清晨五点五十七,信息科的显示墙像一块刚降温的铁板,仍带着夜里关机时的余温。非法回调曲线从“低位”变成“断线”之后,室内反而更安静了。那种安静不是轻松,而是一种更严苛的秩序感:系统已经被拆到无法复活,但所有人都知道,真正的危险往往发生在“看起来结束”的时刻。
周工把“关机清单”从墙上取下,重新贴了一份新的,标题只有四个字:**余温处置**。下面分三列――返还、复盘、追责。每列都写着一句最短的原则:
*返还要跑起来
*复盘要写下来
*追责要钉进去
“系统关了,市场还在。”周工说,“市场不消失,就会有人想趁火打劫。最先冒出来的,一定不是原班人马,而是跟风的‘代办’。”
罗工盯着风险监控面板,补了一句更具体的:“而且会非常快。关机之后,最容易出现的新骗局,是‘加速返还’。”
纪检联络员端着一杯没来得及喝的热水,水面一动不动:“那就把窗口的口径再压缩一次。公众只需要记住:返还不收费,任何加速费都是骗。我们今天的任务,是让返还的速度足够快,快到不给加速费留下生存空间。”
护士长推门进来,脸色比平时更冷静:“你们说中了。凌晨开始就有人在群里私信业主,说‘认识内部人员能加速’,收三百到三千不等。我已经截了十几条样本。”
“样本发我。”罗工立刻说,“我们要把‘加速返还’这条线当成余温回潮来处置。它不一定来自周总,但它会借周总留下的恐惧与焦虑活下去。”
系统提示在视野边缘亮起:
余温回潮风险:加速返还代办费内部关系
处置核心:返还速度与口径压缩
目标:不给新骗局留下缝
---
###1)返还跑起来:速度就是最硬的公告
上午七点,资金侧把“分层返还”推进到了第二轮。状态码页面上的变化开始有节奏:每隔二十分钟刷新一次,像潮汐一样一批批推进。“已止付”的逐渐减少,“分批返还中”的逐渐增多,“已返还”的开始稳定上升。
纪检联络员强调:“不公布总额,不公布大数字。大数字会带来兴奋,也会带来怀疑。我们只公布可核验的状态码与回执逻辑,让每个人只关心自己的编号,不去猜别人的进度。”
这是避免恐慌扩散的关键。恐慌最容易从比较里长出来:为什么他返了我没返?为什么有人快有人慢?比较一旦蔓延,就会被“代办”利用:你慢,我帮你快。但如果所有人只盯自己的编号,只认状态码的规则,比较就会失去土壤。
护士长把这套逻辑用更直白的话写进群公告里:
“别问别人返没返,问自己状态码。
别找代办加速,代办就是新骗。
任何收费都不可能加速。”
群里有人焦虑:“我怎么还是延迟清算?”
护士长回复:“延迟清算不等于没返,是流程节点。你如果担心,来窗口核验回执,不要私信任何人。”
她把焦虑从“私信”引回“窗口”。窗口是规则的地盘,私信是骗子的地盘。越多人把问题带回窗口,越少人会把钱扔进私信。
上午九点,第一批“加速返还”话术样本被整理成模板:统一开头“认识内部”“现在是整治期”“帮你插队”,统一结尾“别走核验窗口,窗口人多会暴露编号”。这些句式本质上是旧剧本的变体:隔离、恐吓、制造稀缺、兜售捷径。
罗工把模板丢进拦截库,顺手在黑板上写了一句:**捷径=陷阱**。写完又擦掉,换成更适合公众端的词:**加速=诈骗**。
“词要短。”他对护士长说,“短到不用解释。”
护士长点头:“我只用一句:返还不收费,收费就是骗。”
---
###2)复盘写下来:把“lm-ctrl”拆成可复制的防线
中午十一点,工作组召开复盘会。这一次不是为了总结功劳,而是为了把“方法”写成“制度”。因为他们都清楚:lm-ctrl关机了,但只要漏洞还在,新的代号会再次出现。
纪检联络员提出“复盘三问”:
**第一问:供血点在哪里?**
答案很清晰:聚合支付、个人账户分流、订阅水电费的隐蔽维持。
**第二问:扩音器在哪里?**
答案也清晰:外呼网关、短信短链、会务线下说明会、小组长体系、以及关机后冒出来的“代办私信”。
**第三问:组织控制在哪里?**
答案最关键:发布端与kms授权、机房心脏、版本迭代、紧急清理脚本、只语音的指令链、以及“洗白降敏”的命名策略。
周工把“组织控制”拆成四个可以落地的制度动作:
1)对涉及“赔付补偿处理费”的聚合支付商品名建立前置审核与延迟清算规则;
2)对外呼短信通道的并发、外显、模板建立动态阈值与风险黑名单联动;
3)对“会务说明会内部通道”的线下宣传建立联合巡查与证据回收机制;
4)对关键系统的kms与发布流水线建立协查接口与审计保全预案(平时不用,一旦触发直接启用)。
罗工补充:“还要加一条:公众端永远有核验窗口。核验窗口不只是服务,它是防骗基础设施。没有核验窗口,所有人就会被迫在私信里找答案。”
护士长听完,眼神微微动了一下:“我能感觉出来。核验窗口一开,群里就不吵了。大家吵不是因为爱吵,是因为不知道信谁。”
纪检联络员把这句话写进复盘要点:**公众争吵来自信任空白,窗口填空白**。
系统提示闪动:
复盘三问:供血点扩音器组织控制
制度化:支付闸门通道阈值线下巡查kms审计预案
关键:核验窗口=防骗基础设施
---
###3)追责钉进去:从“到案口供”到“组织链条”
下午两点,追责线进入真正的硬阶段:把“周总”从落地身份推到“组织链条”,把“开发组”从传闻推到可核验的个体。
kms审计显示至少两名关键账号:轮换与授权。授权对应同城idc机房,机房已封存;轮换对应外地住宅宽带段。轮换账号背后的人,才可能是“开发组”的核心运维。
协查回传的外地信息显示:那条住宅宽带装机人并非执行节点本人,而是一名与其存在亲属关系的女性,住址与发布端登录时间暗合。换句话说,发布端可能放在一处“看起来无害”的家庭环境里,通过亲属规避审查。这种策略在系统化团伙中并不少见:把关键节点藏进日常,靠“普通”做保护层。
周工的语气很冷:“普通不是保护层,普通是记录层。家庭宽带也有装机记录,也有缴费记录,也有设备指纹。我们不需要推理,我们只需要对齐。”
纪检联络员下了新的收口要求:对发布端常用设备进行依法固证,优先获取远程管理平台的登录痕迹、发布流水线触发记录、以及云盘“交付盘”的同步源头。她强调一句:“追责不是为了抓更多人,追责是为了让同样的系统再也组不起来。”
罗工则提出一个更现实的担忧:“他们可能还有‘影子备份’。比如把交付包镜像到另一个云盘或境外存储,只要还有备份,他们就可能在别处‘重启’。”
“所以追责要和封存同步。”纪检联络员答,“不是抓住一个点就满足,而是把‘能重启的零件’一件件拔掉:域名、证书、订阅、kms授权、发布流水线、外呼资源、支付接口。零件不在,就算人还在,他们也只能靠嘴骗,骗不到规模。”
周工点头:“规模才是他们的命。”