法国加密货币骗局，挖出了疑似中国网络军队的成员？

2019年08月22日 9:33 PDF版分享转发

这是一个有趣的实战。起底一个法国的加密货币骗局，居然在其中挖出了疑似中国网络军队的成员。

正如您知道的，开源情报、道德黑客和社交工程，三部分是相通的，往往会结合使用，尤其是在一项深入追查的实践中。

本案例就是这样一套实践笔记。

尤其提醒注意几点：1、社交网络情报的重要性和致命性 —— 那个中国网军就栽在这里；2、社交工程攻击模版的设计思路 —— 可以非常疯狂；3、追击和反追击同时需要注意的事项 —— 尤其是反追击的您，因为您的对手在此是非常专业的，其能力应该比本文更进一步。

⚠️这些方法是任何警察和间谍都惯于采用的，并无很高的技术含量，但它们的危害性非常大，如果你处在逃脱者的位置上，通过本文您应该大致能看出为什么我们要不断强调一系列基本的保护性措施。

再次，这只是最基本的侦查，根据不同国家谍报机构的能力，实际上那些间谍会做得更加精彩和深入。

不过一般人遇不到那种级别的特工。于是这些基本侦查手段是应该被大众熟悉的。

⚠️请注意，您日常不经意透露的任何信息都有可能是致命的。

今年是间谍挑战游戏的第三年。

“间谍挑战”是由三位研究人士于2016年创立的，这是一个基于OSINT，社交工程和物理攻防的竞赛：创建者是 MélikLemariey、Sylvain Hajri 和 Christophe Baland。

本次比赛涉及一些由三人或四人组成的团队，根据任务自行组队。您也可以试着来玩。

这个游戏分为三个阶段：OSINT、物理跟踪和物理入侵。本文只介绍前两部分。

竞争者面临着一些挑战，他们需要努力赢过对手才能被选中进入下一阶段。

在每个阶段结束时，参与者会发送所收集信息和所采取措施的详细报告。然后组织者使用这些报告来定义团队排名。

—— 介绍 ——

根据第 502-NXH-857 号任务令，“Sociétéd’InvestigationSpécialisées” 组织的总部招募了33个由精英特工组成的小组，他们的调查目标是加密货币筹款活动 SupremIoT 公司。

实际上，参与此次筹款活动的一些投资者已经对 SupremIoT 目标的合法性产生了怀疑，并要求尽可能多地获取有关该公司及其员工的信息。

你的团队会为你提供有关此案例的部分基本档案，其余为机密内容需要你去挖掘。

第一步先采集线索，第二步是为设计攻击作准备。

—— 关于该公司 ——

SupremIoT 在互联网上的存在

SupremIoT 似乎是一个广泛存在的组织。使用 checkusernames.com 工具以及搜索引擎，虽然出现了一些误报，但足够确定该组织在 Facebook、Twitter、Linkedin、Vimeo、Github 和 Telegram 上都存在。

