时时勤拂拭,勿使惹尘埃

TOC

Categories

综合报告(七)Dark Mobile Bank之钓鱼篇


(2017年2月13日发布于AVLTeam blog 《Dark Mobile Bank之钓鱼篇》,另外Dark Mobile Bank系列还有另外两篇,针对移动银行和金融支付的持续黑产行动披露——DarkMobileBank跟踪分析报告Dark Mobile Bank之移动银行应用仿冒攻击威胁分析报告,不过都只参与了部分,故也不搬了)

一、威胁趋势

在信息安全链条中,技术、管理等因素极大威胁着信息安全,而人为因素则是其中最为薄弱的一个环节。正是基于这一点,越来越多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。
网络钓鱼是社会工程学的一种形式,也是信息安全威胁中最久远、最常见的一种攻击方式。网络钓鱼历史悠久,其主要发展历程可以归纳如下:
  • 网钓技术最早于1987年问世
  • 首次使用“网钓”(phishing)这个术语是在1996年。该词是英文单词钓鱼(fishing)的变种之一,大概是受到“飞客”(phreaking)一词的影响,意味着放钱钓鱼以“钓”取受害人财务数据和密码
  • 2000年,通讯信息诈骗由台湾从沿海逐渐向内地发展,并迅速在国内发展蔓延
  • 2002年,著名黑客凯文·米特尼克推出一本关于社会工程学的畅销书,名为《欺骗的艺术》(The Art of Deception)
  • 2004年1月26日,美国联邦贸易委员会提交了涉嫌网钓者的第一次起诉
  • 2012年9月,中国首例入刑的“伪基站”案件出现
  • 2013年5月,短信拦截木马利用伪基站传播开始在全国范围内爆发
  • 2016年8月,罗庄徐玉玉通讯信息诈骗猝死案发生,引发社会关注
在电商购物、移动支付盛行的今天,网络钓鱼也发生了新的变化,不仅有传统的网站欺骗,还发展出移动平台钓鱼的新方式。相对于传统诈骗,移动平台的钓鱼手段更加恶劣,带来的经济损失也更为惨重。
作为移动威胁的一部分,移动钓鱼攻击已成为手机用户的重要威胁。经过三年多的发展变化,移动钓鱼攻击的技术及手段更加成熟。移动威胁最直接的受害群体是普通的个人用户,诈骗电话、钓鱼短信、手机病毒已经成为危害用户手机安全的主要威胁,其中针对个人用户的移动威胁当前主要是借助于伪基站钓鱼短信传播恶意代码;同时通讯信息诈骗犯罪持续高发,媒体也公开披露过多起致人死亡或涉案金额巨大的电话诈骗案件。
2016年,网站系统的脱库、撞库攻击频繁发生,各类信息及数据泄露的安全事件依旧层出不穷,且愈演愈烈。黑产之手已经延伸到普通百姓生活,用户的隐私和信息早已公然成为贩卖品,在黑市上肆无忌惮地买卖。个人隐私数据经过地下产业链的贩卖渠道,最后形成了各种地下社工库,信息和数据泄露事件不断上升。
随着移动互联网的快速增长和发展,移动广告、游戏和各类 O2O平台的迅猛发展,加之移动互联网企业以及监管部门在应对企业业务欺诈上的投入和打击力度不足,移动互联网企业在类似“刷单”,“刷榜”,“刷流量”,“刷日活”等“薅羊毛”类的业务欺诈的风险会进一步增长和扩大。
可以预见的是,在之后数年移动网络安全依然不容乐观,隐私泄露和移动攻击的泛滥和融合还会进一步加深,带来欺诈泛滥成灾,导致网络攻击威胁泛滥并进一步的加深。

