《360安全卫士:2022年年度中国手机安全状况报告.pdf》由会员分享,可在线阅读,更多相关《360安全卫士:2022年年度中国手机安全状况报告.pdf(55页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2022 年度中国手机安全状况报告 0 2022 年度 中国手机安全状况报告 2023 年 02 月 2022 年度中国手机安全状况报告 前言 当前,电信网络诈骗犯罪已成为发案最多、上升最快、涉及面最广、人民群众反映最强烈的犯罪类型。诈骗手法紧跟社会热点持续演变升级,与当下流行的网络购物、物流递送、直播打赏等相结合,多环节包装实施连环诈骗。于此同时,催生了大量为不法分子实施诈骗提供帮助并从中获利的黑灰产业,此类黑灰产业又反向作用,成为电信网络诈骗犯罪多发高发的重要推手。从 2022 年 360 安全大脑捕获到的黑产情报来看,在电销引流产业上,诈骗电话从“多卡宝”转向简易组网 GOIP,同时一些
2、不法固话业务代理商、民众受利益驱使,将其开办的固话线路转接给境外电信网络诈骗分子,号码伪装性、迷惑性、欺骗性更强,群众难以辨别,极易上当受骗;在身份伪装产业上,从传统固网 IP 秒拨、服务器 IP 转向基站 IP、软路由等具备“反侦察”功能的 IP 类产品;在洗钱手法上,黑产一方面通过伪界面增加洗钱类应用的识别难度,一方面开发出高仿网银、“尾号跟随”等应用进行“黑吃黑”;在黑产链条上,盘踞在境内外的黑产供应商、团伙为占据更多的市场份额,获得更高的价值利润,增强了攻防能力,提高了攻击范围,如传统短信 ETC 钓鱼团伙,将攻击目标从普通群众增加至互联网企业业务系统及员工,影响更加恶劣。为坚决遏制电
3、信网络诈骗犯罪快速上升势头,公安部部署全国公安机关始终保持严打高压态势,全链条打击电信网络诈骗及关联犯罪,深入开展“斩链”“清源”“利剑”三大战役,抓获了一大批违法犯罪人员,破获了一大批诈骗案件;会同最高法、最高检等相关部门联合部署开展“拔钉”行动,成功将 240 名电信网络诈骗犯罪集团重大头目和骨干缉捕归案;针对华东、华南、京津冀等 3 个片区重点城市,组织开展区域会战,共捣毁诈骗窝点 1800 余个,实现规模打击效能最大化;针对涉诈黑灰产链条,组织发起打击涉诈固话语音专线、简易组网 GOIP、跑分洗钱等各类集群战役 80 余起,取得显著战果。2022 年度中国手机安全状况报告基于 360
4、海量的安全大数据和 360 手机卫士黑灰产研判、分析、溯源能力,对 2022 年出现的电信网络诈骗及关联的重点黑灰产业链进行深度剖析,对相关反制手段、思路予以探讨,望能起到抛砖引玉的目的,集思广益。打击“黑灰产”是一项长期且艰巨的任务,需要政府、企业和个人一同努力,让“黑灰产”无缝可钻。360 也将积极发挥自身技术优势,综合运用人工智能、大数据、云计算等技术手段有效打击涉诈产业链,保障用户网络安全。2022 年度中国手机安全状况报告 I 目录 第一篇 电信网络诈骗-黑灰产攻防技术.1 第一章、电话引流技术,人机分离、远程操控.1 一、诈骗电话从“多卡宝”转向简易组网 GOIP.1 二、涉诈的“
5、境外来电”穿上“本地来电”的外衣.2 第二章、基站 IP、软路由成诈骗团伙热门网络环境隐藏手段.3 一、移动网络 IP 秒拨技术.3 二、固网代理 IP 软路由技术.5 第三章、中文域名+自研客服系统成为征信类诈骗关键手段.6 第四章、计算器成“跑分”产业新工具.7 第二篇 电信网络诈骗-黑灰产业链现状.10 第一章、利用靓号生成器进行虚拟货币盗刷.10 第二章、利用定制化银行 APP,进行洗钱产业“黑吃黑”.10 第三篇 电信网络诈骗-黑产技术供应商、团伙.12 第一章、以 B*N 集团为攻防技术核心的东南亚博彩产业链.12 一、黑灰产攻防浏览器背后的开发者 B*N.12 二、B*N 开发应
6、用关联产业.13 第二章、钓鱼邮件攻击背后的“缅北魔方 G”组织.14 一、“缅北魔方 G”攻防特点.14 二、钓鱼邮件攻击路径分析.15 第四篇 电信网络诈骗案例.17 第一章、最新消息!暴雷 P2P 可以退款了?.17 第二章、小心!网络代买“冰墩墩”骗局:有人花上百元收到的竟是“耳环”.17 第三章、那一晚我们赤诚相见,你却用我的照片敲诈我.18 第四章、注销贷款变成“申请贷款”.19 第五章、“杀猪盘”里没有爱情,只有诈骗.21 第五篇 反电信网络诈骗行业动态.22 第一章、政策法规颁布.22 一、中共中央办公厅 国务院办公厅印发关于加强打击治理电信网络诈骗违法犯罪工作的意见.22 二