A 网站

该组织的网站看起来很新。应该注意到，该组织在30/01/2018使用OVH托管服务注册了域名。

通过浏览网站，调查人士可以直接找到一个组织结构图，包含名字和脸部照片。

该网站的页脚还提供了地址、接待处的电话号码、联系邮箱地址、以及诸如 Telegram 等众多社交网络账户，使员工能够立即回答投资者的问题。

稍微搜索就知道，似乎 SupremIoT 的地址是坐落在直布罗陀的商务中心（已知该地理位置有利于在区块链世界中工作的某些组织）。

通过一些额外的查询，可以轻松检索到该商务中心的接待号码，联系他们，你会发现，并没有一个名为 SupremIoT 的公司位于这些场所内。

B 视频演示

展示该项目的视频就发布在他们网站上，是 Vimeo 视频，于2018年5月23日发布。

这些数据除了能显示发布日期外，还透露了该项目背后的团队非常熟悉采取新信息和通信技术的社区管理，看上图，你可以注意到他们使用了“#shitcoins”这个词。

该术语经常出现于加密货币社区，用于描述那些具有可疑技术的项目，但在投资时允许高回报率。该公司把这个词写出来，本身就很可疑。

视频内容可以透露很多关于员工和技术环境的信息，比如下面这一帧：

注意图中几个⭕️：

1/ 用于投影的 PC OS 看起来像 Windows XP；

2/ 该表包含大量信息；

3/ Ian似乎尽可能地专注于他的工作，但是国际象棋比赛是怎么回事，就在他的 Macintosh 上……

4/ Umberto 则透露了有关他使用的电信以及喜欢的体育活动的有趣信息。

注意上图中几个⭕️：

1/ 演示pc似乎正在等待安装Java更新；

2/ Advei 站在 Vitalik Buterin（以太坊创始人）的照片前奉其为偶像，可以从这个细节上推断他的利润愿景。

3/ SupremIoT 团队似乎不想参与政府要求的税收努力。

再看一个，上图：

1/ 如果有4K监视器可能会看清那是git命令备忘录；

2 / 是这个 https://bit.ly/SSrJ6j

3/ Umberto 使用的是戴尔PC。这些信息对很多东西都有用，你懂的；

4/ 开发人员似乎使用“man ls”命令。从中你可以推断出什么？

5/ 目标有一张 Basic Fit 健身房会员卡和一张标有类似小米标志的手机。

继续看，上图中的一帧：

1/ 这个不用说了，是 Ian 的 Mac；

2/ Futurama 系列的口号，并没有表现出非凡的专业热情；

3/ Ian 似乎喜欢“sapologie”。

上图这个：
1/ Non-guaranteed profits 可能就是一些投资者关注的原因；

2/ 这是草稿。如果计划对目标场所进行物理入侵行动，特工可以知道在哪里能找到并检索到一些敏感信息。

3/ 这上面有很多东西：“联系 Mark Karpeles”（前加密货币交易平台的负责人，携客户资产跑路）这项任务表明已完成，可以想象 SupremIoT 也准备这么消失掉；“看看在马耳他举行会议的可行性”。这项任务表明，SupremIoT 可能正在寻求持续改进其逃税机制的方法；“Respond to the NSA to use the SupremIoT network for computation/attacks”?；“在Android / iOS上实现后门”；“联系特斯拉和兰博基尼关于交货日期”；“进入GDPR合规…… LEWL”；“考虑将数据转售给 Emerdata 的合同”。

4/ Advei 戴着的那块手表看起来像 Daniel Wellington。这些信息可能对钓鱼攻击的设计来说很有用。

C 智能合约

Martin 提供了用于管理 SHIOT 令牌的 SupremIoT ICO 的智能合约地址：https://ropsten.etherscan.io/address/0x3e33c9a96b39a1484bff0de0a9cceb4e6e8a7426

作为透明度的保证，合约的作者公布了其代码。

因此你能看到：

Name of the token (_name): Suprem IOT Token
Symbol of the token (_symbol): SHIOT
Total token supply (_totalSupply): 2 millions
Number of decimals (_decimals): 18