二、威胁分析

如今,“网络钓鱼”非法活动已经不局限于网络方式,还会结合通讯信息诈骗等方式进行辅助攻击。比如泛滥成灾的“垃圾短信”和”诈骗电话“。部分诈骗短信以急迫的口吻要求用户对虚有的已消费“商品”进行买单,或者以熟悉的朋友、亲人的身份来要求用户提供帐号和密码。严格地说,它们都属于“网络钓鱼”的范畴。 经过长期的发展,网络钓鱼的手段非常多并相当复杂。归纳起来,大致有以下八种:
在实际网络攻击过程中,以上攻击类型并不是独立存在,各自为营的,而是多种手段配合进行。
通常来说,我们将这8种攻击手段划分为两类,一类是传统钓鱼,包括钓鱼邮件、钓鱼网站、通讯信息诈骗、网购钓鱼;另一类是移动钓鱼,包括利用短信、恶意代码、WiFi钓鱼和针对iPhone手机钓鱼。接下来,我们将对这两类攻击手段进行详细分析。

2.1 传统钓鱼在移动平台更新迭代

传统的网络钓鱼攻击在PC时代就已经广泛流行,主要是通过电子邮件、钓鱼网站发送虚假广告等方式引诱用户提供身份证号、电话号码、网银账号、密码等敏感信息,另外还包括通讯信息诈骗、网上购物钓鱼等。随着移动互联网时代的到来,传统钓鱼也在新平台发生了新的变化。

2.1.1 钓鱼邮件表现萎靡

电子邮件出现在70年代,长久以来也早已成为诈骗者和黑产从业人员渗透人们生活和工作的利器,给个人甚至组织机构都造成了严重的安全威胁。大致来说,钓鱼邮件可以分为以下三个类别:链接钓鱼邮件、附件钓鱼邮件和仿冒邮件。
1、 链接钓鱼邮件
链接钓鱼邮件多以嵌入钓鱼链接的欺诈邮件引诱用户,如黑客发送大量欺诈性邮件,以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码。
2、 附件钓鱼邮件
附件钓鱼邮件会诱导收信人下载带有病毒的附件,附件类型包括Html网页文件、Exe/Scr文件、Doc文件、Excel文件、PDF文件等。在大量披露的APT攻击中,攻击者经常使用含有漏洞利用代码的Office、PDF文档作为攻击载荷对目标进行钓鱼攻击。
3、 仿冒邮件
40多年前,电子邮件创造之初,设计和协议使用上并没有考虑安全性,没有制作任何验证用户身份真实性的措施,只要稍作处理,发件人就可以伪装成任何身份给任何人发送邮件,因此邮件很容易被冒充或仿冒,这类邮件也是识别难度、追踪难度最高的邮件钓鱼攻击方式。
如今,一方面由于电子邮件太过古老,落后的技术和不适宜的用户体验使其正面临大量普通用户的丧失;另一方面,在移动时代里随着社交工具的流行,电子邮件也已经失去了其赖以生存的天然土壤,因此传统的邮件钓鱼在移动平台整体表现萎靡。

2.1.2 网站钓鱼结合伪基站成为重灾区

在当前我国的互联网环境下,传统钓鱼网站最常见的攻击方法有两种:一种是假冒中奖的钓鱼网站,主要特征是以中奖为诱饵,欺骗用户汇款或诱导用户填写真实的身份信息和账号信息等;另一种则是假冒网上银行、网上证券网站等,诱导用户登录并输入账号密码等信息,进而通过真正的网上银行、网上证券系统等盗取资金。
随着移动时代的到来,以及媒体对恶意钓鱼攻击的持续报道,传统的钓鱼攻击逐渐被网民熟识,简单的信息诱骗和相似网站内容的欺骗已经很难成功实现钓鱼攻击了。在这种情形下,攻击者使用钓鱼攻击的手法也发生了演变,最明显地是出现了大量的适配手机界面的钓鱼网站。下图为建设银行、招商银行和工商银行的手机钓鱼网站界面,无论从内容上还是形式上都与正规银行网站极为相似。
此外,针对移动平台的网站钓鱼也由原来的简单信息欺骗、中奖诱惑等单一性的钓鱼欺诈,转变为目前流行的伪基站传播钓鱼网站挂马的形式。这类钓鱼网站利用伪基站仿冒官方短信号码如10086、95533传播钓鱼网站,用户往往无法判断出短信的真伪,从而点击访问钓鱼网站,而网站通常都是高仿官网页面,主要用于诱导用户下载仿冒的客户端应用程序。
在此类攻击中,银行网站一直是钓鱼网站的重灾区。为有效对抗钓鱼网站,中国电信云堤和安天实验室长期以来对互联网络的钓鱼站点进行了持续监控。下图展示了2016年钓鱼网站数量的变化情况。
其中,2016年仿冒应用Top10 如下图所示:
从图中可以看出,受影响程度占比最重的部分均为国内知名度很高、用户范围广泛的大型银行和运营商,也都是伪基站经常仿冒身份传播的钓鱼网站内容。

