针对金融领域伪基站钓鱼黑产的分析报告(全文)
作者:星期六, 四月 23, 20160

目录

概述

伪基站钓鱼产业链分析
1. 虚假域名
2. 钓鱼网站
3. 短信拦截木马
4. 伪基站群发
5. “洗料”(盗刷)

钓鱼网站反制案例
案例一
案例二
深入调查

数据解读
金融账号影响的银行分布
受害人群的年龄段分布
受害人群的性别分布
受害人群的地域分布

应对策略

附录:伪基站短信模板

概述

伪基站钓鱼一直以来都是导致金融巨额损失的重灾区,即使在法律和技术进行安全管控的情况下,形式也变得越来越严峻。黑产(黑色地下产业的简称)会通过严密的组织和流程获取金融用户的账号信息(银行卡账号,密码,身份证号,CVV等),进而进行大批量金额的转出。

根据《中国互联网站发展状况及其安全报告(2015)》显示,共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面,仿冒页面数量较2013年增长2.1倍,虽然各部门都在配合打击钓鱼欺诈类网站,但是越来越多的黑产团伙,开始利用频繁更改域名,租用境外服务器等手段躲过有关机构的监管拦截,导致钓鱼欺诈现象屡禁不止。

根据相关监控数据显示每天都有大量新增的钓鱼上线,这些钓鱼网站时效性短,部署搭建容易,成本低廉。保守估计,中国金融领域每年遭受伪基站钓鱼攻击导致的金额损失高达100亿元

白帽汇作为“中国互联网网络安全威胁治理联盟”的首批成员单位,在2016年三月份针对金融领域的伪基站钓鱼的黑色产业链进行了深入的调查分析,我们在分析攻击流程的基础上加上了黑产反制的技术,通过技术手段获取了钓鱼网站的后台或数据的管理权限,获取了受害用户的详细清单,钓鱼网站的源代码,拦截短信的APK,以及伪基站发送短信的模板等信息。

在本次调查过程中我们发动广泛的白帽子的力量,针对追踪收集到的1947个钓鱼网站进行反制和溯源分析,深入了解和还原出该条黑色产业链的各个渠道流程。最终,我们从钓鱼网站的后台截获了超过50000个金融客户的账号,去重后有超过19000受害用户信息,账号主要覆盖工商银行、建设银行、农业银行、储蓄银行、中国银行、以及其他城商行。保守估计受害金额达2亿元。其中单个用户最大余额超过一百万。受骗人群主要集中在 20-30岁的人群,地域分布在 二、三 线城市为主。

伪冒的钓鱼站中又以工商银行中国移动充值居多,而通过对受骗人群性别统计,其中女性受骗率远远高于男性。在整个产业链条中,在后台进行数据清洗(行话又称“洗料”)的人获利最多,远远高于产业链中实施伪基站钓鱼的其他环节。

伪基站钓鱼产业链分析

伪基站钓鱼黑产简单流程示意图:

640.webp (2)

各个环节工作内容:

制作网站:有专人抢注类似于运营商,各大银行机构的域名进行出售或自己用,有专业的人员进行仿站模仿类似于运营商、各个银行的网站,然后购买美国或者香港免备案服务器进行搭建后制作过域名拦截程序。据了解市面上搭建一个完整的钓鱼网站价格也就在1000元到1500元左右。

木马制作:由程序开发人员进行开发后,以几千元不等的价格将源码卖给下级代理进行二次开发出售(根据各大杀毒库的更新情况制作“免杀”)以每周2000元进行出售。

伪基站发送钓鱼短信:这个一般为线下交易,,包吃包住包油钱以每小时500元左右为酬劳或以合作分成的方式,让有伪基站设备的人带着伪基站游走在繁华的街区进行大范围的撒网(发送钓鱼网站)。

“出料”:将钓鱼网站后台收到的数据进行筛选整理(利用各个银行的在线快捷支付功能情况查余额,看看是否可以直接消费进行转账或第三方支付进行消费),自己无法将余额消费的将会以余额的额度以不同的价格出售(大部分会打包起来以每条1元的价格进行多次叫卖)余额巨大的有时还会找人合作进行“洗料”。