合约所有者（owner）：0xaEC197365EFAdfc671A3eca279b9cdFeb5B67DA5

值得信赖的第三方（trustedThirdParty）：0x3288d807dB0642Ac177F762fdaAD4b3dbeFdfc97

对于符合ERC20标准的令牌，这里没什么不寻常的东西。

Ad：美好不容错过，和家人朋友一起享受愉快时光，现在就订票

下面分析一下。

首先，注意到有几个地址参与了ICO，每个地址都“投入”了1个ETH：

-0xf47184c95B9Cceae20aaE37C489C1694DBBD58C9
– 0x333C2358bDF6b7d5C9a78aB902E52353f31F9bdd
– 0x39699800d5635499f34B22c893177B1fA35D47bF
– 0x72920E21A6ba67aF6200323d05BAcC0406dD6d05
– 0xb56e6e05BfC831bB99FE66bec0A3d7008EEC984E
– 0x6d86B93E3a9dCCF90A28961dD617428509372C15
– 0xf4C857Ed0CA27e4B829CBa92a3Dd1Bb2450bbfea
– 0xd09c5CA4885203d74a81251Aa279f38D1903dF41
– 0xFE9DeaB67bAd15Dd084faA8df8ab29bc48dB68dD
– 0xd75e16A25bFeA144363C766a9CC88A710E994d43
– 0xd5c9C8c36ae9De6Da646C4587E6a861232d184b6
– 0xF50Cd7F400d3698040DC07e1CdD4a057a32386e6
– 0xdB07D516B79361AA38b8b95b09C880709C000095
– 0xf793E5C5ba8787feBcC1c5CddCCF2c0aAE786f19
– 0xfdC24fFAa8eBC4FD402C5a9d095F311E6330c01B
– 0x6Af075883cE81a10914A80b6c2DEE189E96a98a9- -0x01Ce252c4d64bf2c2BB679115169BBF8faF58A77

然后，通过地址 0xe3291e1ed1ed38a6c05dfb48bc974aaf0004dd67974（称为 Haxor）进行了三次可疑交易，导致合约所拥有的 Ethers 消失。

这怎么可能？根据该代码，只有受信任的第三方才能删除 Ethers。

你知道发生了什么吗？继续看它的代码就知道了。

—— 雇员 ——

虽然该网站只提供了4个合作者的名字和职务，但是对 LinkedIn 的搜索显示，还有其他合作者正在 SupremIoT 工作。其中包括假的配置文件。

当然，员工的专业档案很有意思，但是，挖掘其个人档案（Twitter，Facebook ……）可能更容易帮你了解目标。

例如，通过查看 SupremIoT 的 Twitter 订阅者或查看谁点赞了该公司页面上的内容，可以相对容易地找到贡献者列表。

1、Advei TRETIAKOV

这位 SupremIoT 的大老板在 Linkedin 上似乎很少活跃，除了他在皮埃尔和玛丽居里大学的最后一次培训以及他跟随法俄工商会的活动之外，可以了解他的东西并不多。