7、、反电信网络诈骗法表决通过.23 第二章、政府重拳出击.24 一、公安机关打击治理电信网络诈骗违法犯罪取得显著成效.24 二、公安部深入推进打击电信网络诈骗“拔钉”行动.25 第三章、行业服务建设.26 2022 年度中国手机安全状况报告 II 一、工业和信息化部再出反诈利器 正式推出“反诈名片”服务.26 第六篇 电信网络诈骗趋势预测与反制建议.27 第一章、新型网络犯罪趋势预测.27 一、引流、身份伪造等电诈产业出现全链条技术升级.27 二、洗钱手法更加隐秘,同时其产业内部出现大量“黑吃黑”现象.27 第二章、黑产攻防对抗应对手段.28 一、开拓挖掘思路,提升黑产识别能力.28 二、构建电
8、信网络诈骗防范和打击治理体系.28 参考文献.29 附录-2022 中国手机安全数据报告.30 2022 年度中国手机安全状况报告 1 第一篇 电信网络诈骗-黑灰产攻防技术 第一章、电话引流技术,人机分离、远程操控 近年来,大量藏匿在境外的电信网络诈骗团伙通过远程操控的方式,使用搭建在境内的“GOIP 设备”向受害人拨打电话,从而实施诈骗,危害十分严重。随着全国“断卡”行动不断深入,公安机关持续加大对“GOIP 设备”打击力度,打掉了一批违法犯罪团伙,收缴了一批作案工具,有效挤压了相关犯罪生存空间。为逃避侦查打击,一些犯罪分子研发升级出成本更低、隐蔽性更强、操作更简单的新型“电销”设备,迅速成
9、为各类电信网络诈骗团伙拨打诈骗电话的作案工具。一、诈骗电话从“多卡宝”转向简易组网 GOIP 诈骗产业早期,盘踞在境外的诈骗分子,通过境外电话线路直接向境内拨打诈骗电话。由于呼叫过程涉及到国际网关,易被运营商发现,因此诈骗分子开始将号码及呼叫行为迁移至国内。简单来说就是骗子在 A 地(境外),雇佣他人在 B 地(境内)架设猫池、卡池,插入大量的手机卡后,组成 GOIP 设备。骗子在 A 地通过 SIP 类软件,远程调用 B 地架设的GOIP 设备进行呼叫及短信行为。由于电话的实际呼叫行为从 B 地产生,使用的是 B 地的基站服务,避免了直接从境外向境内呼叫。此种 GOIP 设备特点是通过 si
10、p 协议进行交互,可支持插入大量手机卡,但体积比较庞大,搭建好后移动困难,导致号码在基站下过于积聚容易暴露自身的位置。虽后期诈骗分子将 GOIP 设备使用便携式电源搬运至汽车上,全城移动躲避监管,但由于 sip 协议的存在,仍存在暴露的风险,一种通过远程协助+IM 语音的组合式 GOIP 开始出现。为避免从境外直接向国内拨打电话触发国际网关风控限制,使用境内猫池、多卡宝搭建的 GOIP 触发 SIP 协议及聚集风控,诈骗分子将呼叫行为及通话行为分开。境外手机 A 安装远控 APP,控制境内的手机 C 拨打诈骗电话,境外手机 B 安装具有语音聊天的 APP,与境内手机 D 进行语音通话,境内手机
11、 C 与境内手机 D 通过声卡连接线串联,实现 C 与 D 实时共享音频,从而实现手机 B 代替手机 C,与手机 C 所电话呼叫的人员进行实时通话。2022 年度中国手机安全状况报告 2 图 1 简易组网 GOIP 原理 随着生活水平的提高、生活节奏的加快,现如今双持手机成为越来越多追求生活品质的选择,而从简易组网 GOIP 整个环节来看,其本质上也是成对出现的手机,只是语音音频进行了共享,很难将此种形式作为某些风控特征,及时发现潜在的 GOIP。同时,由于通话语音使用音频线进行了共享,国内 GOIP 的搭建人员无法获悉远程诈骗话务员与受害人的通话内容,保证了 GOIP 运行的稳定性,攻防对抗
12、将是一场持久战。二、涉诈的“境外来电”穿上“本地来电”的外衣 2022 年第二季度,我们发现诈骗使用的号码中,固定电话开始“冒头”,同期在黑产交易市场,我们也发现了大量的固话渠道商的踪影。由于诈骗分子来电号码显示为本地企业固定电话,极具伪装性、迷惑性和欺骗性,群众难以辨别,极易上当受骗。2022 年度中国手机安全状况报告 3 图 2 黑产群售卖固话线路 从掌握到的情报来看,一些不法固话业务代理商、民众受利益驱使,将其开办的固话线路转接给境外电信网络诈骗分子,从而使诈骗分子能够通过远程操控的方式拨打电话进行诈骗。境内固话线路人员,办理固定线路后,上线黑产提供或自费购买语音网关设备,将设备对接固定
