老夫子盯着屏幕上那条打印记录,手指在桌边敲了一下。b区三层打印机,账号0874,时间是凌晨一点四十三分。他没动,也没说话,只是把这条信息拖进了金手指系统的分析框。
系统开始自动关联数据。几分钟后,一份员工档案跳了出来——跨部门人员乙,市场部临时支援岗,入职三个月,背景清白,无违规记录。表面上看,这人和普通员工没什么两样。
但老夫子知道,越是看起来正常的,越要小心。
他调出最近七十二小时的权限访问日志。发现这个乙在过去两天里,连续三次申请查看客户数据库的权限变更记录,理由分别是“用户行为建模”、“项目复盘资料整理”和“配合技术部做流程优化”。每次都能通过审批,因为申请内容听起来都合理。
可问题就出在这儿。正常人查用户行为,应该关注点击路径、停留时间、转化率这些指标。但他偏偏只盯着权限变动看。谁开了权限,谁关了权限,什么时候改的,改了几次。
这不是分析,是踩点。
老夫子继续往下查。金手指很快标记出一笔异常资金流:三天前,一个私人账户收到五百块转账,来源是一家影视剪辑兼职平台。金额不大,像是零花钱。但系统比对发现,收款人的设备曾在同一天连接过星辰科技子公司办公区的wi-Fi热点,信号持续了四十七分钟。
巧合太多,就不叫巧合了。
他正准备进一步追踪通讯记录,手机响了。是大番薯发来的消息。
“哥,我在b区核对台账,这边有个同事一直在改表格,我看不懂。”
后面附了一张照片。文件名是《权限迁移预案V2》,里面有一行指令写着“跳转至备用接口_无需审批”。大番薯还在下面留言:“这个是不是漏填了审批人?我看前面几版都有写。”
老夫子盯着那句话看了三秒,回了个字:“别问。”
然后他起身走到主控台前,打开内部任务调度系统,找到大番薯的名字,给他加了一个新任务:协助市场部完成跨部门协作流程的数据校验,优先级设为最高。
他知道大番薯虽然脑子慢半拍,但做事认真,而且没人会防着他。让他跟乙一起干活,既能近距离观察,又不会引起怀疑。
安排完,他坐回位置,重新看向屏幕。现在两条线索都指向同一个方向——有人要在明天的维护窗口动手。
问题是,这个人到底是在传递情报,还是准备亲自下场?
他决定试一试。
在系统后台,他新建了一个虚拟环境,完全复制续约模块的功能逻辑,命名为“客户管理测试实例_仅供内部调试”。这个环境对外显示为“正在维护”,但实际上独立运行,所有操作都会被完整记录。
接着,他悄悄把乙的权限从真实系统切换到了这个影子系统。只要对方尝试修改配置或导出数据,动作就会被实时捕捉,而真正的业务不会受影响。
做完这些,他又改了通知。原定九点半的维护推迟到九点四十分,只让技术团队的几个核心成员知晓,其他人包括行政和市场部,看到的还是旧时间。
如果乙真是内鬼,接下来他会怎么做?
是继续按原来的计划行动?
还是突然改变节奏,暴露自己已经掌握了内部消息?
这才是真正的测试。
老夫子靠在椅子上,等结果。
天亮后,大番薯准时打卡上班。他手里拎着两个包子,一边走一边啃,腮帮子鼓得像仓鼠。到了b区工位,发现乙已经在了,正低头敲键盘。
“哎,你这么早?”大番薯把另一个包子塞过去,“给你带的,韭菜鸡蛋馅。”
乙抬头笑了笑:“谢了。”接过包子,放在桌上没吃。
大番薯坐下,打开电脑,开始核对台账。两人分工,一个念数据,一个录系统。干了半小时,一切正常。
直到十分钟后,乙忽然说:“我这边有个补充文档要更新,你先忙你的,我弄完再找你对接。”
说完打开了那份《权限迁移预案V2》。
大番薯瞄了一眼,发现他又在往里面加一行新指令,内容还是“跳转至备用接口_无需审批”。
他心里嘀咕,怎么又来这一条?上次不是说了有问题吗?