另一方面，如果调查者与此人有联系，就可以检索他的电子邮件地址和电话号码。这就是袜子木偶的用武之地了。后面详细介绍。

他在 Twitter 上透露了一些关于生活中小乐趣的信息：

另一方面，正是在 Facebook 上，这个恶棍暴露了自己。

他使用化名瞄准那些对加密货币感兴趣的女性，并毫不犹豫地留下了他的工作电子邮件：

他对女性的明显品味可以很容易地从他的个人资料中看出来，这个很有意思；特别是因为他的大部分工作伙伴都是同性，包括他点赞的视频和页面，你很容易误会他是个圣徒。

Advei 似乎有很多财政资源。

以下是他点赞的内容，你能从中看出一大堆关于他私生活的小信息：

以下是他的音乐品味，能猜出他的性格：

这些信息都可以用于钓鱼，鱼叉式网络钓鱼或设置高质量的间谍活动。

最后，汽车方向盘后面的这张封面照片，显示了他对 MG MGB Tourer 1.8 Cabriolet 96hp 的品味：

2. Ian KUDRYASHOV

Ian 似乎是一个关心自己形象的人，正如你在前面公司演示视频细节中所注意到的那样。

事实上，他是少数几个“sapologie”粉丝并且穿着由正经面料制成的衬衫的人之一。

除了他的电子邮件地址、和之前在俄罗斯IBM公司工作的经历之外，他的 LinkedIn 个人资料没有包含太多东西。

另一方面，可以通过查看 SupremIoT 帐户的关注者找到假名 Twitter 帐户。

就是下面这个“@ I4nKu”，就是 Ian。他的最后一条推文非常有前途。

Ian 还喜欢分享他的经历……

6月17日，Ian 到一家酒吧，用的是他的比特币。

仔细分析照片，你会注意到用法语写的禁烟标志。

表面信息已经知道 Advei 住在巴黎，这个 Ian 很有可能也住在这个城市。

使用 Coinmap 和 Google 街景视图之间的交叉引用搜索，可以得出结论，这个人在巴黎的“Sof’s Bar”。

通过更详细地研究 Advei 的“朋友”，可以轻松找到 Ian 的假名 Facebook 个人资料。

乍一看，这个人似乎很注重管理他的 Facebook 帖子的隐私。

而另一方面，Facebook 图形搜索请求结果则完全不同：

显示 Ian 点赞的页面和照片（这个家伙喜欢巴黎着名脱衣舞俱乐部的照片）。

3、Umberto FERREIRA

Umberto 出现在公司网站上的职务是首席开发人员。

浏览他的 LinkedIn 个人资料，你可以很容易获得以下信息：

Umberto 是 SupremIoT 的主要开发人员，但你能看到他从建筑业到IT业的转行。

他的推特展示了对CR7（克里斯蒂亚诺罗纳尔多）以及足球世界的热情。

他关注的账户证实了葡萄牙人的起源，对加密货币活动以及电子游戏的热情。

他的 Facebook 个人资料也充满了克里斯蒂亚诺罗纳尔多的照片，并公开表明他住在 Saint-Cloud。

一些细节信息能推测出，Umberto 对他的祖国很怀念：

当然，他对葡萄牙和足球充满了热情，但他的兴趣似乎并没有停留在这里，因为这个奇怪的精力充沛的人甚至没有试图隐藏他对毒品的兴趣（看点赞信息）。

最后，快速浏览一下 Umberto 参与过的和准备参与的活动，显然，在起草智能合约方面可以质疑他的技能了。

4、Benoît ROCHAT

如果你正在寻找对一个骗子的定义，那么这个人就是标志。

Benoît 有一大堆闪光点：一个漂亮的面孔、HEC Lausanne 的求学经历、以前在拉斯维加斯的一家豪华酒店享有盛名的位置，这是一个非常丰富的 LinkedIn 关系圈，这使他成为业界有影响力的人物……

他的个人资料里可以找到大量联系他的方式。

但进一步的研究你会发现，所有这些都是唬人用的。

显然，他以前在 Bitconect 这个被称为庞氏骗局的组织的职位是一个不祥的预兆。

但是，不得不说，与他的 Twitter 个人资料和关注者相比，庞氏骗局根本没什么。

很容易猜到 Rochat 是瑞士籍的骗子。

Benoît 在他的推文中描述了很多旅行。但看起来是对关注者的愚弄。

第一个图表明从俄罗斯返回瑞士，并且在重复使用与之前的推文相同的照片时没有任何耻辱感，甚至还激活了地理位置，而地理定位将他定位于圣彼得堡的酒吧：

你还可以假设此人是历史爱好者，尤其是对第二次世界大战的兴趣，因为他的推文中提到了 Jacques Fontaine。

虽然已经掌握了大量关于目标的信息，Facebook 的个人资料不会提供太多了。尽管使用同音异义词，但在 Facebook 上进行简单搜索就可以相对容易区分目标的轮廓。

在 Facebook 上，关于 Benoît 的信息通常很少。

另一方面，他点赞的页面也许可以透露一些有用的信息。

5、Katrien HUISMAN

Katrien 是一个未在骗局网站上被列出的人，但是在 LinkedIn 上被列为员工，处于通信实习生的位置。

点进去就可以看到电邮地址。

另一方面，这名实习员工在“保健和强身”方面的经历是惊人的。

这个人还创造了一个名为“InstaGirl”的品牌，一个想在体育运动方面争取影响力的女性……

特别是，Instagram 上展示了很多关于她的体育运动兴趣，准备“健康食品”等等。

仔细看你会发现，她经常在法国工作，可能来自埃因霍温，非常注意自己的饮食保健，也许还喜欢手镯。

但你也很容易看到，SupremIoT 是“Nuit du Hack”的赞助商。这可以通过已发布的“story”来判断，其中显示了戴尔计算机屏幕，Adobe Acrobat Reader PDF 阅读器，VLC 软件和 Antidote 拼写校正软件。

