守護者觀察 | 三分鐘教你破解新型網路釣魚
「恭喜您成為我台《非常6+1》欄目場外幸運觀眾,獲得5.8萬元獎金和三星電腦一部,請登錄www.cctv**http://8.com領取。」
「尊敬的工行用戶:您的賬戶積分已滿10000分,可兌換5%的現金,請登錄www.icbc**http://u.com查詢兌換。」
這類簡訊或郵件,大多數人都收到過。機智如你,也許早已自動過濾這類低級的網路釣魚騙術。但是,騙子也在不斷升級詐騙手法,致使不斷有人上當受騙。
近期,騰訊守護者計劃安全團隊協助公安機關破獲的幾起網路釣魚案件,能讓你一窺這些「翻新」的詐騙手法。
不斷翻新的網路釣魚詐騙
手法一:寄生於正規網站的釣魚網址
不法分子利用偽基站把號碼偽裝成10086,發送信息:「尊敬的星級客戶,您可享受話費回饋活動充值100元送200元,立即登錄充值http://www.xml***.com/ine優惠活動至今日截止【中國移動】」。
單看www.xml***.com網址,是瀋陽一家正規科技公司的主頁。但是經過深入分析,會發現是不法分子通過黑客入侵獲得該伺服器許可權,並且在該正常網站下開創一個ine目錄,然後把釣魚網站模塊嵌入其中,故www.xml***.com/ine實際上是一個釣魚網站。由於釣魚網站的源碼「寄生」於正規網站中,不僅不易被管理員發現異常,而且可以順利躲避安全軟體的查殺。
用戶在釣魚網站輸入賬號密碼後,身份信息、銀行卡號、銀行密碼、手機號碼(俗稱「銀行四大件」)等就落入不法分子之手。而後,不法分子用受害人的信息在第三方支付渠道購買遊戲點卡、話費充值卡、機票門票等,確保信息正確(黑產界稱為「洗料」),再將信息低價變賣。
購買一個網站伺服器的許可權僅需幾塊錢,價格遠低於黑客自己搭建釣魚網站。因此,這類寄生於正常網站中的釣魚鏈接沒有高仿的域名那樣具有欺騙性,但其低廉的成本以及逃避安全軟體查殺能力,逐漸受到黑產人員青睞。
2016年12月,騰訊守護者計劃安全團隊配合公安機關在在電信網路詐騙犯罪重點地區海南儋州打掉利用偽基站釣魚簡訊詐騙團伙,共計抓獲嫌疑人5名。
手法二:仿冒蘋果ID釣魚後鎖機敲詐
不法分子以用戶蘋果ID賬號消費異常等理由,誘騙受害人點擊郵件中的釣魚鏈接。釣魚郵件中的鏈接和官方網站的域名極其相似,且多數含有「Apple」「Apple Support」「Apple Care」等字樣,欺騙性極高(如下圖)。
一旦在釣魚網站中輸入自己的Apple ID及密碼,就會被竊取。不法分子竊取用戶蘋果ID賬號密碼後,將用戶的蘋果ID和手機解除綁定,更換成其事先準備好的、鎖機用的蘋果ID,或者直接修改用戶蘋果ID密碼,然後利用蘋果手機自帶的「查找我的iPhone」功能,遠程鎖定手機再以解鎖為由敲詐勒索錢財。
(圖為遠程鎖機界面及敲詐勒索郵件和聊天記錄)
2017年3月,騰訊守護者計劃安全團隊協助警方在黑龍江綏化市偵破蘋果ID釣魚鎖機敲詐案件,該案被敲詐的蘋果用戶多達1200人。
(圖為警方從嫌疑人電腦中提取的釣魚網站後台數據)
手法三:仿冒社交軟體安全中心釣魚
不法分子通過企業郵箱向社交軟體用戶郵箱群發釣魚郵件,釣魚郵件內容仿冒官方安全中心,以更改密保手機或賬號涉嫌發送色情、詐騙信息為由,誘導用戶點擊郵件中釣魚鏈接,盜取用戶賬號、密碼等個人重要信息。
不法分子通過釣魚獲得受害人賬號密碼後,就冒充受害人與其好友聊天,並謊稱出車禍、代充話費、網上購物等理由向好友騙取錢財。
(圖為詐騙人員欺詐時常用話述)
(圖為不法分子製作的虛假銀行轉賬記錄)
2017年4月,騰訊守護者計劃安全團隊配合公安機關打掉利用社交軟體釣魚盜號冒充好友詐騙團伙,共計抓獲嫌疑人8人。
(圖為警方從嫌疑人電腦中提取的釣魚網站後台數據)
網路釣魚黑產模式分析
從上面幾個案例可以總結出網路釣魚黑色產業鏈的基本作案模式:
首先,不法分子先搭建釣魚網站;
其次,通過簡訊、郵件等方式大量發送釣魚鏈接,誘騙受害人輸入賬號密碼信息;
最後,利用釣魚獲取的個人賬號信息進行變現。
這其中,每個環節都分工細緻,作案成本不高,但收益巨大:
1、製作釣魚網站:黑產人員註冊高仿運營商、銀行機構等域名,使用釣魚網站源碼或模仿運營商、銀行機構的網頁,然後購買美國或者香港免備案伺服器搭建釣魚網站。搭建一個完整的釣魚網站,價格成本僅在500元左右。
2、群發釣魚信息:釣魚信息一般分為簡訊和郵件兩種形式,分別利用偽基站和郵件群發器進行發送。僱傭偽基站發送釣魚簡訊一般按照500元/時,或以合作分成的方式進行結算,而群發釣魚郵件價格約為100-300元/萬封。
3、盜取賬號密碼:不法分子將釣魚網站後台收到的數據進行篩選整理,根據「料」的質量不同,按照不同價格在黑市中進行交易:
銀行卡四大件不法分子「洗料」後,以每條1元的價格打包出售;
包含安全提示問題的蘋果ID賬號密碼售價約50-60元/個;
好友數超過100人以上的網路社交賬號的售價甚至高達200元/個。
4、下游犯罪變現:下游不法分子利用盜取的賬號密碼實施銀行卡盜刷、冒充好友詐騙、敲詐勒索等違法行為進行變現,作為整個產業鏈的末端,也是整個產業鏈收益最多的一環。
從司法大數據看網路釣魚犯罪
近七年來,全國範圍內共有296件「網路釣魚」案宣判。通過對這些司法判例進行大數據分析,可以總結出網路釣魚詐騙案的一些特點:
1、案件呈明顯遞增趨勢,範圍覆蓋PC、移動端
從時間維度上來看,在七年內共296例的案件中,從2011年的4件,,2014年的52件,再,2016年的120件,呈現出較為明顯的增長趨勢。同時,伴隨著移動終端的廣泛應用和普及,網路釣魚從惡意彈窗、仿冒網站到中獎信息、惡意鏈接等形式,花樣百出,同時往往伴隨著病毒的植入和對信息系統的侵害發生。
(註:2017年的數據為截至2017年4月)
2、東部沿海呈高發態勢,利用「偽基站」發送仍為主要手段
從地域分布上來看,網路釣魚犯罪在浙江、江蘇、福建、廣東等人群密集的經濟較發達地區呈相對高發態勢,其中有106例是利用「偽基站」設備進行發送。
3、「網路釣魚」黑產打擊逐步由下遊走向全鏈條、多維度
「網路釣魚」犯罪,從罪名認定上大致可分為三大類:財產類、危害計算機信息系統安全類、新增網路犯罪類。其中:
財產類犯罪判決共計246例,罪名包括盜竊罪,詐騙罪和信用卡詐騙罪;
危害計算機信息系統安全類判決共49例,罪名包括提供侵入、非法控制計算機信息系統程序、工具罪,破壞計算機信息系統罪,非法獲取計算機信息系統數據罪,非法控制計算機信息系統罪,破壞公用電信設施罪和擾亂無線電通訊管理秩序罪。
新增網路犯罪類判決有6起,罪名包括侵犯公民個人信息罪和幫助信息網路犯罪活動罪。
從判決趨勢來看,雖然罪名適用上仍以打擊下游的財產類犯罪為主,但可以看出,司法中對於網路釣魚黑色產業鏈的中上遊行為在適用危害計算機信息系統安全類罪名方面有越來越多的實踐。
同時,伴隨著國家對於「個人信息」保護的全面發力和對於新增網路犯罪罪名的重視,未來將逐步呈現出對於網路釣魚黑色產業鏈進行全鏈條、多維度打擊的趨勢。
如何防止網路釣魚詐騙
1、所有網路釣魚簡訊或郵件都會誘惑受害人點擊進入精美設計的釣魚網站,竊取個人賬號密碼等重要信息,因此在收到包含優惠活動、中獎、積分兌換、賬號異常等內容的信息和郵件時,不要輕信天上掉餡餅的好事,也不要輕易被恐嚇,如確需打開簡訊或郵件中的網站,請謹慎核實域名是否是官方網站。
最令人防不勝防的是這類偽裝術逆天的釣魚網站。
注意看上面的gif圖:地址欄的顯示是http://apple.com,肉眼根本無法識別出這是假冒產品。只有將真假網址對比來看,才能發現假網址的字母(使用西里爾語里的a,比英文的a看起來略小),是有些「縮小」了的。
2、不隨意在網站填寫自己的身份證號、銀行卡賬號、密碼等個人重要信息。如果一定要填寫,必須再次確定域名是否是官方網站。另外,在無法判斷網站真偽的情況下,也可以嘗試先輸入錯誤的賬號密碼進行登錄,如果能登錄成功,那麼這個網站就是釣魚網站。因為釣魚網站是沒有正確賬號和密碼,釣魚者為了避免引起懷疑,只要用戶輸入了賬號和密碼,就能夠登錄成功。(一般人我不告訴他)
3、安裝騰訊手機管家、騰訊電腦管家等安全軟體,有效識別釣魚網址、精準攔截惡意網址,保障上網安全。
文章由守護者觀察、騰訊網路安全與犯罪研究基地聯合出品
推薦閱讀:
TAG:釣魚網站 |