但他没吱声,偷偷掏出手机,对着屏幕拍了张照,发给老夫子。
老夫子正在主控室喝豆浆,手机一震,点开图片看了一眼,嘴角动了动。
来了。
他立刻调出影子系统的监控面板。五分钟后,系统提示:账号0874尝试执行高风险指令,目标接口为“客户认证绕行通道”,操作已被自动记录并拦截。
与此同时,境外邮箱监听程序也发出警报——一封加密邮件刚刚发出,内容只有两句话:
“系统维护时间可能延迟,具体待确认。”
“最新预案已更新,按计划推进。”
收件地址经过跳转,最终指向一个注册于海外的匿名账户。
老夫子看完,把豆浆杯捏扁,扔进垃圾桶。
证据齐了。
但他还是没动。
现在抓人,只能揪出一个小角色。可要是放着不动,对方很可能会联系上线,甚至引出更多人。
他要做的是连根拔起。
于是他在系统里下了三条指令:
第一,继续保持影子环境开放,允许乙继续操作,所有行为自动归档;
第二,将延迟维护的消息逐步扩散到其他部门,观察乙是否会再次传递更新后的情报;
第三,安排安保组暗中调取b区三层打印机的使用记录,确认是否还有纸质文件流出。
做完这些,他给大番薯回了条消息:“今天辛苦了,回去休息吧,剩下的交给我。”
大番薯松了口气,合上电脑就走。路过茶水间时还顺手拿了瓶冰红茶,边走边喝。
老夫子则一直坐在主控室,屏幕上分成了三块:左边是乙的操作日志,中间是影子系统的响应记录,右边是境外邮箱的通信监控。
时间慢慢走到上午十一点二十三分。
系统突然弹出一条新提示:
【账号0874登录行政公用终端】
【正在上传文件至云盘共享链接】
【文件名:紧急调整说明_仅限内部传阅】
老夫子点开详情,发现里面详细写了维护时间变更的情况,并特别强调“技术团队已调整防御策略,请各方注意配合”。
这不是普通的汇报。
这是预警。
他立刻追踪链接访问记录。不到两分钟,该链接被从境外Ip打开,停留时间三十一秒,随后删除。
他盯着那个Ip地址,手指在桌面上轻轻敲了一下。
鱼饵吃了第二口。
现在他可以确定,乙不是单独行动。背后有人在指挥,而且就在外面等着消息。
他没有封锁链接,也没有切断上传通道。
反而让系统保留记录,继续运行。
他知道,真正的对手还没露脸。
而他自己,已经布好了局。
只要对方敢再往前一步,门就会关上。
他端起杯子喝了口凉水,目光落在屏幕右下角的时间上。
十一点二十六分。
下一秒,监控界面跳出一条新动态:
【影子系统触发二级警报】
【检测到批量导出请求】
【目标数据包包含模拟客户凭证及权限密钥】
【操作者:账号0874】
【正在执行……】
系统开始自动关联数据。几分钟后,一份员工档案跳了出来——跨部门人员乙,市场部临时支援岗,入职三个月,背景清白,无违规记录。表面上看,这人和普通员工没什么两样。
但老夫子知道,越是看起来正常的,越要小心。
他调出最近七十二小时的权限访问日志。发现这个乙在过去两天里,连续三次申请查看客户数据库的权限变更记录,理由分别是“用户行为建模”、“项目复盘资料整理”和“配合技术部做流程优化”。每次都能通过审批,因为申请内容听起来都合理。
可问题就出在这儿。正常人查用户行为,应该关注点击路径、停留时间、转化率这些指标。但他偏偏只盯着权限变动看。谁开了权限,谁关了权限,什么时候改的,改了几次。
这不是分析,是踩点。
老夫子继续往下查。金手指很快标记出一笔异常资金流:三天前,一个私人账户收到五百块转账,来源是一家影视剪辑兼职平台。金额不大,像是零花钱。但系统比对发现,收款人的设备曾在同一天连接过星辰科技子公司办公区的wi-Fi热点,信号持续了四十七分钟。
巧合太多,就不叫巧合了。
他正准备进一步追踪通讯记录,手机响了。是大番薯发来的消息。
“哥,我在b区核对台账,这边有个同事一直在改表格,我看不懂。”
后面附了一张照片。文件名是《权限迁移预案V2》,里面有一行指令写着“跳转至备用接口_无需审批”。大番薯还在下面留言:“这个是不是漏填了审批人?我看前面几版都有写。”
老夫子盯着那句话看了三秒,回了个字:“别问。”
然后他起身走到主控台前,打开内部任务调度系统,找到大番薯的名字,给他加了一个新任务:协助市场部完成跨部门协作流程的数据校验,优先级设为最高。
他知道大番薯虽然脑子慢半拍,但做事认真,而且没人会防着他。让他跟乙一起干活,既能近距离观察,又不会引起怀疑。
安排完,他坐回位置,重新看向屏幕。现在两条线索都指向同一个方向——有人要在明天的维护窗口动手。
问题是,这个人到底是在传递情报,还是准备亲自下场?