可以假设 Katrien 是一个自恋的人，不惜一切代价想要拥有一个健美和强壮的身体。于是，对于钓鱼攻击来说，针对这点设计攻击模型更容易成功。

6、Pascal KWISQUATER

查看 SupremIoT 关注者的帐户，可以找到一个自称为 SupremIoT 加密货币顾问的帐户。

Pascal 还有一个个人网站，允许他通过利用 HTML 5 的所有潜力来展示他的作品。

该站点允许您检索大量信息，包括有关以前在 Twitter 上发布的消息线索。

通过访问 site / data / data / data.json 文档，您可以检索以下信息：

在 robot.txt 中，文件夹上的“待办事项列表”，可以发现这个神秘人物与他的母亲生活并使用 Keepass。

还可以通过浏览他的网站了解到他喜欢用鳄梨制作的冰沙。这也是关键信息。

照片库中能看出，Pascal是币圈游戏的粉丝，使用 Tinde r以及Whatsapp，而且另一方面，他没有处理元数据……

至于 LinkedIn 个人资料，事实证明完全是假的。

7、Mei-Shi LIANHUA

Mei Shi 则很容易通过 LinkedIn 识别出来，她在法国蒙彼利埃（Montpellier）学习商业课程，并在中国上海完成了最近两年的学习。

她留在中国，在法国大使馆工作，这是一个与高层接触的理想场所。

然后她在3年后返回法国，并代表 SupremIoT，还保留着她的中国联系人。一切似乎都很正常……

她的联系方式可以在 LinkedIn 上找到，还有她的出生日期，12月12日，以及她的电子邮件地址：[email protected]。看起来她依旧在使用中国网易的163。

她的兴趣表明她是中国民族主义者。特别是，她支持中国人民解放军….

你会发现她的专业背景更加个性化。

一张照片显示她在出售她的 Raspberry（带有中文操作系统）注意图片里那个 Twitter 链接，看起来很可能是她的帐户。

一张照片显示她在中国上海度假看望她的家人，她通过张贴照片抱怨天气恶劣：

最后，她的BSOD照片提供了以下信息：

Mei Shi 有一个在托儿所的小女儿: Chell
另一个电子邮件地址 [email protected]

现在查看推特联系人。她的关注对象基本都是中国媒体，还包括知名的反病毒厂商和政府机构。很奇怪。

仔细看你会发现一些帖子中带有奇怪的标志，＃61398

在 Facebook上她也发布了在上海度假的照片……但这一次，她的评论是：“A daywork like any other………”表明她正在这里工作？

在网上搜索一下就能知道，这座建筑是 61398 总部，是中国的网络军队……这个数字不提醒你什么吗？

强烈怀疑 Mei-Shi 正在为 APT1 黑客组织工作。

此外，一些推文似乎能将她定位在北韩……这些地方似乎对应于平壤战略政治机构附近的一家酒店…… Mei-Shi 是否正在进行政治旅行？

她于6月23日返回中国，她的推文将她定位于平壤机场。她居然使用 Facebook 联系 Advei，宣布她26日返回法国，很容易查到她的航班。

要获取以上这些信息，你只需要做一个袜子木偶，在 Facebook 上申请与 Advei 成为“朋友”（为他那种人制作一个有吸引力的个人资料并不困难……）然后去搜索从上海到巴黎的航班。

更多介绍在这里看到《某些行动者，你需要一个袜子木偶》

真的要感谢 Mei Shi 在这种人太喜欢晒了，她的 Facebook 上发布了大量照片，还能找到电子邮件地址。从这个地址，搜索引擎会将你引导到数据库泄漏的 Pastebin 链接，在上面连密码都能找到…

