安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》
作者: 日期:2017年02月13日 阅:2,923

一、威胁趋势

在电商购物、移动支付盛行的今天,网络钓鱼也发生了新的变化,不仅有传统的网站欺骗,还发展出移动平台钓鱼的新方式。相对于传统诈骗,移动平台的钓鱼手段更加恶劣,带来的经济损失也更为惨重。

作为移动威胁的一部分,移动钓鱼攻击已成为手机用户的重要威胁。经过三年多的发展变化,移动钓鱼攻击的技术及手段更加成熟。移动威胁最直接的受害群体是普通的个人用户,诈骗电话、钓鱼短信、手机病毒已经成为危害用户手机安全的主要威胁,其中针对个人用户的移动威胁当前主要是借助于伪基站钓鱼短信传播恶意代码;同时通讯信息诈骗犯罪持续高发,媒体也公开披露过多起致人死亡或涉案金额巨大的电话诈骗案件。

2016年,网站系统的脱库、撞库攻击频繁发生,各类信息及数据泄露的安全事件依旧层出不穷,且愈演愈烈。黑产之手已经延伸到普通百姓生活,用户的隐私和信息早已公然成为贩卖品,在黑市上肆无忌惮地买卖。个人隐私数据经过地下产业链的贩卖渠道,最后形成了各种地下社工库,信息和数据泄露事件不断上升。

随着移动互联网的快速增长和发展,移动广告、游戏和各类 O2O平台的迅猛发展,加之移动互联网企业以及监管部门在应对企业业务欺诈上的投入和打击力度不足,移动互联网企业在类似“刷单”,“刷榜”,“刷流量”,“刷日活”等“薅羊毛”类的业务欺诈的风险会进一步增长和扩大。

可以预见的是,在之后数年移动网络安全依然不容乐观,隐私泄露和移动攻击的泛滥和融合还会进一步加深,带来欺诈泛滥成灾,导致网络攻击威胁泛滥并进一步的加深。

二、威胁分析

如今,“网络钓鱼”非法活动已经不局限于网络方式,还会结合通讯信息诈骗等方式进行辅助攻击。经过长期的发展,网络钓鱼的手段非常多并相当复杂。归纳起来,大致有八种(如下图所示),通常我们将这8种攻击手段划分为两类,一类是传统钓鱼,包括钓鱼邮件、钓鱼网站、通讯信息诈骗、网购钓鱼;另一类是移动钓鱼,包括利用短信、恶意代码、WiFi钓鱼和针对iPhone手机钓鱼。

2%e5%a8%81%e8%83%81%e5%88%86%e6%9e%90-1000

在实际网络攻击过程中,以上攻击类型并不是独立存在,各自为营的,而是多种手段配合进行。接下来,我们将对这两类攻击手段进行详细分析。

2.1 传统钓鱼在移动平台更新迭代

传统的网络钓鱼攻击在PC时代就已经广泛流行,但随着移动互联网时代的到来,传统钓鱼也在新平台发生了新的变化。

2.1.1 钓鱼邮件表现萎靡

如今,一方面由于电子邮件太过古老,落后的技术和不适宜的用户体验使其正面临大量普通用户的丧失;另一方面,在移动时代里随着社交工具的流行,电子邮件也已经失去了其赖以生存的天然土壤,因此传统的邮件钓鱼在移动平台整体表现萎靡。

2.1.2 网站钓鱼结合伪基站成为重灾区

在针对移动平台的网站钓鱼攻击中,银行网站一直是钓鱼网站的重灾区。为有效对抗钓鱼网站,中国电信云堤和安天实验室长期以来对互联网络的钓鱼站点进行了持续监控。下图展示了2016年钓鱼网站数量的变化情况。

2-1-2-700

其中,2016年仿冒应用Top10 如下图所示:

2-1-2%e4%bb%bf%e5%86%92%e5%ba%94%e7%94%a8-900

从图中可以看出,受影响程度占比最重的部分均为国内知名度很高、用户范围广泛的大型银行和运营商,也都是伪基站经常仿冒身份传播的钓鱼网站内容。

2.1.3 通讯信息诈骗持续升温

2016年通讯信息诈骗案件呈持续高发态势,比如震惊社会的徐玉玉通讯信息诈骗案、清华老师被诈骗1760万等案件,其资金损失数额巨大,甚至伤及人命。因此通讯信息诈骗引发了社会各界的广泛关注。