2.1.3 通讯信息诈骗持续升温

2016年通讯信息诈骗案件呈持续高发态势,比如震惊社会的徐玉玉通讯信息诈骗案、清华老师被诈骗1760万等案件,其资金损失数额巨大,甚至伤及人命。因此通讯信息诈骗引发了社会各界的广泛关注。
通讯信息诈骗大部分为广撒网钓鱼,成功概率低,但由于人数基数大,总有人上当。但是当攻击者掌握了受害者的真实信息,如姓名、公司的职位、邮箱、银行账户等重要隐私信息,这在一定程度上大大提高了钓鱼攻击的成功率。
攻击手段上,“情景构建”类钓鱼攻击在最近几年比较流行。例如“明天到我办公室来一趟”或”钱打我这个账号上“;又如最近爆发的徐玉玉案。这种“场景构建”的前提是需要获取受害人一定的事实信息。精细化攻击通常需要预备好特定的攻击剧本,同时也需要一定的运气,最典型的场景就是谎称公安、检察院、法院工作人员实施诈骗。
随着移动互联网的高速发展,通讯信息诈骗手段也随之发生了相应的变化。 AVL Team就曾披露过一系列结合Android恶意代码的通讯信息诈骗攻击,该攻击通过在受害者手机上显示一张伪造的最高人民检察院发布的电子凭证,恐吓受害者因涉嫌犯罪需要接受调查,如下图所示。
防范意识薄弱的受害者可能会直接相信对方,但即便被害人具备足够的防范意识,诈骗者依然有办法逼其就范,他们会劫持受害者手机的报警电话,在被害者拨打110确认时,电话那头依然是诈骗者,环环相扣,使受害者信以为真,最终落入攻击者圈套。下图为相关代码片段截图:

2.1.4 网购钓鱼重在隐私泄露

据CNNIC发布的第38次《中国互联网络发展状况统计报告》显示,截至2016年6月,我国网络购物用户规模达到4.48 亿。网络购物为快节奏的都市生活提供了极大的便利,但人们在享受这种便捷生活的同时,也面临着个人信息泄露以及相应的网购钓鱼攻击的风险。
早期攻击者常常利用虚假的购物信息进行诈骗,一般是通过在知名的大型购物网站上发布虚假的商品销售信息,并以所谓“超低价”、“免税”、“走私货”、“慈善义卖”等名义出售各种产品为由诱骗受害者掉进诈骗陷阱。由于网上交易大多是异地交易,需要线上汇款,攻击者一般要求消费者先付部分款项,再以各种理由诱骗消费者支付余款或者其他各类名目的款项,攻击者得到钱款或被识破,就立即销声匿迹。
随着网购的成熟,虚假信息诈骗已经难以有效实施攻击,取而代之的是大量的因隐私泄露而导致的网购诈骗,比如快递公司员工泄露用户姓名电话地址;黑客入侵快递公司数据库、破解卖家和买家常用账号密码、窃取大量用户消费交易记录等,此类用户重要隐私信息都会被攻击者用于实施网购钓鱼攻击。最为常见的网购诈骗案件通常发生在消费者网购付款成功后的一两天内,消费者会接到自称是网店客服的电话,称由于淘宝系统正在升级导致订单失效,需要先退款再购买,并能准确说出消费者购买的商品名称、收货地址、电话以及所有订单信息。由于诈骗者所述信息准确,消费者通常不会怀疑,并会打开对方发来的伪造的退款链接,并按提示输入银行卡号、密码、手机号及短信验证码等信息,最终导致资金被盗。

2.2 移动钓鱼数量持续攀升

由于移动平台的特殊性,移动终端的钓鱼方式也比传统钓鱼增加了一些新特征,其中最典型的就是攻击者通过伪基站伪装成10086等发送钓鱼短信,而移动平台的钓鱼数量也在持续攀升。

