伪基站“钓鱼”成信息安全重灾区 受害人银行钱消失
试想一下,你正在和朋友吃着饭,你手中银行卡里的存款却不翼而飞;你在购物网站的网页上输入信息时,这个看似“正规”的网页实际上是犯罪分子为了窃取你密码而精心设计的陷阱;你在手机上点开的很多链接,都是可以拦截到支付校验码的木马程序。
伪基站钓鱼一直以来都是导致金融巨额损失的重灾区,即使在法律和技术进行安全管控的情况下,形势也变得越来越严峻。《经济参考报》记者获悉,“中国互联网网络安全威胁治理联盟”成员之一的白帽会在2016年3月份针对金融领域的伪基站钓鱼的黑色产业链进行调研,其追踪到的1947个钓鱼网站,截获了超过50000个金融客户的账号,去重后有超过19000受害用户信息,账号主要覆盖工商银行、建设银行、农业银行、邮政储蓄银行、中国银行以及其他城商行,保守估计受害金额达2亿元,其中单个用户最大金额超过100万元。
这仅仅是冰山一角。记者调研发现,一条围绕伪基站钓鱼的黑色产业链条正在形成,并通过严密的组织和流程获取金融用户的账号信息(银行卡账号、密码、身份证号等),进而进行大批量金额的转出,成为影响网络安全的一颗毒瘤。
360互联网中心安全专家刘洋透露,即便是手法最简单的网络诈骗,也至少需要10人的犯罪团伙。
从开发制作、批发零售到诈骗实施、分赃销赃,网络诈骗可划分出钓鱼编辑、木马开发、盗库黑客、电话诈骗经理、短信群发商、在线推广技师、财务会计师等15个不同工种,他们分工明确、协同作案,形成了完整的网络诈骗地下产业链。初步统计,网络诈骗从业者至少有160万人,“年产值”可能超过1100亿元,已成为继赌博和色情产业之后的中国第三大黑色产业。
白帽汇首席安全官邓焕向《经济参考报》记者揭秘了这一隐蔽的产业链条:第一步是搭建网站。市面上搭建一个完整的钓鱼网站价格也就在1000元到1500元,因为打击力度很大,通常域名的存活周期非常短,一般有效周期为1-7天,基本是打一枪换一个地方;第二步是木马制作。由程序开发人员进行开发后,以几千元不等的价格将源码卖给下级代理进行二次开发出售(根据各大杀毒库的更新情况制作“免杀”)以每周2000元的价格出售;第三步,伪基站发送钓鱼短信主要靠线下交易,包吃包住包油钱、以每小时500元左右为酬劳或以合作分成的方式,让有伪基站设备的人带着伪基站游走在繁华的街区,进行大范围的撒网(发送钓鱼网站)。
邓焕说,一旦收集到的信息到达一定规模,就可以实施整个链条中最为重要的环节——“出料”和“洗料”。将钓鱼网站后台收到的数据进行筛选整理,比如利用各个银行的在线快捷支付功能情况查余额,看看是否可以直接消费进行转账或第三方支付进行消费等,并把自己无法消费的余额部分出售。
“国内对各类混乱的支付渠道缺乏有效安全监督,窃取用户姓名、证件号码、银行卡号、银行密码、手机密码后,黑产团伙一般通过银行、商户、第三方支付等渠道将用户卡中资金转走。”邓焕说,变现方式也是花样百出,一般开通快捷支付充值水电、话费、游戏币或者利用其他存在第三方支付转账接口和银行快捷支付漏洞等,将“四大件”变成现金后通过各种规避追查的手段与合伙人按比例分账,日均可以赚取10万元以上。
中国互联网协会《中国互联网站发展状况及其安全报告(2015)》显示,共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面,仿冒页面数量较2013年增长2.1倍。虽然各部门都在配合打击钓鱼欺诈类网站,但是越来越多的黑产团伙,开始利用频繁更改域名,租用境外服务器等手段躲过有关机构的监管拦截,导致钓鱼欺诈现象屡禁不止。相关监控数据显示,每天都有大量新增的钓鱼网站上线,这些钓鱼网站时效性短,部署搭建容易,成本低廉。保守估计,中国金融领域每年遭受伪基站钓鱼攻击导致的金额损失高达100亿元。
360互联网安全中心发布的《2015年中国网站安全报告》数据显示,2015年中国最大的漏洞响应平台补天平台共收录了1410个可能造成网站上的个人信息泄露的漏洞,涉及网站1282个,可能导致泄露的个人信息量高达55.3亿条。
专家建议,鉴于目前网络诈骗仍然呈现高发态势,个人也要加强对自己信息安全的保护。特别是在输入个人重要信息时要仔细甄别网站的域名,在日常使用手机时,不随意登录不明WiFi,不打开不明短信中的链接,不下载不明软件;PC和电脑中安装安全软件,及时查杀木马病毒软件,拦截钓鱼链接;一旦发现受骗,要立即向公安机关和猎网平台报案。
【编辑:】