編者按:本文摘自《白帽匯針對(duì)金融領(lǐng)域偽基站釣魚黑產(chǎn)的分析報(bào)告》,北京白帽匯科技有限公司出品
偽基站釣魚一直以來都是導(dǎo)致金融巨額損失的重災(zāi)區(qū),即使在法律和技術(shù)進(jìn)行安全管控的情況下,形勢(shì)也變得越來越嚴(yán)峻。
黑產(chǎn)(黑色地下產(chǎn)業(yè)的簡稱)會(huì)通過嚴(yán)密的組織和流程獲取金融用戶的賬號(hào)信息(銀行卡賬號(hào)、密碼、身份證號(hào)、CVV信用卡驗(yàn)證碼等),進(jìn)而進(jìn)行大批量金額的轉(zhuǎn)出。
根據(jù)《中國互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告(2015)》顯示,共有6116個(gè)境外IP地址承載了93136個(gè)針對(duì)我國境內(nèi)網(wǎng)站的仿冒頁面,仿冒頁面數(shù)量較2013年增長2.1倍,雖然各部門都在配合打擊釣魚欺詐類網(wǎng)站,但是越來越多的黑產(chǎn)團(tuán)伙,開始利用頻繁更改域名,租用境外服務(wù)器等手段躲過有關(guān)機(jī)構(gòu)的監(jiān)管攔截,導(dǎo)致釣魚欺詐現(xiàn)象屢禁不止,根據(jù)相關(guān)監(jiān)控?cái)?shù)據(jù)顯示每天都有大量新增的釣魚上線,這些釣魚網(wǎng)站時(shí)效性短,部署搭建容易,成本低廉。
保守估計(jì),中國金融領(lǐng)域每年遭受偽基站釣魚攻擊導(dǎo)致的金額損失高達(dá)100億。
“白帽匯”在2016年三月份針對(duì)金融領(lǐng)域的偽基站釣魚的黑色產(chǎn)業(yè)鏈進(jìn)行了深入的調(diào)查分析,在分析攻擊流程的基礎(chǔ)上加上了黑產(chǎn)反制的技術(shù),通過技術(shù)手段獲取了釣魚網(wǎng)站的后臺(tái)或數(shù)據(jù)的管理權(quán)限,獲取了受害用戶的詳細(xì)清單,釣魚網(wǎng)站的源代碼,攔截短信的APK,以及偽基站發(fā)送短信的模板等信息。
在本次調(diào)查過程中發(fā)動(dòng)了廣泛的力量,針對(duì)追蹤收集到的1947個(gè)釣魚網(wǎng)站進(jìn)行反制和溯源分析,深入了解和還原出該條黑色產(chǎn)業(yè)鏈的各個(gè)渠道流程。
最終從釣魚網(wǎng)站的后臺(tái)截獲了超過50000個(gè)金融客戶的賬號(hào),去重后有超過19000受害用戶信息,賬號(hào)主要覆蓋工商銀行、建設(shè)銀行、農(nóng)業(yè)銀行、儲(chǔ)蓄銀行、中國銀行以及其他城商行。保守估計(jì)受害金額達(dá)2億元,其中單個(gè)用戶最大余額超過一百萬。受騙人群主要集中在20-30歲的人群,地域分布以二、三線城市為主。
偽冒的釣魚站中又以工商銀行和中國移動(dòng)充值居多,而通過對(duì)受騙人群性別統(tǒng)計(jì),其中女性受騙率遠(yuǎn)遠(yuǎn)高于男性。在整個(gè)產(chǎn)業(yè)鏈條中,在后臺(tái)進(jìn)行數(shù)據(jù)清洗(行話又稱“洗料”)的人獲利最多,遠(yuǎn)遠(yuǎn)高于產(chǎn)業(yè)鏈中實(shí)施偽基站釣魚的其他環(huán)節(jié)。
偽基站釣魚黑產(chǎn)簡單流程示意圖:
各個(gè)環(huán)節(jié)工作內(nèi)容:
