概述
假基站钓鱼一直是造成巨额资金损失的重灾区,即便有法律和技术安全管控,情况也愈发严峻。黑产行业(地下黑色产业的简称)会通过严密的组织和流程,获取金融用户的账户信息(银行卡账号、密码、身份证号、CVV等),然后转移大量资金。
据《中国互联网网站发展状况与安全报告(2015)》显示,共有6116个境外IP地址托管了针对境内网站的仿冒页面,仿冒页面数量较2013年增长了2.1倍。尽管各部门正在联手打击钓鱼诈骗网站,但越来越多的黑市团伙开始采用频繁更换域名、租用境外服务器等方式逃避有关部门的监管和拦截,导致钓鱼诈骗行为屡禁不止。
据相关监测数据显示,每天都有大量新的钓鱼网站上线,这些钓鱼网站有效期短、部署设置简单、成本低廉,保守估计,我国金融领域每年因假基站钓鱼攻击造成的损失金额高达百亿元。
作为“中国互联网网络安全威胁治理联盟”首批成员之一,白帽子在2016年3月对金融领域假基站钓鱼黑色产业链进行了深入调查分析,在分析攻击流程基础上加入黑产对策技术,通过技术手段获取钓鱼网站后台或数据管理权限,获得了详细的受害用户名单、钓鱼网站源代码、拦截短信的APK、假基站发短信的模板等。
本次调查中,我们广泛调动白帽子力量,对跟踪收集的1947个钓鱼网站进行反制和溯源分析,深入了解并还原了这一黑色产业链的各个渠道和流程。最终我们从钓鱼网站后台截获了1000余个金融客户账户,去重后受害用户信息有1000余条,账户主要涵盖工商银行、建设银行、农业银行、储蓄银行、中国银行等城商行,受害金额保守估计2亿元,单个用户最高余额超百万。受骗人群主要集中在20-30岁人群,地域分布以二三线城市为主。
在假冒钓鱼网站中,以工商银行、中国移动充值网站最为常见。从受骗人群的性别统计来看,女性被骗率远高于男性。而在整个产业链中,那些在后台进行数据清洗(行业术语也称“洗料”)的人获利最多,远远超过实施假冒基站钓鱼的产业链其他环节。
假基站钓鱼产业链分析
假冒基站钓鱼黑产简单流程图:
各环节工作内容:
网站搭建:有人注册类似运营商、各大银行的域名出售或自用,也有专业人士搭建类似运营商、银行的仿制网站,然后从美国或香港购买不需要注册的服务器,制作域名拦截程序。据了解,市面上搭建一个完整的钓鱼网站的价格大概在1000到1500元左右。
木马制作:由程序开发人员开发完成后,将源代码卖给下级代理商进行二次开发,以每周2000元左右的价格几千元不等的价格出售(“免杀”产品都是根据各大杀毒库的更新而制作的)。
假基站发钓鱼短信:这种一般是线下交易,包吃住油,每小时报酬500元左右或者分红的方式,让携带假基站设备的人拿着假基站走遍闹市,广撒网(发送钓鱼网站)。
“输出”:钓鱼网站后台收到的数据会进行筛选、整理(用各家银行的网上快捷支付功能查询余额,看是否可以直接转账或者第三方支付)。无法被用户消费的余额会根据余额金额进行不同价格出售(大部分会以1元/笔的价格打包多次出售)。巨额余额者有时会找人合作“洗钱”。
“洗钱”:通过各种手段将“钱”兑换成现金,一般是开通快捷支付充值水费、电费、话费、游戏币,或者利用其他第三方支付转账接口、银行快捷支付漏洞等,将“四大件”兑换成现金后,通过各种逃避调查的手段,与合伙人按比例瓜分账目(一般按钱数5:5、4:6、3:7的比例),平均每天可赚取十几万元的收入。
1. 虚假域名
我们调查发现,他们会提前购买大量类似运营商、银行的域名,在这个完整的产业链中,不乏有人贩卖这些域名。由于安全厂商和警方的打击力度,域名的存活时间通常很短,一般为1-7天,基本上每次使用完就转移到新的地方,需要使用大量的域名。
2. 钓鱼网站
接下来就是制作、销售和维护钓鱼网站了,成本很低,修改几套固定的源代码就可以直接搭建出来。
在我们反击了多家钓鱼网站之后,我们发现源代码中有一些有意思的东西——黑吃黑。在源代码说明中,写着“默认情况下,后台会保留一个账号,方便我们维护,如果不需要可以联系我们删除。”那么下面的文字就教大家如何添加后门账号(“方便维护”)。
3. 短信拦截木马
从技术原理和实现上看,并不复杂,大多通过注册短信广播()或者观察模式()来监控手机短信的收发过程。当然也有一些功能更全面、功能更强大的远控手机木马,都是短信拦截的功能。网上也有很多类似的短信拦截源代码,懂开发的人都能很快写出一个“短信拦截木马”,这也是“短信拦截木马”变异快、传播范围广的重要原因。
目前我们在排查中遇到的有两种,一种是利用编译好的软件,填写手机号、发件邮箱账号密码、接收邮箱地址、木马病毒过期时间等信息,自动生成带有木马病毒的手机APP(成本小但收益大,没有使用限制,只要使用生成器,就能制作木马病毒,从而导致木马病毒泛滥)。