然后可以访问 Outlook 帐户…（一些团队很乐意删除消息：幸运的是 Mei Shi 没有这么做……）也可以获得邮箱的“pst”。

然后你会注意到她与几位记者的交流，包括某个叫“U.G.”的人会定期与她交流（如果你读了这场游戏中竞争团队的报告就会知道，这个人是 Ugly Gorilla）。

这些交流消除了对 Mei Shi 为网络犯罪实体工作的疑虑，该实体最有可能是 APT1。

并且了解到已经他们开展了一些行动，而其他行动也将继续到来。

在某些电子邮件中，有效负载最有可能通过另一个渠道（似乎指的是“软件包”）进行交换。在搜索操作名时，很容易看出它们通常是通过国家级恶意软件进行的大规模攻击。

通过她的 Outlook 帐户，可以在联系人中找到 Ian Kudryashov 的电子邮件地址；她的电子邮件大多是发送给她的 APT1 队友的。她告诉他们，SupremIOT 团队将很快发布革命性的算法，并开始获得团队的信任。

在6月30日前几天，她回复了一封来自 Ian 的电子邮件，要她与最喜欢的女按摩师约定时间会面。注意，她很有可能是一名中国 APT1 成员，想想看她与 Ian 的“放松时刻”中会发生什么？

—— 方法 ——

在收集了所有上述这些信息之后，可以为每个目标建立几乎完整的心理图景概况，以及接近和/或收集个性化信息的方法。

以下描述一些基础部分。当然，⚠️你完全可以更疯狂，采取更多激进的进攻策略。

攻击可以通过 vishing，网络钓鱼，Telegram，LinkedIn，……进行。

建议使用 MICE 或 SANSOUCIS 等方法，以提高效率。

1、Advei

总有一天他会被美女毁掉……但就目前而言，还没有必要就此做蜜罐。另一方面，可以通过其对精神、音乐或对国家的热爱琢磨出他的明显品味，以此来接近他，这既能收集信息、也是能操纵他采取行动的一种方式。

2、Ian

虽然 Ian 也喜欢美女，但除非特殊情况否则他不会结婚。另一方面，在查看了他经常光顾的地方之后，你可以通过谈论他可能感兴趣的主题，例如漫画、动漫、国际象棋，很好地设计一套社交工程攻击的方案。

当然，在他的Mac上使用 0-day 也非常容易……不过除非你是FBI或中国国安部的代理人，否则一般人买不起苹果的 0-day。非常贵的。

3、Umberto

Umberto 在开发加密货币方面看起来并不那么专业，正如上述视频逐帧分析中看到的那样，也要感谢他参加的那个声称在短短四个小时内就可以教授开发智能合约技术的培训。他最近才刚从建筑行业转行的经历符合这一假设。

邀请他参加有足球比赛的活动可以成为接近成功的保证。知道他对国家的怀旧情绪，围绕葡萄牙社区组织的活动也会很有效。

最后，挖掘经常为他提供额外服务的健身房，也能是收集信息的好方法。

4、Benoît

此人是标准诈骗者。除了承诺让他与世界上最伟大的人建立独家伙伴关系外，还能为他提供什么呢？

然而，应该注意的是，如果他不太了解IT技术、并且对点击不那么谨慎的话，那么网络钓鱼攻击篡夺他的银行账户或他的首选交易平台账户可能是有效的。

不要忘记 Benoît 似乎是一个自我表现欲狂热者的事实（参见相同照片的使用，地理定位错误等细节……）并且希望通过定期发布关于他的工作的信息来推动自己的形象，而他的合作者并没有透露很多关于工作的内容。

这种人也许会轻易说出一些他本应该保密的事，他通过这种方法使自己看起来更有趣，特别是对女性而言，他对美女会说更多的话。这就为你的攻击模型奠定了一些基础。

5、Katrien

Katrien 被认为是千禧一代的标准社交网络成瘾者，并且很自恋，为自己的外表感到自豪。引申意义是她缺乏自信心。

通过 Instagram 社交网络对她进行社交工程攻击似乎是最容易的，重点在于，你的袜子木偶需要拥有很多“粉丝”（去购买僵尸粉）并且你“很帅”（多发布不知名的帅哥照片，并声称那是你自己）。