制作網(wǎng)站:有專人搶注類似于運(yùn)營商,各大銀行機(jī)構(gòu)的域名進(jìn)行出售或自己用,有專業(yè)的人員進(jìn)行仿站模仿類似于運(yùn)營商、各個(gè)銀行的網(wǎng)站,然后購買美國或者香港免備案服務(wù)器進(jìn)行搭建后制作過域名攔截程序。據(jù)了解市面上搭建一個(gè)完整的釣魚網(wǎng)站價(jià)格也就在1000元到1500元左右。
木馬制作:由程序開發(fā)人員進(jìn)行開發(fā)后,以幾千元不等的價(jià)格將源碼賣給下級(jí)代理進(jìn)行二次開發(fā)出售(根據(jù)各大殺毒庫的更新情況制作“免殺”)以每周2000元進(jìn)行出售。
偽基站發(fā)送釣魚短信:這個(gè)一般為線下交易,,包吃包住包油錢以每小時(shí)500元左右為酬勞或以合作分成的方式,讓有偽基站設(shè)備的人帶著偽基站游走在繁華的街區(qū)進(jìn)行大范圍的撒網(wǎng)(發(fā)送釣魚網(wǎng)站)。
“出料”:將釣魚網(wǎng)站后臺(tái)收到的數(shù)據(jù)進(jìn)行篩選整理(利用各個(gè)銀行的在線快捷支付功能情況查余額,看看是否可以直接消費(fèi)進(jìn)行轉(zhuǎn)賬或第三方支付進(jìn)行消費(fèi)),自己無法將余額消費(fèi)的將會(huì)以余額的額度以不同的價(jià)格出售(大部分會(huì)打包起來以每條1元的價(jià)格進(jìn)行多次叫賣)余額巨大的有時(shí)還會(huì)找人合作進(jìn)行“洗料”。
“洗料”:通過多種方式將“料”進(jìn)行變現(xiàn),一般開通快捷支付充值水電、話費(fèi)、游戲幣或者利用其他存在第三方支付轉(zhuǎn)賬接口和銀行快捷支付漏洞等,將“四大件”變成成現(xiàn)金后通過各種規(guī)避追查的手段與合伙人按比例(一般以料的額度按5:5 4:6 3:7這些比例)進(jìn)行分賬,日均可以賺取10萬元以上。
在了解了各個(gè)環(huán)節(jié)的具體工作內(nèi)容之后,我們?cè)賮砭唧w看下這些“黑產(chǎn)”從業(yè)者是怎么樣一步一步進(jìn)行釣魚的。
▌1、虛假域名
在我們的調(diào)查中他們會(huì)事先購買大量類似于運(yùn)營商、銀行機(jī)構(gòu)的域名。在這個(gè)完整的產(chǎn)業(yè)鏈里有一些就是出售這些域名的,由于安全廠商,以及公安的打擊,所以通常域名的存活周期也是非常的短,一般有效周期為1-7天,基本是打一槍換一個(gè)地方,需要使用到大量的域名。
▌2、釣魚網(wǎng)站
接來下就是制作出售維護(hù)釣魚網(wǎng)站的。成本很低,固定的幾套源碼修改下直接就可以搭建起來。
在我們反制下的許多釣魚站之后在源碼里發(fā)現(xiàn)一些有趣的東西——黑吃黑,在源碼的說明里面這樣寫著“默認(rèn)后臺(tái)有預(yù)留一個(gè)方便我們維護(hù)的帳號(hào),如不需要,可以聯(lián)系我們刪除。”然后下面那段文字就是教你怎么添加一個(gè)后門帳號(hào)(“方便維護(hù)”)。
▌3、短信攔截木馬
”從技術(shù)原理和實(shí)現(xiàn)上看并不復(fù)雜,大多通過注冊(cè)短信廣播(BroadcastReceiver)或者觀察模式(ContenetObserver)監(jiān)控手機(jī)短信的收發(fā)過程,當(dāng)然也出現(xiàn)一些功能更全面強(qiáng)大的遠(yuǎn)控類手機(jī)木馬,短信攔截之中的一項(xiàng)功能。網(wǎng)上類似的短信攔截源碼也非常多,了解過安卓開發(fā)的都可以很快編寫出一個(gè)“短信攔截馬”,這也是“短信攔截馬”變種速度快、傳播泛濫的一個(gè)重要原因。