另一类相当于PC版的远程控制软件,由控制端又称服务器(由“钓鱼者”控制)和被控端又称客户端(受害者安装的手机APP)组成,从而“钓鱼者”可以控制受害者的手机。
4. 虚假基站群发信息
域名、网站、木马都准备好了,他们会利用假基站,在人流密集的街区里分发钓鱼网站。
“假基站”即伪造的基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发射器等相关设备,搜索以其为中心一定半径范围内的手机卡信息,通过伪装成运营商基站,利用他人手机号码强行向用户手机发送诈骗、广告等短信。
通过搜索QQ群,会出现很多相关的假冒基站销售群。
当人们经过繁忙的街道时,就会收到类似的网络钓鱼信息。
5.“洗钱材料”(盗窃信用卡)
钓鱼者就是等着受害者“上钩”,在网络发达、交易便捷的时代,只要掌握了你的手机号码和银行卡密码,钓鱼者就可以通过快捷支付方式帮你转账,甚至还可以盗取一些没有开通网银的受害者的银行卡。
钓鱼者会获取被骗者的姓名、身份证号、银行卡号、银行密码、手机号,这被称为“四大件”,由于这“四大件”(资料)无法快速到账,钓鱼者就会将受害人的个人信息出售,或者寻找渠道洗白信息,以最大化自己的利益。
由于国内各类混乱的支付渠道缺乏有效的安全监管,黑产团伙一般通过银行、商户或第三方支付等各类快捷支付渠道将用户卡上的资金转移,并通过购买游戏币、彩票、话费充值、机票等各种方式洗钱。部分信用卡CVV码被泄露的用户还发现资金被通过境外消费渠道转移。部分被感染的手机还可能被开通一些恶意扣费服务或使用手机话费购买游戏点卡,然后将赃物出售。
就拿工商银行来说吧,只要能完成验证码和“四大项”就可以成为提现的途径,下面是某刷料群里关于哪家银行提现比较好的讨论。
根据中国工商银行服务协议,凡拥有手机短信权限及银行卡号、密码的人员可使用以下服务。
融e联
工银e支付功能
工银快捷支付须知:
以下是部分渠道的限制,洗钱者通常会先转账获得现金,当渠道中的现金转账达到限制后,才会购买商品,然后再花掉余额。
钓鱼网站应对案例
以下两个案例,是根据拦截到的两个钓鱼网站采取的应对措施。
案例 1
该网站模仿中国移动的网站,要求受害者输入手机号码来检查是否可以将积分兑换成现金。
输入您的手机号码,系统将提示您兑换现金。
当受害者输入自己的信息后,数据就会提交到网站后台,从而导致自己的信息被窃取。
输入信息后,受害者会被提示下载客户端以激活收款功能,该客户端是一个伪装的木马(稍后会用来拦截你的交易验证短信)。
案例 2
冒充中国工商银行的钓鱼网站
要求您填写个人信息的页面
当你点击登录后,你会被重定向到指定的页面,等待后端操作员的下一步指令。
此时,网络钓鱼者正在后台忙于操作
当操作员在后台提交命令后,你会进入下一个页面,他正在试图诱骗你提供你的身份证信息。
当操作员提交下一个命令时,你会被重定向到另一个页面,在该页面中你的验证码将被获取并用于欺诈用途。
受害人的钱财在一步步的操作中被盗取。
进一步调查
此类钓鱼网站通常会在用户输入个人信息后提示下载一个apk客户端,目的是控制受害者手机,拦截短信等,我们对该钓鱼网站下载的木马进行分析。
此类木马的源代码中会包含作者的手机号码、发送邮件地址和接收邮件地址,可以收集受害者的手机通讯录,截取受害者的信息,从而利用快捷支付功能神不知鬼不觉地窃取受害者的钱财。
通过分析apk木马文件,我们可以获取攻击者的邮箱账号和密码,登录邮箱,并找到大量受害用户的手机短信和通讯录内容。
我们从一些被关闭的钓鱼网站后端获取了部分信息。
数据解释
受金融账户影响的银行分布
数据显示,受骗用户开户排名前五的银行分别为:工商银行、建设银行、农业银行、储蓄银行、中国银行。
受害者年龄分布
受害者主要以19-29岁年龄段为主,主要分布在二三线城市。
受害者性别分布
受害者的地理分布
按照身份证号住址地理位置统计,排名前五的省份分别是:广东、内蒙古、四川、湖南、河南。
按照手机号码住址地理位置统计,排名前五的省份分别是:广东、内蒙古、浙江、江苏、山东。
应对策略
对此,我们提出几点预防建议,供大家参考:
1、用户应加强个人安全意识,不轻易相信任何中奖信息或点击中奖网站链接;
2. 当用户收到包含网站链接的短信时,需要仔细识别网站的域名。钓鱼网站往往会伪装成与真实网站相似的域名。例如,攻击者会使用接近真实网站的域名,如;
3、用户还应注意保护自己的个人信息,不要在通过点击邮件链接进入的网站上输入相关登录账号、密码等信息,不要在不知名的网站上提交重要的个人信息。
附录:假基站短信模板
工商银行
中国移动
中国建设银行
中国农业银行