13、电话线路,上线黑产通过远程软件进行语音网关调试,对接相应的 SIP 服务器,实现固话线路的远程语音功能,诈骗人员使用具有 SIP 协议的语音类应用,远程调用固话线路拨打诈骗电话。第二章、基站 IP、软路由成诈骗团伙热门网络环境隐藏手段 在我们看不到的网络世界,诈骗、群控、挂机、“羊毛党”、刷量等黑灰产行为时刻发生着,这些行为从悄然滋生到发展为成熟的产业链,始终绕不开最底层的 IP 支撑。360 手机卫士在长期对黑灰产的溯源分析时,发现一些黑灰产使用的 IP 呈现出“境外设备偏爱使用境内固网或 IDC 机房 IP,境内设备偏爱使用境内移动流量 IP 的特点”。推测此种偏好方式,境外的黑灰产可能是
14、为了防止其使用的社交账号、支付账号被冻结或满足一定的上网娱乐需求;境内的黑灰产可能是为了防止具体位置信息暴露、提高追溯难度。而这两种身份伪装的方式,代表了目前主流的两种 IP 代理手段,移动网络 IP 秒拨技术和固网代理 IP 软路由技术。一、移动网络 IP 秒拨技术 移动网络秒拨指的是利用移动网络提供的 IP,向外提供代理 IP。随着攻防对抗的升级,传统固网式的 IP 多已被标记识别,目前产将视线转移到更为隐蔽的移动网络 IP 上。从已2022 年度中国手机安全状况报告 4 掌握的情报来看,其实现方式有 4 种:手机热点、USB 上网卡、IP 魔盒、移动 IP 代理软件。其中手机热点、USB
15、 上网卡需要手动断网才能获得新的 IP,存在不足,而 IP 魔盒和移动 IP代理属于自动化类产物,弥补了手机热点和 USB 上网卡的不足,已渐渐成为主流。图 3 代理 IP 方式 USB 上网卡即便携式网络热点,插入手机卡,供电即可共享网络。这些 USB 上网卡使用的流量业务,主要是一些第三方公司在运营,向运营商采买流量后,分包卖给下线用户。IP魔盒为一款硬件盒子,支持多种类型的手机卡,接入电脑后可以使电脑拥有移动网络 IP,通过其自带的脚本可实现 IP 自动切换。USB 上网卡、IP 魔盒本质上是同一类产品,两者都可以通过断网再联网实现切换 IP,只是 IP 魔盒增加了自动化秒拨的功能。除了
16、利用硬件产品实现移动网络秒拨外,目前一些代理软件也提供移动网络 IP,安装此类应用后,可根据其提供的移动网络线路 IP 进行 IP 伪装。利用移动网络秒拨 IP,黑产分子能实现快速变换 IP 或指定 IP 归属地,绕过时间、地域、次数的限制。同时随着 5G 网络的普及,在 5G 高带宽的背景下,黑灰产可能会以此衍生出其他的攻击手段。但从目前已知的风控手段来看,针对移动网络类秒拨 IP 并未迭代出良好的反制手段,IP 伪装攻防对抗将是一场持久战。2022 年度中国手机安全状况报告 5 图 4 移动网络秒拨 APP 二、固网代理 IP 软路由技术 传统的 VPN 代理软件,针对的是使用该代理软件的
17、设备,该设备的数据流量通过 VPN 软件进行转发,即设备需要先联网(内网/互联网),再连接进入 VPN 网络,当设备自身网络出现问题时,VPN 网络会中断,此时本机的 IP 便会暴露,于是一类针对全局网络,防止本机IP 暴露的全局软路由器产品在黑产中出现。此类软路由主要包含国内 IP 代理池、wifi 分发(一个路由器可分发出多个 wifi 信号,实现机机独立 ip,一键换 ip,断网保护,数据分流不串线)功能。目前黑产售卖的产品包括以下 2 类:提供路由器固件及 IP 池,将市面上已发售的路由器进行刷机进而修改成可控的 VPN 类路由器。集成 VPN 功能,支持多 IP 线路定制,多 wif
18、i 分发(单设备可发出 1-100 个 WiFi,且机机 IP 独立)、IP 线路断网保护、wifi 伪装,修改 mac、ssid 于一身的路由器。2022 年度中国手机安全状况报告 6 图 5 黑产渠道售卖的软路由产品效果展示 第三章、中文域名+自研客服系统成为征信类诈骗关键手段 冒充电商平台以用户账号征信存在问题需要注销为由,实施金融诈骗的手段是近年来高发的诈骗类型。随着反诈宣称力度和攻防对抗的加强,此类诈骗发生了一些攻防变化,诈骗人员伪造用于“身份认证”、“话术洗脑”的网站,从原先英文域名+第三方在线客服 API 搭建虚假的客服认证网站,转向使用中文域名+二次开发第三方在线客服系统搭建,
19、效果更加逼真,用户及反制识别难度均增加。此类冒充电商平台客服类诈骗,首先通过境内外号码联系受害人,引导受害者访问高仿的网站(电商平台、征信查询),增加信任感后,再引导受害人与该仿冒网站内的在线客服人员进行沟通,在客服的引导下安装会议、投屏类应用。在诈骗人员的远程协助下,进行“征信”处理,将自有资金或网贷资金转向指定账户。因此,在整个诈骗环节,仿冒的诈骗网站是诈骗成功的关键因素。为了提高迷惑性,诈骗团伙使用中文域名,且域名中使用了含特点电商平台、银监会相关的关键词,如*在线对接.com、*认证中心.me、银监会*中心.me 等。由于 com、cn 等传统域名注册人群较多,可用于注册的资源较少,诈