目前我們調(diào)查中遇到有兩種,一種由編譯好的軟件填入手機(jī)號(hào)、發(fā)件郵箱賬號(hào)密碼、收件郵箱、木馬到期時(shí)間即可自動(dòng)生成一個(gè)帶有木馬病毒的手機(jī)APP。(成本小但是利益大,使用無限制,只要利用生成器就可以制作攔截馬,導(dǎo)致攔截馬泛濫。)
另一種相當(dāng)于PC版中的遠(yuǎn)程控制軟件一樣,由一個(gè)控制端也叫服務(wù)端(由“釣魚者”控制)和一個(gè)受控端也叫客戶端(受害人安裝的手機(jī)APP)組成,然后“釣魚者”就可以控制受害人的手機(jī)。
▌4、偽基站群發(fā)
域名、網(wǎng)站、木馬,都準(zhǔn)備好了,他們會(huì)找偽基站把釣魚網(wǎng)站在繁華的街區(qū)散發(fā)出去。
“偽基站”即假基站,設(shè)備一般由主機(jī)和筆記本電腦組成,通過短信群發(fā)器、短信發(fā)信機(jī)等相關(guān)設(shè)備能夠搜取以其為中心、一定半徑范圍內(nèi)的手機(jī)卡信息,通過偽裝成運(yùn)營商的基站,冒用他人手機(jī)號(hào)碼強(qiáng)行向用戶手機(jī)發(fā)送詐騙、廣告推銷等短信息。
通過對(duì)qq群搜索就會(huì)出現(xiàn)很多相關(guān)的偽基站販賣群:
當(dāng)人們路過繁華的街區(qū)就會(huì)收到類似的釣魚短信:
▌5、“洗料”(盜刷)
釣魚者坐等受害者“上鉤”在這現(xiàn)在這個(gè)互聯(lián)網(wǎng)發(fā)達(dá)交易便捷的時(shí)代有了你手機(jī)的權(quán)限,和銀行卡賬戶密碼,即可通過快捷支付方式將你的錢財(cái)轉(zhuǎn)走。有些沒開通網(wǎng)銀的受害者的卡他們也會(huì)有辦法的。
釣魚者將獲取的姓名、證件號(hào)碼、銀行卡號(hào)、銀行密碼、手機(jī)號(hào)碼即被稱為“四大件”
在這些無法被快捷支付的“四大件”(料)
就會(huì)將受害者的個(gè)人信息進(jìn)行叫賣,或者找洗料通道(由于國內(nèi)各類混亂的支付渠道缺乏有效安全監(jiān)管,導(dǎo)致黑產(chǎn)團(tuán)伙一般是通過銀行、商戶或者第三方支付的各類快捷支付渠道將用戶卡內(nèi)資金轉(zhuǎn)走,他們會(huì)購買游戲幣、彩票、話費(fèi)充值、機(jī)票門票等多種多樣的洗料方法。有些信用卡CVV碼泄漏的用戶還發(fā)現(xiàn)通過境外消費(fèi)渠道被劃走資金。有些被感染手機(jī)可能還會(huì)被訂閱一些惡意扣費(fèi)服務(wù)或者使用手機(jī)話費(fèi)支付購買游戲點(diǎn)卡后再進(jìn)行銷贓)進(jìn)行利益最大化。
以工商為例,只要可以用驗(yàn)證碼與“四大件”完成得即可成為被變現(xiàn)的途徑。
下面是某洗料群的討論哪個(gè)銀行好變現(xiàn)。
工商銀行服務(wù)條約,擁有手機(jī)短信權(quán)限和銀行卡號(hào)與密碼可利用下面這些業(yè)務(wù)。
融e聯(lián):
工行e支付功能:
工行快捷支付注意事項(xiàng):
以下是一些通道的限額,洗料者一般會(huì)先轉(zhuǎn)賬獲得現(xiàn)金,當(dāng)通道內(nèi)現(xiàn)金轉(zhuǎn)賬達(dá)到限額后就會(huì)用購買商品的方式再將余額消費(fèi)掉。
