叫“深圳华美科技公司”，注册资金100万，法人代表“李华”。

侦查员赶到注册地址，发现是个共享办公室，早已人去楼空。工商信息显示，这家公司三个月前才注册，没任何实际经营。

“空壳公司。”老陈说，“专门用来租服务器、注册域名的。”

线索似乎断了。但小吴提出一个思路：“这种木马APP，不可能只给曾文斌一个人用。骗子肯定批量发送链接，寻找更多受害者。”

他们决定从APP的通信协议入手，尝试找到它的控制端。

四、侦查第二步：分析木马行为

技术组把“抖音会议”木马放到沙箱环境里运行，监控它的一切行为。

发现几个关键特征：

隐蔽启动：安装后不显示图标，但会在后台常驻。当收到特定短信（内容包含“会议号”）时，自动启动屏幕共享。
键盘记录：利用无障碍服务，记录所有键盘输入，包括密码。
屏幕录制：共享期间，会偷偷录制屏幕，保存到隐蔽目录。
远程指令：连接控制服务器后，可接收指令，模拟点击、滑动等操作。
自我删除：转账完成后，自动删除聊天记录、通话记录、APP本身。

“这是个专业的远程控制木马。”小吴说，“比传统的‘TeamViewer’远程工具更隐蔽，专为诈骗设计。”

他们提取了木马连接的控制服务器IP，发现它每隔几分钟就变换一次，使用“动态域名解析”技术，难以追踪。

但小吴注意到一个细节：木马在录制屏幕时，会把视频文件压缩后，通过一个固定的邮件服务器发送出去。

“邮件服务器！”老陈眼睛一亮，“这可能是突破口。”

他们追踪那个邮件服务器，发现它位于江苏镇江，属于一家小型的IDC机房。租用者叫“王强”，身份证显示是安徽人。

侦查员赶赴镇江，在机房管理员的配合下，调取了服务器日志。发现这个邮箱每天收到上百个视频文件，发件IP遍布全国。

“这些都是受害者。”小吴说，“骗子通过邮箱收集受害者的屏幕录像，从中提取银行账户信息。”

他们监控了邮箱的登录记录。发现登录IP经常出现在云南西双版纳。

五、侦查第三步：边境线上的“技术员”

专案组派出一队人马，奔赴西双版纳。

在当地警方的配合下，他们锁定了一个位于景洪市郊区的出租屋。屋里住着两个年轻人：阿杰和小斌，都是22岁，大专学历，学计算机的。

“我们就是打工的。”阿杰交代，“在网上看到招聘‘远程技术支持员’，月薪8000，包住，就来了。”

他们的工作很简单：每天登录那个邮箱，下载屏幕录像视频，从中找出银行账户的余额、账号、登录状态等信息，整理成表格，发给上线。

“上线在哪？” “不知道，只在Telegram上联系，叫‘老板’。”

“表格发到哪里？” “一个加密网盘，每次链接都不一样。”

侦查员检查了他们的电脑，发现里面存着上千个屏幕录像视频，涉及全国各地的受害者。有些视频里，受害者正在操作股票账户、基金账户，余额从几万到上百万不等。

“这些视频，就是骗子的‘情报库’。”老陈说，“他们从中筛选高价值目标，制定诈骗方案。”

但阿杰和小斌只是最底层的“信息处理员”，不知道诈骗的具体操作，更不知道钱转到哪里。

“老板说，我们只负责收集信息，其他不要问。”小斌说，“每个月10号，工资会打到我们的银行卡上。”

侦查员调取了他们的工资卡流水，发现汇款方是一个第三方支付平台账户，账户主体又是空壳公司。

线索再次指向境外。

六、侦查第四步：资金流的诡异之处

与此同时，资金追踪组也在行动。

曾文斌的86.9万，转到了五个个人账户。侦查员调取了这些账户的信息：

李某某，女，65岁，湖南农村，文盲
王某某，男，23岁，广东打工，月薪3000
陈某某，女，48岁，江苏家庭主妇
赵某某，男，31岁，北京送外卖
孙某某，女，29岁，上海公司职员