2.1.4 网购钓鱼重在隐私泄露

据CNNIC发布的第38次《中国互联网络发展状况统计报告》显示,截至2016年6月,我国网络购物用户规模达到4.48 亿。网络购物为快节奏的都市生活提供了极大的便利,但人们在享受这种便捷生活的同时,也面临着个人信息泄露以及相应的网购钓鱼攻击的风险。

2.2 移动钓鱼数量持续攀升

由于移动平台的特殊性,移动终端的钓鱼方式也比传统钓鱼增加了一些新特征,其中最典型的就是攻击者通过伪基站伪装成10086等发送钓鱼短信,而移动平台的钓鱼数量也在持续攀升。

2.2.1 伪基站短信钓鱼爆发

目前流行的伪基站都属于GSM协议,由于国内以GSM等协议为主要载体的用户群体数量仍然庞大。因此在短期内以伪基站为传播渠道、诈骗短信为载体的威胁仍将持续泛滥。

下图统计了2016年1月至12月钓鱼短信的类型分布。从中可以看到中奖诈骗类钓鱼攻击占比接近30%,其次则是恶意代码、银行钓鱼、澳门博彩、微商淘宝等占据大半,最后则是少量的社工诈骗和Apple ID钓鱼。

2-2-1%e4%bc%aa%e5%9f%ba%e7%ab%99-900

2.2.2 利用恶意代码钓鱼是主力

随着Android和iOS系统的发展,攻击者利用恶意代码进行攻击已经成为移动钓鱼的主要威胁之一。

  • 短信拦截木马持续发酵

短信拦截木马威胁从2013年开始爆发并持续发酵。到2015年,短信拦截木马类威胁事件数量呈现明显增长,到2016年开始呈现高速爆发的趋势,而在年中由于G20峰会等管制严格出现一段低谷,到2016年年底继续爆发。如下图所示:

2-2-2%e6%81%b6%e6%84%8f%e4%bb%a3%e7%a0%81%e9%92%93%e9%b1%bc-900

近几年,短信拦截木马类威胁事件已经形成一套非常固定的攻击模式。

2-2-2%e7%9f%ad%e4%bf%a1%e6%8b%a6%e6%88%aa%e6%9c%a8%e9%a9%ac%e6%a8%a1%e5%bc%8f-900

关于短信拦截木马地下产业,AVL Team曾在《针对移动银行和金融支付的持续黑产行动披露——Dark Mobile Bank跟踪分析报告》中指出,短信拦截木马的威胁活动最早出现于2013年5月,进行了接近3年的持续有效的大规模威胁和攻击,涉及人员可能接近十万人规模,并形成了分工明确的产业体系。在过去接近3年的持续攻击中,短信拦截木马攻击影响范围在1亿人以上,其中累积超过100万用户不幸被感染和控制,地下产业链的整体规模应该在接近百亿的规模,影响的资产危害面接近千亿规模。

 

  • 2-2-2%e7%9f%ad%e4%bf%a1%e6%8b%a6%e6%88%aa%e6%9c%a8%e9%a9%ac-800仿冒已成恶意代码标配

根据移动威胁情报平台应用数据,通过检索仿冒“银行”程序名的恶意应用发现,自2016年12月份以来,感染用户达到1546人。统计仿冒的银行应用程序名TOP10如下:

2-2-2%e4%bb%bf%e5%86%92%e9%93%b6%e8%a1%8c%e5%ba%94%e7%94%a8-800

该类攻击手段通常为直接仿冒应用登陆界面窃取银行账户数据,和通过劫持登陆界面窃取银行账户数据两种方式。

  • 利用漏洞欺诈难以防范

相对Android系统漏洞来说,大量存在漏洞的APP也会导致用户遭受钓鱼攻击,如APP如果没有做防钓鱼劫持措施,此APP就会被攻击者利用,通过劫持应用程序的登录界面,获取用户的账号和密码,导致用户账号信息的泄露。iOS平台同样存在此类风险。