“洗料”:通过多种方式将“料”进行变现,一般开通快捷支付充值水电、话费、游戏币或者利用其他存在第三方支付转账接口和银行快捷支付漏洞等,将“四大件”变成成现金后通过各种规避追查的手段与合伙人按比例(一般以料的额度按5:5、4:6、3:7这些比例)进行分账,日均可以赚取10万元以上。

640.webp (3)

1. 虚假域名

在我们的调查中他们会事先购买大量类似于运营商、银行机构的域名。在这个完整的产业链里有一些就是出售这些域名的,由于安全厂商,以及公安的打击,所以通常域名的存活周期也是非常的短,一般有效周期为1-7天,基本是打一枪换一个地方,需要使用到大量的域名。

640.webp (4)

2. 钓鱼网站

接来下就是制作出售维护钓鱼网站的。成本很低,固定的几套源码修改下直接就可以搭建起来。

640.webp (5)

在我们反制下的许多钓鱼站之后在源码里发现一些有趣的东西——黑吃黑,在源码的说明里面这样写着“默认后台有预留一个方便我们维护的帐号,如不需要,可以联系我们删除。”然后下面那段文字就是教你怎么添加一个后门帐号(“方便维护”)。

640.webp (6)

3. 短信拦截木马

从技术原理和实现上看并不复杂,大多通过注册短信广播(BroadcastReceiver)或者观察模式(ContenetObserver)监控手机短信的收发过程,当然也出现一些功能更全面强大的远控类手机木马,短信拦截之中的一项功能。网上类似的短信拦截源码也非常多,了解过安卓开发的都可以很快编写出一个“短信拦截马”,这也是“短信拦截马”变种速度快、传播泛滥的一个重要原因。

目前我们调查中遇到有两种,一种由编译好的软件填入手机号、发件邮箱账号密码、收件邮箱、木马到期时间即可自动生成一个带有木马病毒的手机APP。(成本小但是利益大,使用无限制,只要利用生成器就可以制作拦截马,导致拦截马泛滥。)

另一种相当于PC版中的远程控制软件一样,由一个控制端也叫服务端(由“钓鱼者”控制)和一个受控端也叫客户端(受害人安装的手机APP)组成,然后“钓鱼者”就可以控制受害人的手机。

640.webp (7) 640.webp (8)

4. 伪基站群发

域名、网站、木马,都准备好了,他们会用伪基站把钓鱼网站在繁华的街区散发出去。

“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

通过对qq群搜索就会出现很多相关的伪基站贩卖群

640.webp (9) 640.webp (10) 640.webp (11) 640.webp (12) 640.webp (13)

当人们路过繁华的街区就会收到类似的钓鱼短信

640.webp (14) 640.webp (15)

5. “洗料”(盗刷)

钓鱼者坐等受害者“上钩”在这现在这个互联网发达交易便捷的时代有了你手机的权限,和银行卡账户密码,即可通过快捷支付方式将你的钱财转走。有些没开通网银的受害者的卡他们也会有办法的。

钓鱼者将获取姓名、证件号码、银行卡号、银行密码、手机号码即被称为“四大件”。在这些无法被快捷支付的“四大件”(料),钓鱼者就会将受害者的个人信息进行叫卖,或者找洗料通道进行利益最大化。

由于国内各类混乱的支付渠道缺乏有效安全监管,导致黑产团伙一般是通过银行、商户或者第三方支付的各类快捷支付渠道将用户卡内资金转走,他们会购买游戏币、彩票、话费充值、机票门票等多种多样的洗料方法。有些信用卡CVV码泄漏的用户还发现通过境外消费渠道被划走资金。有些被感染手机可能还会被订阅一些恶意扣费服务或者使用手机话费支付购买游戏点卡后再进行销赃。

640.webp (16) 640.webp (17) 640.webp (18) 640.webp (19) 640.webp (20) 640.webp (21) 640.webp (22) 640.webp (23)