20、骗团伙转而使用比较小众的域名,如 shop、me、lol、art、co、life、pics、club 等。从发现的部分黑产域名时间来看,最早时间为 2022 年 8 月,说明已有多个团伙使用中文域名进行攻防对抗。2022 年度中国手机安全状况报告 7 图 6 虚假征信网站客服界面 以往发现的诈骗网站中,我们发现诈骗人员会通过第三方在线客服接口的方式实现网站的在线客服功能,近期发现的征信类诈骗网站使用的客服系统均非已知的客服接口,推测其“二次开发”了客服系统。从该客服页面中,我们发现了系统的备注说明(独立开发者)、相应的接口字段参数,根据这些参数我们发现该系统与市面上一款商业化客服系统界面、参数
21、相似。该公司售卖的产品为源码授权模式,以此猜测黑产购买此套源码后进行二次修改,增加自有系统标识,在互联网出售给诈骗团伙。第四章、计算器成“跑分”产业新工具 早前,我们发现博彩产业为方便博彩代理人员管理下线人员,为其定制开发博彩代理APP,该应用伪装成一个可正常使用的计算器应用,当在该计算器中输入特定指令时,页面会展示真正的博彩代理登录界面。此类伪界面手段近期也在一款跑分应用中出现,通过同源追溯,发现该应用衍生产业链存活至今已达 2 年,且应用仍在不断进行版本迭代。以跑分客的视角,来看看这个跑分应用到底是怎么“跑起来”的。首先,跑分客需要访2022 年度中国手机安全状况报告 8 问指定的网址,获
22、得本地 ip,并将 ip 提供给上线进行加白。紧接着登录指定的卡商网站,将跑分客的银行信息(银行卡号、所属省市、所属支行、取款密码、U 盾密码、登录密码、身份证号码)录入至平台,选择类型(U 盾、跑分-银行卡、手机短信-纯收款等)。完成账户信息录入后,手机安装界面伪装成计算器的应用,并授予短信权限,后期应用将实时将手机收到的短信同步给跑分云端服务器。图 7 跑分客录入信息界面 图 8 跑分客录入信息界面 根据其使用的样本特征,我们发现该应用运营者的运作模式主要包含使用多台境内外服务器做 APP 分发节点以及为不同的用户群控定制不同的子域名+不同的端口,例如子域名shanghu(商户人员使用)、
23、子域名 kashang(卡商人员使用)、sys(支付回调使用),故该产业涉及跑分客、支付通道运营商、黑灰产平台三个部分。支付通道运营商引导跑分客登录指定的卡商网站录入自己的银行卡信息,并在插入银行卡绑定手机号的卡的手机中安装指定的2022 年度中国手机安全状况报告 9 计算器 APP,用于监控手机的银行卡短信,并转发至支付通道终端服务器。支付通道用户(博彩、诈骗等)开通该支付通道的 API 接入对应的诈骗平台,当用户在诈骗/博彩平台充值时,显示对应的充值入口(银行卡),用户在页面刷新后,重新调用接口。图 9 跑分产业流程 2022 年度中国手机安全状况报告 10 第二篇 电信网络诈骗-黑灰产业
24、链现状 第一章、利用靓号生成器进行虚拟货币盗刷 相较于通过虚假虚拟货币网站、APP 此种高投入、低产出的资金盗刷方式,黑产开始针对有着大额流转的“洗钱”产业进行定向攻击,快速进行资产“掠夺”,其攻击方式是仿造出与“洗钱”产业中用于资金流转的相似账户,误导对方向伪装的账户转账。在日常使用网银转账的过程中,部分网银会将过往交易记录中的账号展示出来,方便快速转账,例如 A 经常给 A1 频繁转账,A1 的账号就会频繁出现在最近转账的名单中。同样的道理,虚拟货币钱包也有类似的功能,此时若 B 生成了一个和 A1 账号尾号相同的账号,且出现在 A 的经常交易名单中,A 给 A1 转账的时候,就有可能误转
25、给 B。但想要实现这种骗局,涉及到两个重要的环节,需知道谁频繁转账,且知道收款人的账号信息,同时伪造出与收款人相同尾号的账号。这两个环节在传统的网银交易上基本上很难实现,但由于“虚拟货币网络”类似一个“记账本”,通过区块链浏览器即可查询虚拟货币网络中的交易情况,同时结合靓号生成器的地址伪造功能即可实现上述的过程。靓号生成器其主要作用是批量生成指定规则的虚拟币收款地址,目前多个主流的虚拟货币网络均发现相关的靓号生成器,包括网页版、软件版。部分根据软件使用周期收费、部分根据号码规则(指定尾数 4 位,5 位,6 位)收费。其原理是随机生成一个私钥,然后由该私钥通过加密算法计算出地址,然后再根据靓号