  • 移动APT攻击崛起

APT,即高级持续性威胁,一般是国家间或国际公司间为了特定目标,由顶级黑客组织发起的持续攻击,鱼叉式钓鱼攻击是APT攻击者的首要攻击向量。2017年或将进入移动APT元年,移动APT由过去协同Cyber攻击逐渐转向独立前置性的攻击和前奏,基于移动军火商和改用商用间谍木马依旧会作为重点的攻击武器,移动APT会继续围绕监听和数据窃取为目的,针对高价值人群以及特殊行业的定向攻击开始真正崛起。

2.2.3 WiFi钓鱼影响扩大

攻击者不仅可以使用免费WIFI钓鱼之外,还可以破解家用无线路由器,接手控制无线路由器管理后台,进而对家庭WiFi执行隐私监听、植入广告或恶意代码、网络劫持到钓鱼网站等攻击。

2.2.4 iPhone钓鱼产业呈现

  • iPhone勒索威胁加深

移动平台的勒索,主要分为Android平台的恶意代码勒索和iOS平台的iCloud钓鱼勒索,Android平台的勒索件通常表现为恶意锁屏和加密磁盘文件;而iOS平台的勒索则是基于Apple的iCloud账号进行的。

由于Apple的安全机制,当用户的Apple ID被盗取后,若其被盗取账户密码与邮箱密码一致,那么基本上就能很轻易的将受害者的设备锁上,被锁后通常只能联系苹果客服同时出示购买证明才有可能将其解锁还原,否则就只能乖乖地缴纳赎金,换取设备的解锁口令。 除了锁定勒索之外,还有如好莱坞女星iCloud被暴力破解后其上传至iCloud账户的艳照泄露而遭到勒索的案例发生。

  • 澳门博彩泛滥成灾

有不少iPhone用户都曾在日历以及照片共享中收到过一些莫名的垃圾广告,由于iOS的iMessage、日历推送、照片共享等分享功能可以在已知对方iCloud账号的前提下以几乎无成本的方式给用户推送信息,而这些都是常规功能,且都是默认开启的。因此催生了利用这些共享功能进行营销的黑产,其中最为典型的是澳门博彩,这类网站通常通过博彩获利或者其本身就是一个进行信息窃取或诈骗的钓鱼网站。

2-2-4%e6%be%b3%e9%97%a8%e5%8d%9a%e5%bd%a9-450

对于此类流氓推送信息,用户可以采取措施如下:

1. 修改iCloud邮箱为未泄露的全新邮箱
2. 设置—iCloud—日历—关闭日历同步
3. 设置—iCloud—照片—关闭iCloud照片共享

2.3 隐私泄露为钓鱼攻击重要帮凶

2016年针对网站系统的脱库、撞库攻击频繁发生,各类信息及数据泄露的安全事件依旧层出不穷,且越演越烈。而无论传统PC还是移动平台,隐私的大面积泄露,已经成为网络钓鱼威胁当中重要的帮凶和支撑性的环节。

以下列举日常生活中最为常见的隐私泄露场景,无论个人用户还是相关企业、政府部门都应对此类情况有所防范:

  • 防不胜防的被动泄露

1、恶意代码
2、购房信息
3、教育机构
4、网购
5、其他三方网站APP

  • 社交过程中主动泄露

不少“重度社交网站”用户,往往都喜欢在微博、朋友圈等发各种照片,这也会暴露人际关系、时间地点隐私信息。

三、应对建议

从建立23个部门和单位参加的部际联席会议,到健全涉通讯信息诈骗犯罪侦查工作机制;从深化跨境跨区域警务合作,到建立电话通报阻断及被钓鱼资金快速止付机制。可以说反钓鱼、防诈骗已成为各级政府和企业在安全领域的重点工作之一。作为反钓鱼技术研发与服务提供商,中国电信云堤与安天移动安全针对国家监管机构、运营商、银行和公众用户在应对钓鱼风险时,提出如下建议:

3.1 监管机构

1. 国家和行业“反钓鱼、防诈骗”监管机构部牵头组织相关单位与“中国反钓鱼网站联盟”的互动对接和信息共享机制。实现官方“打钓” 与非官方“打钓”的优势互补,达到快速、及时的效果。