还应该记住，她是 SupremIoT 的实习生，她缺乏经验，可能导致她无意中泄露组织的秘密。

6、Pascal

Pascal 具有一个好人的所有外部特征。不幸的是，他也有一个机会主义者的形象，他对密码学知之甚少，但对自己的工作充满热情。

而另一方面，他有点笨拙，他发布的广告与他的推特账号具有相同的昵称，说明他一点谨慎意识都没有。

如果你想采取不那么积极的方法，可以发送独家邀请，请他参观鳄梨冰沙制造公司并承诺全程免费。

7、Mei-Shi

为了攻击这类人，建议您使用所有技术手段来保证您的匿名性，除非您想要使用经过验证的方法可以安全地处于某些政府机构的火线之下 —— 比如中国政府。

需要自由裁量权。要做到这一点，你可以回应她关于 Raspberry Pi 的销售提案，谈论魔术卡游戏，或者甚至可以谈谈你希望在满足对中国的胃口的同时完成与 Mei-Shi 相同的“成就”。

但是，如果你想玩火，她的女儿就是目标话题之一，以及她在中国的国家服务中的活动，这样就会很可能令其陷入混乱。

—— 跟踪和互动 ——

这是实地战斗部分。其战略设计基于上述分析出的情报。

正如在 OSINT 阶段所指出的那样，SupremIoT 作为赞助商出现在 Nuit du Hack XVI，因此这里应该有一个位置。

在这个位置上，所有 SupremIoT 员工轮流担任。

通过此跟踪和互动阶段，可以获取有关个人及其个性的很多其他信息，检索到意外无人看管的文档：

1、对 Benoît 的跟踪

对 Benoît 的监视发现他欺骗了整个 SupremIoT 团队。

他兜了一个大圈子（可能是为了摆脱追踪者），但是唯一没有小心的是垃圾桶。他把重要的信息写在纸上然后扔进了垃圾桶，上面的字显示他设法挪用了一笔钱，并且没人发现。

在这次监视之后，Benoît 经常独自一人，这是与他交谈的理想时间，偷偷录制对挪用金钱的供词，以便以后对他提起诉讼。

2、对 Advei 的跟踪

Advei 必须找到一个帮忙洗钱的人。

对这位首席执行官的监视显示，他会面了一名俄罗斯男子，此人用手铐把手腕和密码箱拴在一起。

一旦洗钱的那个人离开，渗透进内部的特工就想办法说服 Advei 跟他索取一些钱以偿还“不幸的客户”（只是编造的），就是为了让他打开那个箱子。

—— Mei-Shi 的案子 ——

使用 KylinOS 操作系统销售她的 Raspberry Pi 的这位中国代理人 Mei-Shi 对总部非常感兴趣，但不仅仅如此……

事实上，Mei-Shi 的老板要求她将电子设备送回去。于是跟踪者的目标就是不惜一切代价抢在被送回之前买到她的设备。

间谍团队中的一人与 Mei-Shi 会面，以冒充他人的合法代理人。团队其他人协助更大范围的跟踪。

交易完成后，Mei-Shi 离开了，但渗透者被法国反间谍拦截。他们想了解更多有关 Raspberry Pi 的信息，特别是关于拥有此设备的人。

渗透者被带到一个单独的房间，等待法国特工前来质疑他，并且被戴上了手铐。他身边有一个金属条和一个发夹，这样他就可以自己打开手铐。

这里是考验基本操作方面的训练。

关押他的房间受到射频识别(RFID)访问控制的保护。团队的其他特工负责对付前门的警卫，目的是复制到警卫的门禁卡。

一旦被捕者逃脱，将立刻与在外面接应的团队成员汇合，游戏接近完成；现在他们要做的最后几件事是什么？

好啦，希望通过这个游戏能帮您了解到深度调查取证的一些小技巧；并且，包括如何防御这些侦查手段。⚪️

来源：iYouPort

喜欢、支持，请转发分享↓Follow Us 责任编辑：刘钰

交流评论、关注点赞