这些人天南地北，互不认识，背景各异。

“都是卡农。”资金组长老刘说，“他们的银行卡被诈骗团伙收购或租用，用来接收赃款。”

但奇怪的是，这些账户收到钱后，并没有立即转走。而是停留了几天，才分批取出。

“为什么停留？”老陈问。

“可能在等‘安全期’。”老刘分析，“诈骗团伙担心受害者立即报警，银行会快速止付。所以先让钱在卡农账户里放几天，等风头过了再取。”

侦查员联系了这几个卡农。除了孙某某（坚称银行卡丢失），其他四人都承认：把银行卡卖给了“中介”，每张卡1000-2000元。

“中介说用来收货款，我不知道是诈骗。”李某某哭着说，“警察同志，我会坐牢吗？”

根据他们的描述，中介都是通过微信联系，没见过面。钱是通过支付宝转的，中介的微信账号已经注销。

线索又断了。

但老刘注意到一个细节：这五个账户取现的地点，都在同一个城市——广西东兴。

又是东兴。

七、侦查第五步：边境取现的“车队”

东兴，中越边境小镇，走私、非法换汇、地下钱庄活动猖獗。

专案组协调广西警方，调取了那五个账户在东兴的ATM取现监控。发现取款人都是同一伙：三个年轻男子，戴口罩，骑摩托车，轮流取款。

“专业取现车队。”当地民警老黄说，“他们专门为诈骗团伙服务，收取5%-10%的佣金。”

通过摩托车轨迹追踪，警方找到了他们的落脚点：一个边境村的出租屋。突击检查时，屋里没人，但找到了大量银行卡、POS机、点钞机。

“人跑了，但设备在。”老黄说，“他们肯定还会回来。”

警方在屋里蹲守了两天。第三天夜里，三个年轻人回来了，当场被抓。

为首的叫阿龙，26岁，本地人。他交代，自己负责东兴区域的取现业务，上线叫“越南佬”，在越南芒街遥控指挥。

“越南佬每天发给我一个银行卡列表和取现金额，我安排人去取。取出来的钱，送到指定地点，有人来收。”

“钱送到哪里？” “边境线上的一个杂货店，老板姓周。”

侦查员控制了杂货店周老板。他承认，自己只是个中转站。钱送到后，他会通知“越南佬”，然后有越南人过来，把人民币换成越南盾或美元，带过境。

“怎么通知？” “有专用手机，只存了一个号码。”

警方调取那个手机的通讯记录，发现它只和越南的一个号码联系。通过技术手段定位，那个号码在越南芒街的一个赌场附近。

“赌场。”老陈皱眉，“那里鱼龙混杂，很多诈骗团伙把据点设在赌场后面，方便洗钱和躲避抓捕。”

跨国抓捕，需要越南警方配合。程序复杂，时间漫长。

但专案组不想等。他们决定从国内环节继续深挖，找到更多的线索。

八、侦查第六步：木马的传播网络

技术组重新分析“抖音会议”木马的传播方式。

小吴发现，这个木马主要通过三种渠道传播：

钓鱼短信：冒充银行、平台客服，发送“账户异常”“扣费服务”等短信，附带下载链接。
社交工程：在抖音、微信等平台，伪装成“技术支持”“官方客服”，私信受害者，诱导下载。
广告引流：在搜索引擎购买关键词，当用户搜索“抖音客服电话”“如何关闭自动扣费”时，展示钓鱼网站。

他们重点追踪了钓鱼短信的发送源头。发现这些短信来自一些“短信平台”，平台客户使用虚拟身份注册，批量发送。

侦查员联系了其中一家短信平台，要求提供客户信息。平台起初以“用户隐私”为由拒绝，在警方出示法律文书后，才提供了注册邮箱和手机号。

邮箱又是临时邮箱，但手机号是实名的。机主叫“郑某”，福建龙岩人。

侦查员赶赴龙岩，找到了郑某。他是个体户，开小超市。面对警察，一脸茫然。

“我没注册过短信平台啊。”