2. 集中整治用于非法采集银行卡信息的钓鱼网站、恶意程序(APP),对拒不整改或者违法情节严重的互联网站,依法吊销相关电信经营许可或注销网站备案。

3. 加强运营商、金融机构等行业、企业与公安机关的合作联动,在行业监管部门的统一指挥下,坚持技术手段、规范管理与防诈骗宣传三位一体,多措并举,持续深入开展防范打击通讯信息诈骗工作,为维护客户的合法权益作出贡献。

4. 完善网络法律法规打击网络钓鱼犯罪,并大力宣传有关互联网方面的法律法规,培养公众用户的法制观念,提高防范意识,不给钓鱼网站的建立制造便利。

3.2 运营商

1. 进一步落实实名制、特服号码的严格管理、网络异常预警等措施。同时,加快移动通信基站的升级,加速4G网络的普及,在用户通信信道上彻底规避2G伪基站的侵扰。

2. 从网络层面增强对威胁寄生渠道的监测和阻断,建立并完善恶意代码监测及拦截,通过域名甄别、网络数据分析等技术手段在DNS入口和网络侧及时切断钓鱼网站的访问,并对公众用户提供有关通信信息诈骗的及时预警,降低网络钓鱼的成功率,有效打击网络诈骗行为。

3. 通过深度的网络数据分析挖掘,为金融企业实施精准风控提供有益输入。

3.3 银行金融机构

1. 识别可疑账号,依法关停一批发布银行卡信息非法买卖交易的网站和网络账号,清理网上非法买卖银行卡信息的有害信息。

2. 加强在线支付认证安全,研发新的认证方式,避免因手机短信动态密码被恶意代码泄露而导致用户资产损失。

3. 及时鉴别诈骗行为,为客户的资金安全设置防骗门槛。当不同地方银行账号短时间内向同一银行账号密集汇款时,及时弹出提示预警框,提醒客户防诈骗甚至中止转账汇款,并引导客户向有关部门查询核实。

4. 加强社会公众安全使用银行卡的宣传教育,实现银行卡风险宣传教育的常态化和持续化。

3.4 消费者

当前,在面对钓鱼等社会工程学入侵时,作为消费者的公众用户的防御手段和防护意识都相对单一和薄弱。要想避免成为钓鱼诈骗的受害者,一定要加强安全防范意识,提高安全防范技术水平,首先在提高防范意识方面:

在受钓鱼网站欺骗后要第一时间报警,任何攻击的手段都会留下蛛丝马迹,及早报案,是保护自己权益的最好手段。

提高安全意识,养成良好安全习惯,同时建立安全的密码管理体系,避免因短板移动威胁造成大规模资金损失的情况。

提高对移动安全事件的关注度和敏感度,对与个人关联的事件进行紧急响应,做好事后止损的工作。

另外,在防范措施方面公众用户应重点关注几个方面:

1. 防范垃圾邮件:

通常情况下,任何政府、企业都不会以邮件或者链接方式让用户提供用户名和密码;
钓鱼邮件里提供的链接地址域名需注意甄别;
不随意打开不明来源的邮件附件和点击邮件正文中的可疑网址链接,不要随意打开内容可疑的邮件附件(Word/PDF/zip/rar等)

2. 防范wifi钓鱼:

在不使用WiFi连接时,关闭手机无线网卡;
在访问或者使用带有交易性质的网银或电商应用时,应尽量使用运营商提供的2G、3G、4G数据上网,避免使用公共WiFi,不在公共WiFi环境下载安全软件;
安装手机安全软件,拦截可能的手机病毒和钓鱼网站攻击。

3. 安装防病毒系统和网络防火墙系统:

多数反病毒软件都具有对包括间谍软件、木马程序的查杀功能;
防火墙系统监视着系统的网络连接,能够杜绝部分攻击意图并及时报警提醒用户注意。

4. 及时给操作系统和应用系统打补丁,避免黑客利用漏洞人侵电脑,减少潜在威胁。

5. 从主观意识上提高警惕性,提高自身的安全技术:

要注意核对网址的真实性,注意网站域名以及https等信息
要养成良好的使用习惯,不要轻易访问陌生网站、黄色网站和有黑客嫌疑的网站
拒绝下载安装不明来历的软件
拒绝可疑的邮件
网购时及时退出交易程序,做好交易记录及时核对等等。

阅读完整版报告

作者:安天AVL Team

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章