26、的规则去判断这个地址是不是符合要求,然后重复执行以上过程,根据机器的硬件性能不同,生成周期不同,约每秒可生成 1000 个地址,每天可生成 8000 万个地址。第二章、利用定制化银行 APP,进行洗钱产业“黑吃黑”在日常生活中,常见到“微商”们“晒的”各种收款截图,营造一种轻轻松松赚大钱的迷惑氛围,但熟悉微商套路的我们,深知那只是用于收割下线制作的“一眼假”收款截图。相较于微商通过转账生成器或图片生成网站生成银行转账截图,洗钱黑产们使用的工具则高深了很多。通过 360 黑产识别平台,捕获到黑产针对农业、平安、交通、浦发、招商、邮政、工商等银行制作的银行仿冒类应用,其作用原理是通过云端配置+仿冒
27、银行 APP 上下游配合,实现定制化的虚假转账过程,再录制转账视频,其效果远比转账生成器或图片生成网站更加逼真。如下图黑产售卖的演示视频截图,在管理后台,针对账号的余额、信息、转账结果进行设置,如转账成功、转账失败、账户已冻结,在对应的高仿 APP 进行任意账号转账操作时,2022 年度中国手机安全状况报告 11 页面即会显示已设置的内容。图 10 黑产售卖的“银行仿冒类应用管理后台生成网银余额界面”教程截图 图 11 黑产售卖的“银行仿冒类应用转账效果界面”教程截图 针对此批高仿银行 APP 进行溯源分析,发现其从 2022 年 3 月开始上线,开发者通过多台境内外服务器充当存储及云控节点,
28、使用不同的域名、不同的服务器进行应用迭代,约每2 个月进行一次服务器替换。从该 APP 用户画像来看,其主要用户群体涉及博彩、诈骗、洗钱等。APP 在投放的过程中,我们发现其捆绑了 PC 远控木马,病毒名称包括*接码用户端平台.rar、代付流程.rar、吊大思路.txz 等,为接码、洗钱、诈骗产业相关的话术,即向黑产“投毒”,与此类 APP 的目标用户类型相同,据此推测此类样本为黑产人员用户资金诱骗,并以此进行黑产间黑吃黑。2022 年度中国手机安全状况报告 12 第三篇 电信网络诈骗-黑产技术供应商、团伙 第一章、以 B*N 集团为攻防技术核心的东南亚博彩产业链 反诈力度的加强,大量涉诈、涉
29、赌网址遭到拦截、封停,诈骗网站的生存空间得以压制,但在 2022 年 6 月,我们监测到部分涉诈、涉赌网站通过专属浏览器的方式跳过域名的拦截策略。深入分析后,发现该攻防浏览器背后产业可能是以中国某地区的 B*N 集团为技术核心,该集团为东南亚博彩集团、“杀猪盘”提供应用定制开发,躲避网络安全厂商、执法机构的识别拦截,东南亚博彩集团、诈骗团伙进行平台运营,最终面向中国境内开展博彩、杀猪盘等活动。图 12 诈骗网站提供的网址不能访问解决方案 一、黑灰产攻防浏览器背后的开发者 B*N 在一些博彩网站和杀猪盘网站中,我们发现平台会引导用户下载指定浏览器,以“帮助”用户解决无法访问网址的问题,这些浏览器
30、多宣称“使用了独家线路加速技术,解决无法访问、被劫持、跳转非法网页问题”。推荐的浏览器中,以*宇浏览器以主,也存在部分与博彩平台同名的专属浏览器。相较于传统通过布置多条服务器节点、多个域名,用户手动选择最新未拦截博彩网址的方式,专属浏览器的方式更加的“智能化”,降低了域名被拦截的风险,由于其无痕模式,又增加了取证研判的难度。*宇浏览器包名为 b*n.mobile.browser,签名证书为 CN=*,OU=b*n,O=b*n,L=t*,ST=t*,C=t*,根据包名、签名关键词,推测该应用开发者是位于中国某地区的 B*N 集团。2022 年度中国手机安全状况报告 13 通过 360 安全大脑,
31、发现其证书信息涉及过万个应用,其名称类型大致分为博彩、直播、浏览器,其中博彩类应用名称包含巴黎人、金沙、万博、永利国际等关键词,浏览器名称包含太阳城、金沙、永信,其中还包括专用字样,可以看出均为博彩行业关键词,说明这些浏览器都是为博彩平台定制开发的。图 13 博彩网站推荐使用专属浏览器引流页面 二、B*N 开发应用关联产业 B*N 集团开发的过万个应用中,部分包名含 demo、test,例如应用名 B*Games,包名为*.game.*.test1,应用名为*ball,包名为*.b*.*.demo,推测为测试包。应用逆向分析后,发现作者来源于中国某地区,与签名中城市信息相吻合。同时发现疑似该作