工行为例,只要可以用验证码与“四大件”完成得即可成为被变现的途径。下面是某洗料群的讨论哪个银行好变现。

工商银行服务条约,拥有手机短信权限和银行卡号与密码可利用下面这些业务。

融e联

640.webp (24)

工行e支付功能

640.webp (25)

工行快捷支付注意事项:

640.webp (26) 640.webp (27)

以下是一些通道的限额,洗料者一般会先转账获得现金,当通道内现金转账达到限额后就会购买商品的方式再将余额消费掉。

640.webp (28) 640.webp (29)

钓鱼网站反制案例

下面两个案例是根据截获到的两个钓鱼网站进行反制。

640.webp (30)

案例一

该网站模仿中国移动网站,进入让受害者输入手机号码查询是否可以领取积分兑换现金。

640.webp (31)

输入手机号就会提示您可以兑换现金。

640.webp (32)

640.webp (33)

当受害者输入自己的信息后就会将数据提交到网站的后台,自己的信息就被盗取了。

640.webp (34)

当你输入完信息后,还会提示受害者,下载客户端才能激活领取现金,客户端就是经过伪装的木马(后续用来拦截你的交易验证短信)。

640.webp (35) 640.webp (36) 640.webp (37)

案例二

钓鱼网站模仿中国工商银行
640.webp (38)

一个让你主动填写您的个人信息的页面

640.webp (39)

当你点击登录会跳转到指定页面进行等待后台操作者的下一步指令

640.webp (40)

此时钓鱼者在后台忙碌的操作

640.webp (41)

当操作者在幕后提交命令你会进入下一个页面,此时他在诱骗您的身份证信息。

640.webp (42)

操作者提交下一个命令,你会跳转到另一个页面此时将要获取您的验证码进行盗刷。

640.webp (43) 640.webp (44)

在一步步的操作中受害者的钱财就被盗取了。

深入调查

640.webp (45)

该类钓鱼网站通常在用户输入完个人信息后会提示你下载一个apk客户端,目的就是为了控制受害者的手机,截获短信等内容。我们根据在对这种钓鱼网站中下载的木马进行分析。

640.webp (46) 640.webp (47)

此类木马源码中都会留了一个作者的手机号和一个发信邮箱和一个收信邮箱,可以收集受害者的手机通讯录和收发拦截的受害者的信息,从而使用快捷支付功能就会神不知鬼不觉的将受害者的钱财盗取。

通过分析apk木马文件得到攻击者的发件邮箱账号密码,登入邮箱,可以发现大量被害用户的手机短信,通讯录内容。

640.webp (48) 640.webp (49) 640.webp (50)

我们从拿下的一些钓鱼网站的后台中获取的一些部分信息。

640.webp (51) 640.webp (52)

数据解读

金融账号影响的银行分布

被骗用户所在的开户行根据数据前五名排序分别为:工商银行建设银行农业银行,储蓄银行,中国银行。

640.webp (53)

受害人群的年龄段分布

其中受骗人群集中在19-29岁的人群,主要分布在 二、三 线城市为主。

640.webp (54)

受害人群的性别分布

640.webp (55)

受害人群的地域分布

根据身份证号码的地址归属进行地理位置统计,排名前五位的省份分别是:广东,内蒙古,四川,湖南,河南。

640.webp (56)

根据手机号码的地址归属进行地理位置统计,排名前五位的省份分别是:广东,内蒙古,浙江,江苏,山东。

640.webp (57)

应对策略

对此我们提出几点防范意见供参考:

1. 用户应加强个人安全防范意识,不要轻信任何中奖信息、轻易点击中奖网站链接;

2. 当用户接收到包含网站链接的短信时,需仔细甄别网站的域名,钓鱼网站常常伪装成和真实网站相近的域名,如攻击者会使用如1oo86.cn等与10086.cn真实网站接近的域名;