检查他的手机，发现他两个月前丢过身份证。

“可能被人冒用了。”郑某说。

线索再次中断。但小吴提出：“骗子冒用他人身份注册短信平台，说明他们需要大量发送短信。这些短信平台，会不会有共同的上游？”

他们调查了多家短信平台，发现它们都从一个叫“通信服务商”的公司购买短信通道。这家公司位于河南郑州，老板姓郭。

郭老板交代，他的公司确实为很多“营销客户”提供短信通道，但不知道对方用来发诈骗短信。

“我们只审核营业执照，不审核短信内容。”郭老板说，“有些客户用的也是假执照。”

警方调取了他的客户列表，发现有一个客户，三个月内发送了上百万条“客服通知”类短信，内容高度相似。

这个客户的注册信息，又是空壳公司。

但郭老板提供了一个重要线索：这个客户的结算账户，是一个个人支付宝，户主叫“林某”，广东潮汕人。

九、侦查第七步：潮汕的“运营中心”

潮汕地区，传统诈骗高发区，近年来很多团伙转型做“技术诈骗”。

侦查员找到林某时，他正在一家茶楼里喝茶。28岁，穿着时髦，开宝马。

“我就是个做推广的。”林某很镇定，“帮客户发短信，赚点差价。”

“什么客户？” “网上找的，没见过面。他们给我文案和号码列表，我找短信平台发。每发一条，我赚一分钱。”

“号码列表哪来的？” “客户给的，说是‘目标客户名单’。”

警方检查了林某的电脑，发现里面存着上百个号码列表，分类细致：“抖音商家”“股票投资者”“网贷用户”“老年人”……

“这些名单，是从数据贩子那里买的。”林某承认，“一条数据一毛钱到一块钱不等。”

数据来源包括：

泄露的电商订单
黑市交易的手机号
爬虫抓取的公开信息
内鬼提供的客户资料

“你知不知道这些短信是诈骗？” “我不知道内容真假，我就是个中介。”林某回避问题。

但警方在他的聊天记录里，找到了他和“客户”的对话。客户明确要求：“短信要像官方客服，让人害怕，才会点链接。”

铁证如山。林某被刑拘。

通过林某，警方找到了他的上游“客户”——一个在缅甸活动的诈骗团伙。团伙头目叫“斌哥”，潮汕人，三年前偷渡到缅甸，在妙瓦底地区设立诈骗窝点。

“斌哥”专门从事“远程控制诈骗”，手下有技术组、话务组、洗钱组。技术组负责开发木马、维护服务器；话务组负责打电话、发短信；洗钱组负责国内取现、跨境转移。

曾文斌的案子，就是“斌哥”团伙的“杰作”。

十、收网：艰难的跨国追逃

案情明朗了，但抓捕困难。

“斌哥”在缅甸，受地方武装保护。中缅警方虽有合作，但妙瓦底地区局势复杂，执法难度大。

专案组决定先打掉国内环节：

打掉取现车队：阿龙等三人被逮捕，查扣银行卡200多张，现金50余万。
打掉短信推广：林某被刑拘，牵连出五个数据贩卖团伙，抓获12人。
打掉信息处理点：阿杰和小斌被逮捕，查获屏幕录像视频3000多个。
冻结资金：通过银行协作，冻结了涉案的100多个账户，挽回损失200余万元。

但曾文斌的86.9万，大部分已被转移到境外，追回希望渺茫。

“斌哥”团伙仍在境外活动，每天换着花样诈骗：冒充京东客服、冒充微信支付、冒充航空公司……木马也在升级，最新版本可以绕过更多银行APP的安全防护。

“这是一场持久战。”老陈在总结会上说，“远程控制诈骗，技术门槛高，但危害极大。受害者往往在不知不觉中，钱就没了。”

十一、侦查思路总结：远程控制诈骗的“五层穿透法”

这个案子办下来，我总结了远程控制诈骗的侦查思路，叫它“五层穿透法”：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络侦查研究院子午猫子午猫《远程控制劫持案侦破之屏幕背后的黑手》