32、者开发的博彩代理应用 demo,包名为*bet.agent.*,应用指向*,但页面展示内容不全,推测为早期测试版本,目前已失效。根据*bet 关键词,在搜索引擎中,我们发现该关键词指向多个博彩网站,说明该应用是一个博彩代理 APP。通过这批应用流转地址及关联节点来看,境外节点中以菲律宾、缅甸、柬埔寨数量最多,其中菲律宾、柬埔寨的节点中还发现了其他的博彩信息,说明该批应用的实际运营者位于菲律宾、缅甸、柬埔寨。该产业是 B*N 集团为核心,其为东南亚博彩集团、杀猪盘提供应用定制开发,躲避境内网络安全厂商、执法机构的拦截,东南亚博彩集团、诈骗团伙进行平台运营,最终面向中国开展博彩、杀猪盘等活动。20
33、22 年度中国手机安全状况报告 14 第二章、钓鱼邮件攻击背后的“缅北魔方 G”组织 2021 年 9 月,互联网开始频繁出现冒充公司给员工发工资补贴邮件进行诈骗的新闻,但由于“过于”小众,没有引起广泛的重视。随着此类手法的爆发,2022 年又再次出现在公众视野中。2022 年 5 月 360 手机卫士收到用户反馈,其收到“关于发布最新工资补贴通知,请打开附件查收!”的邮件,扫码访问邮件中的二维码,并按照提示填写姓名、电话号码、银行卡号、验证码后,资金被盗刷。这些邮件使用的钓鱼页面与虚假 ETC 短信钓鱼网站在界面、功能上相似,推测为同一个团伙或供应商。随着研究的深入,我们发现这些钓鱼网站背后
34、是位于缅北的黑灰产团伙,其开发了冒充工资补贴、ETC、社保、医保等钓鱼网站,并通过短信群发、邮箱群发等方式进行引流。鉴于此种引流方式大多使用*魔方工具进行数据清洗,我们将此类攻击行为统称为“缅北魔方”。同时本次发现的组织在钓鱼中使用的中转域名均为 site*.g*.r*,基于此将其命名为“缅北魔方 G”组织。一、“缅北魔方 G”攻防特点 通过邮件中涉及的钓鱼域名来看,其主要是通过 Cname 的方式解析至 site01.g*.r*。根据域名的上线时间,我们发现诈骗团伙十分谨慎,域名在传播前才上线,从而降低域名过早外露导致被拦截。site01.g*.r*共解析至 18 个中国某地区服务器,最早解
35、析时间为 2021年 12 月,最近解析时间为 2022 年 5 月,说明该黑产团伙从 2021 年 12 月已开始实施攻击行为,随后在引起广泛关注后下线域名。Cname 至 site01.g*.r*的域名达 500+,其域名后缀主要为 xyz、uno、fun、love、ws、loan 等,其中 xyz、uho 的域名使用的最多达 400+,并生成不同的钓鱼子域名,如冒充 ETC、冒充国家医疗保障局。2022 年度中国手机安全状况报告 15 图 14 冒充国家医疗保障局钓鱼网站界面 通过 g*.r*域名解析记录来看,其 2022 年使用的子域名过百个,使用的服务器 IP 超过10 个,域名服务
36、器分布在阿根廷、美国等地。其中可能用于做域名解析跳转的子域名共 9个,其特点是子域名为 site*,IP 均指向中国某地区。从攻防手段来看,“缅北魔方”组织,使用了多级域名轮换进行域名防护和隐藏自身,但相较于缅北其他的诈骗组织使用的攻防手段,缺少了使用 CDN 对服务器 IP 的保护。从目前掌握的情报来看,推测“缅北魔方”组织通过搜索引擎、商业信息服务平台批量检索并爬取了大量的企业邮箱。由于这些企业邮箱的特点是公网可以访问,其盗取到财务的邮箱密码后,冒充财务向企业内部发送钓鱼邮件。目前被攻击的企业类型可能涉及通讯、保险、餐饮、纺织、可再生能源、大学、住宅物业等多个行业。二、二、钓鱼邮件攻击路径
37、分析钓鱼邮件攻击路径分析 从目前钓鱼邮件的攻击手法来看,其主要是先向某些员工(特别是财务人员)发送含钓鱼网址的钓鱼邮件,通过伪装的网站页面,引导该员工在页面中填写邮箱账号和密码,进而利用该员工的邮箱向企业内部群发钓鱼邮件。但这里会存在一种情况,如果企业限制内部邮2022 年度中国手机安全状况报告 16 箱非公网访问,仅仅掌握到邮箱密码,可能连邮箱的登录页面都进不去,故黑产会优先选择公网类邮箱进行攻击。从钓鱼邮件的攻防手段来看,网址是以二维码形式展示的,意味着大部分受害人会使用社交 APP、手机浏览器进行扫描访问,而目前除了主打浏览器安全防护拦截的厂商外,大多数厂商手机侧网址拦截能力均较弱。同时