3. 用户还需注意保护个人信息,不要在通过点击电子邮件链接访问的网站上输入相关登录账号、密码等信息,也不要在未知的网站上提交个人重要信息。

附录:伪基站短信模板

工商银行

  • 尊敬的工行用户:您的账户累计积分xxx即将逾期清空,请登录xxx.xxx.xxx兑换xxx元现金【工商银行】
  • 尊敬的工行用户:您的积分已满xxx分,登陆手机官网 xxx.xxx.xxx 可兑换xxx元现金大礼.逾期清零【工商银行】
  • 尊敬的工行用户:您的账户积分xxx即将逾期清空,请登陆兑换网 xxx.xxx.xxx兑换xxx元现金,逾期失效【工商银行】
  • 尊敬的用户:我行将开展个人信息核实认证,请登录 xxx.xxx.xxx 按提示核实,未核实账户将于今日24点冻结【工商银行】
  • 尊敬的工行用户:您的账户积分27347即将逾期清空,请及时访问 wap.icbytp.com 进行兑换1367.35元现金【工商银行】
  • 尊敬的工行网银用户:您的工行网银电子密码器将于次日失效,请及时登录xxx.xxx.xxx进行升级激活,感谢您对我行的支持【工商银行】
  • 尊敬的工行用户:您的账户未经核实,请及时登录官网 xxx.xxx.xxx 进行身份核实,逾期将冻结账户[工商银行]

中国移动

  • 尊敬的用户:因您话费积分没有兑换即将清零,请登陆 xxx.xxx.xxx 按提示兑换xxx元礼包【中国移动】
  • 尊敬的用户: 您话费积分已满xxx可兑换xxx元现金礼包,请登陆 xxx.xxx.xxx 激活领取,过期失效 【中国移动】
  • 尊敬的移动用户您好:我公司举行16周年庆话费充值活动。充一百送一百,即时到帐,请登录移动掌上营业厅 xxx.xxx.xxx 【中国移动】
  • 移动周年庆!为回馈老用户,推出充100送300话费大赠送活动,手机登录 xxx.xxx.xxx 活动期间限充值一次 !【中国移动】

建设银行

  • 尊敬的建行用户:您的建行账户信用额度已满一万积分可兑换5%的现金,请使用手机登陆 xxx.xxx.xxx查询兑换逾期失效【建设银行】
  • 尊敬的客户:由于您的账户未核实,现已限制账户支出,请速登入我行 xxx.xxx.xxx 进行登记核实,逾期将注销该账户【建设银行】
  • 尊敬的用户;您的手机银行将于次日失效,请立即登陆建行手机网 xxx.xxx.xxx 进行认证,逾期失效【建设银行】
  • 尊敬的用户:我行将开展个人信息核实认证,请登录 xxx.xxx.xxx 按提示核实,未核实账户将于今日24点冻结。【建设银行】
  • 尊敬的建行用户:沈阳建行卡客户领红包了!登陆我行官网 xxx.xxx.xxx 查询领取!【建设银行】
  • 紧急通知:您的建设银行卡即将失效,请登陆我行手机官方网站重新验证,逾期作废处理【建设银行】请立即登陆我行网站xxx.xxx.xxx
  • 尊敬的用户:您是我行特约用户,您信用卡现可提高永久额度!请于24小时内进入 xxx.xxx.xxx 申请,逾期失效【建设银行】

农业银行

  • 尊敬的农业银行客户您好:我行将于2016年3月31日止,将冻结您名下所以银行帐户,详情请咨询01089049192《农业银行》
  • 【中国农业银行】通知:截止今日16:59将对您个人账户进行冻结,如有疑问详情咨询:02389310152
  • 温馨提示:截止今天24:00之前我行将扣除您的农行卡年费1800元。如有疑问请致电农行客服中心:4006363392【农业银行】
  • 尊敬的客户:您的农业银行账户因未核实个人身份信息已被停用,请登陆 xxx.xxx.xxx 按提示核实升级解冻
  • 尊敬的用户:您的积分已满18000分可兑换5%的现金请手机登录 xxx.xxx.xxx 查询领取逾期失效【农业银行】

作者:白帽汇

 


相关文章

写一条评论

 

 

0条评论