他决定试一试。
在系统后台,他新建了一个虚拟环境,完全复制续约模块的功能逻辑,命名为“客户管理测试实例_仅供内部调试”。这个环境对外显示为“正在维护”,但实际上独立运行,所有操作都会被完整记录。
接着,他悄悄把乙的权限从真实系统切换到了这个影子系统。只要对方尝试修改配置或导出数据,动作就会被实时捕捉,而真正的业务不会受影响。
做完这些,他又改了通知。原定九点半的维护推迟到九点四十分,只让技术团队的几个核心成员知晓,其他人包括行政和市场部,看到的还是旧时间。
如果乙真是内鬼,接下来他会怎么做?
是继续按原来的计划行动?
还是突然改变节奏,暴露自己已经掌握了内部消息?
这才是真正的测试。
老夫子靠在椅子上,等结果。
天亮后,大番薯准时打卡上班。他手里拎着两个包子,一边走一边啃,腮帮子鼓得像仓鼠。到了b区工位,发现乙已经在了,正低头敲键盘。
“哎,你这么早?”大番薯把另一个包子塞过去,“给你带的,韭菜鸡蛋馅。”
乙抬头笑了笑:“谢了。”接过包子,放在桌上没吃。
大番薯坐下,打开电脑,开始核对台账。两人分工,一个念数据,一个录系统。干了半小时,一切正常。
直到十分钟后,乙忽然说:“我这边有个补充文档要更新,你先忙你的,我弄完再找你对接。”
说完打开了那份《权限迁移预案V2》。
大番薯瞄了一眼,发现他又在往里面加一行新指令,内容还是“跳转至备用接口_无需审批”。
他心里嘀咕,怎么又来这一条?上次不是说了有问题吗?
但他没吱声,偷偷掏出手机,对着屏幕拍了张照,发给老夫子。
老夫子正在主控室喝豆浆,手机一震,点开图片看了一眼,嘴角动了动。
来了。
他立刻调出影子系统的监控面板。五分钟后,系统提示:账号0874尝试执行高风险指令,目标接口为“客户认证绕行通道”,操作已被自动记录并拦截。
与此同时,境外邮箱监听程序也发出警报——一封加密邮件刚刚发出,内容只有两句话:
“系统维护时间可能延迟,具体待确认。”
“最新预案已更新,按计划推进。”
收件地址经过跳转,最终指向一个注册于海外的匿名账户。
老夫子看完,把豆浆杯捏扁,扔进垃圾桶。
证据齐了。
但他还是没动。
现在抓人,只能揪出一个小角色。可要是放着不动,对方很可能会联系上线,甚至引出更多人。
他要做的是连根拔起。
于是他在系统里下了三条指令:
第一,继续保持影子环境开放,允许乙继续操作,所有行为自动归档;
第二,将延迟维护的消息逐步扩散到其他部门,观察乙是否会再次传递更新后的情报;
第三,安排安保组暗中调取b区三层打印机的使用记录,确认是否还有纸质文件流出。
做完这些,他给大番薯回了条消息:“今天辛苦了,回去休息吧,剩下的交给我。”
大番薯松了口气,合上电脑就走。路过茶水间时还顺手拿了瓶冰红茶,边走边喝。
老夫子则一直坐在主控室,屏幕上分成了三块:左边是乙的操作日志,中间是影子系统的响应记录,右边是境外邮箱的通信监控。
时间慢慢走到上午十一点二十三分。
系统突然弹出一条新提示:
【账号0874登录行政公用终端】
【正在上传文件至云盘共享链接】
【文件名:紧急调整说明_仅限内部传阅】
老夫子点开详情,发现里面详细写了维护时间变更的情况,并特别强调“技术团队已调整防御策略,请各方注意配合”。
这不是普通的汇报。
这是预警。
他立刻追踪链接访问记录。不到两分钟,该链接被从境外Ip打开,停留时间三十一秒,随后删除。
他盯着那个Ip地址,手指在桌面上轻轻敲了一下。
鱼饵吃了第二口。
现在他可以确定,乙不是单独行动。背后有人在指挥,而且就在外面等着消息。
他没有封锁链接,也没有切断上传通道。
反而让系统保留记录,继续运行。
他知道,真正的对手还没露脸。
而他自己,已经布好了局。
只要对方敢再往前一步,门就会关上。
他端起杯子喝了口凉水,目光落在屏幕右下角的时间上。
十一点二十六分。
下一秒,监控界面跳出一条新动态:
【影子系统触发二级警报】
【检测到批量导出请求】
【目标数据包包含模拟客户凭证及权限密钥】
【操作者:账号0874】
【正在执行……】