38、该二维码中的域名进行了 UA 检测,如果是非手机端访问,将不显示内容,并提示使用手机访问,增加了网址的识别及收录难度。若事前收录了某钓鱼页面,但由于其使用了多级跳转、子域名轮换、框架嵌套等技术,很难及时识别并拦截。2022 年度中国手机安全状况报告 17 第四篇 电信网络诈骗案例 第一章、最新消息!暴雷 P2P 可以退款了?近日,有不法网站假冒银保监会等金融监管部门,发布带有“银保监会认证”“中国银保监会”等不实信息内容,并以“官方回款”“清退回款”等名义实施诈骗。用户是某信贷平台的出借人员,但平台 3 年没回款。于是网上搜素“xx 信贷最新消息”的过程中,看到了相关公告类页面,该公告表示,鉴
39、于用户是对方忠实的投资用户,邀请用户加群进行本息补偿服务。用户添加指定的 QQ 群后,向群管理员提供了“本息截图”、“平台注册手机号”,随后对方向用户介绍了回款方案,即在指定的 APP 内进行充值操作。用户在指定的 APP 内充值 3772 元后,对方引导其联系“规划师”进行回款操作。随即“规划师”表示,回款需要用户在回款周期内,在该款指定的 APP 内购买虚拟货币,用户购买首笔亏损 10 元后,申请退出被拒,发觉被骗。专家解读专家解读 此类诈骗中,不法分子常常以“官方回款”“清退回款”名义欺骗群众,如 P2P 清退、教育清退,编造“成功案例”,利用消费者急于回款、挽回损失等心理,以达到骗取资
40、金的最终目的。在 P2P 清退诈骗场景中,诈骗人员事前伪装了大量的 P2P 清退网页或信息,引导受害人主动关注,快速筛选目标用户。在自媒体时代,普通用户可以在媒体平台注册发帖,即诈骗分子可以在大量的媒体平台发布文章,由于平台的权威性,极易让用户误以为消息的真实性。安全提示安全提示 针对 P2P 网贷机构出借人的“回款”诈骗、“官方回款”诈骗以及“虚假投资理财”“虚假网络贷款”“解债上岸”“代理退保”“白条代偿”“银行直存”等,均是利用消费者急于解困、急于挽回损失等心理特点,侵害消费者信息安全、财产安全,造成消费者财产损失,消费者要谨防“回款”类诈骗侵害。第二章、小心!网络代买“冰墩墩”骗局:有
41、人花上百元收到的竟是“耳环”被北京冬奥会带火的吉祥物“冰墩墩”,集万千宠爱于一身,成为“一墩难求”的爆款,线下店买不到,线上也售罄,这时有人告诉你,他手里有“冰墩墩”,想要吗?2022 年度中国手机安全状况报告 18 2022 年 2 月,用户在短视频平台发现有用户售卖冰墩墩,与对方沟通后便添加对方的某信。双方确认商品价格、商品数量后,用户通过某信扫码的方式向对方支付商品费。对方收款后对方向用户提供了快递单号,但用户收到货后,发现商品并不是冰墩墩,而是一对耳环,准备询问对方原因时,发现已无法联系上对方,得知受骗。图 15 引导用户转账界面 专家解读专家解读 “冰墩墩”的火热,吸引了大量买家的关
42、注,但由于购买人数多,造成货源不足。不法分子便利用此种现状,以掌握货源为由,向用户兜售“冰墩墩”,但官方都缺货的商品,他却“有货”,这本身就是自相矛盾的事情。安全提示安全提示 切勿从陌生人处购买“冰墩墩”谨防诈骗;此外,也不要从“黄牛”手中高价购买特许商品,不要相信价格炒作跟风盲目购买,要理性消费,不让骗子有机可乘。第三章、那一晚我们赤诚相见,你却用我的照片敲诈我 2022 年 3 月,用户在境外某聊天软件中认识了好友,以为其是性情中人,在与其聊天的过程中,被对方诱导进行裸聊,裸聊之前对方要求用户安装名为“爱*”的 APP 进行远程操作。用户根据对方提供的网址下载安装了“爱*”,输入指定的邀请
43、码完成了应用注册。双方裸2022 年度中国手机安全状况报告 19 聊后,对方以掌握用户的裸聊画面、手机通讯录为由,对用户进行敲诈勒索,用户按照对方的要求向对方转账 1.2 万元后,对方仍要求用户转账 11 万元,用户发觉即使转账也无法解决事情后,便不再向对方转账。图 16 引导用户安装裸聊敲诈 APP 专家解读专家解读 用户被引导安装的“爱*”应用,其本质是一个窃取用户通讯录信息的恶意程序,不法分子通过色情诱惑的方式引导受害人安装,在双方裸聊后,以将受害人的裸照群发给通讯录好友为由进行敲诈勒索。安全提示安全提示 网络交易需谨慎,主动提供色情视频聊天的,多半为诈骗分子的套路,不要随意点开陌生人发
44、来的链接,更不要下载来源不明的 APP。第四章、注销贷款变成“申请贷款”用户收到冒充某电商平台人员的固定电话,对方描述“用户的电商平台账户涉嫌绑定多2022 年度中国手机安全状况报告 20 个网贷信息,违反国家的政策,需要解除相关贷款信息,恢复用户的征信”,随后引导用户使用指定的账号、密码登录指定的会议类应用进行解除操作,用户通过会议应用的屏幕共享功能,按照对方的要求,在多个贷款平台申请贷款,将所贷资金依次转入转账描述的“回款”账号,对方描述该账户收到资金后,进行校验后会自动返还原付款账户完成征信恢复,用户累计转账达 8 万余元,后发现受骗。图 17 云会议界面截图 专家解读专家解读 在诈骗场
45、景中,诈骗分子首先通过固话与受害人沟通,相较于传统的国际来电,固定电话的迷惑性较高,不易引起警觉,随后报出用户的信息取得初步信任。取得用户信任后,通过影响征信等话术,“恐吓”用户,进而引导用户在紧张的情绪下进入对方设定的陷进,同时通过会议类、远程协助类应用观察用户的手机屏幕,引导用户一步一步进行转账操纵,若用户不进行转账操作,则通过共享的屏幕窃取用户的转账交易密钥,实现资金盗刷。安全提示安全提示 诈骗分子通常冒充电商客服人员,以“影响征信”“注销账户”“调整利率”为由,威胁与诱导并举,引导受害人进行操作,最终以套取受害者网贷和现金为目的。凡遇到此类来电,务必通过官方渠道核实,如对方要求视频通话
46、或共享屏幕,应提高警惕。2022 年度中国手机安全状况报告 21 第五章、“杀猪盘”里没有爱情,只有诈骗 用户通过某聊天软件认识对方,随后对方以婚恋为由骗取用户信任,并称对方的亲戚在某头部互联网公司上班,有内部名额,可以投资赚钱。起初用户未参与该项目,但收到对方责怪“用户不为对方考虑”,随后用户安装对方指定的投资应用,并在该应用中购买理财项目,投资后却发现无法提现,联系该投资平台的客服,客服以“用户不是开发区域用户,被关闭取款通道和房间收益”为由,要求用户继续充值投资,用户发觉受骗。图 18 诈骗人员诱导受害人继续转账话术 专家解读专家解读 在诈骗场景中,诈骗分子通过交友的方式,以掌握快速赚钱
47、秘籍为由,引导用户在指定的平台的进行投注,前期为增加用户信任度,给予小额返现,随着投注金额的增大,拒绝用户提现,并持续要求用户继续投注。安全提示安全提示 网络世界虚虚实实、真真假假,网络交友一定要有戒心,不要过度透漏自己信息,以免给对方留有可乘之机,落入对方圈套。在网聊交友中一旦触及投资、购物、借钱、转账等关键词就要立即进行自我警示,在没有真正确定对方身份及用意时,切勿进行钱款操作。2022 年度中国手机安全状况报告 22 第五篇 反电信网络诈骗行业动态 第一章、政策法规颁布 一、中共中央办公厅 国务院办公厅印发关于加强打击治理电信网络诈骗违法犯罪工作的意见 近日,中共中央办公厅、国务院办公厅
48、印发了关于加强打击治理电信网络诈骗违法犯罪工作的意见(以下简称意见),对加强打击治理电信网络诈骗违法犯罪工作作出安排部署。意见强调,要坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻党的十九大和十九届历次全会精神,坚持以人民为中心,统筹发展和安全,强化系统观念、法治思维,坚持严厉打击、依法办案,实现法律效果与社会效果有机统一,坚持打防结合、防范为先,强化预警劝阻,加强宣传教育,坚持科技支撑、强化反制,运用科技信息化手段提升技术反制能力,坚持源头治理、综合治理,加强行业监管,强化属地管控,坚持广泛动员、群防群治,发动群众力量,汇聚群众智慧,坚决遏制电信网络诈骗违法犯罪多发高发态势,提升社会
49、治理水平,使人民获得感、幸福感、安全感更加充实、更有保障、更可持续,为建设更高水平的平安中国、法治中国作出贡献。意见要求,要依法严厉打击电信网络诈骗违法犯罪。坚持依法从严惩处,形成打击合力,提升打击效能;坚持全链条纵深打击,依法打击电信网络诈骗以及上下游关联违法犯罪;健全涉诈资金查处机制,最大限度追赃挽损;进一步强化法律支撑,为实现全链条打击、一体化治理提供法治保障;加强国际执法司法合作,积极推动涉诈在逃人员通缉、引渡、遣返工作。意见要求,要构建严密防范体系。强化技术反制,建立对涉诈网站、APP 及诈骗电话、诈骗短消息处置机制;强化预警劝阻,不断提升预警信息监测发现能力,及时发现潜在受害群众,
50、采取劝阻措施;强化宣传教育,建立全方位、广覆盖的反诈宣传教育体系,开展防范电信网络诈骗违法犯罪知识进社区、进农村、进家庭、进学校、进企业活动,形成全社会反诈的浓厚氛围。意见要求,要加强行业监管源头治理。建立健全行业安全评估和准入制度;加强金融行业监管,及时发现、管控新型洗钱通道;加强电信行业监管,严格落实电话用户实名制;2022 年度中国手机安全状况报告 23 加强互联网行业监管;完善责任追究制度,建立健全行业主管部门、企业、用户三级责任制;建立健全信用惩戒制度,将电信网络诈骗及关联违法犯罪人员纳入严重失信主体名单。意见还要求,要强化属地管控综合治理,加强犯罪源头地综合整治。意见 强调,各级党