2.2.1 伪基站短信钓鱼爆发

通过短信发送钓鱼信息的攻击方式由来已久,手机用户以往只需要识别发送号码即可轻易防范。但自从伪基站攻击全面爆发后,攻击者可以使用伪基站伪装成任意号码如:任意银行的短信服务号来发送通知短信,这些号码具有极强的迷惑性,普通用户根本无法分辨,给用户带来了极大的安全威胁。
目前流行的伪基站都属于GSM协议,由于国内以GSM等协议为主要载体的用户群体数量仍然庞大。因此在短期内以伪基站为传播渠道、诈骗短信为载体的威胁仍将持续泛滥。
下图统计了2016年1月至12月钓鱼短信的类型分布。从中可以看到中奖诈骗类钓鱼攻击占比接近30%,其次则是恶意代码、银行钓鱼、澳门博彩、微商淘宝等占据大半,最后则是少量的社工诈骗和Apple ID钓鱼。
钓鱼短信攻击目标明确,攻击方式固定,简单来说,有以下几种类型:

2.2.2 利用恶意代码钓鱼是主力

随着Android和iOS系统的发展,攻击者利用恶意代码进行攻击已经成为移动钓鱼的主要威胁之一。

2.2.2.1 短信拦截木马持续发酵

短信拦截木马威胁从2013年开始爆发并持续发酵。到2015年,短信拦截木马类威胁事件数量呈现明显增长,到2016年开始呈现高速爆发的趋势,而在年中由于G20峰会等管制严格出现一段低谷,到2016年年底继续爆发。如下图所示:
近几年,短信拦截木马类威胁事件已经形成一套非常固定的攻击模式。
短信拦截木马攻击模式:
  • 主要通过伪基站投放伪装成商户、银行等号码发送的钓鱼欺诈短信;
  • 以短链接或者仿冒的网址诱骗受害者打开钓鱼网站;
  • 钓鱼网站诱骗受害者填写部分个人信息并窃取;
  • 诱导受害者下载安装木马程序;
  • 木马程序以发送短信或者发送邮件的方式窃取短信内容,并最终窃取受害者的在线金融资产。
关于短信拦截木马地下产业,AVL Team曾在《针对移动银行和金融支付的持续黑产行动披露——Dark Mobile Bank跟踪分析报告》中指出,短信拦截木马的威胁活动最早出现于2013年5月,进行了接近3年的持续有效的大规模威胁和攻击,涉及人员可能接近十万人规模,并形成了分工明确的产业体系。在过去接近3年的持续攻击中,短信拦截木马攻击影响范围在1亿人以上,其中累积超过100万用户不幸被感染和控制,地下产业链的整体规模应该在接近百亿的规模,影响的资产危害面接近千亿规模。
具体来说,拦截木马总体威胁如图所示:

2.2.2.2 仿冒已成恶意代码标配

为了提高欺诈和钓鱼攻击的成功率,攻击者采用了大量的伪装和仿冒技术,通过仿冒正版的钓鱼移动应用程序,进而截获、捕捉用户输入数据,非法入侵用户互联网账户系统。
攻击者开发的仿冒APP主要伪装成农业银行、建设银行、招商银行、交通银行、工商银行等银行名称或图标,其中还有一部分木马程序会直接伪装成银联安全证书或者银行控件的应用名称。
根据移动威胁情报平台应用数据,通过检索仿冒“银行”程序名的恶意应用发现,自12月份以来,感染用户达到1546人。统计仿冒的银行应用程序名TOP10如下:
该类攻击手段通常为直接仿冒应用登陆界面窃取银行账户数据,和通过劫持登陆界面窃取银行账户数据两种方式。
相对于单纯的仿冒银行应用界面来说,通过劫持登陆窗口的方式目的性更强。劫持登录窗口主要是通过攻击银行应用来窃取银行账户数据。在界面仿冒上多以HTML来布局,这种攻击手段更加灵活隐蔽(该攻击手段适用于:安卓系统版本低于5.0)。

2.2.2.3 利用漏洞欺诈难以防范

攻击者通过利用系统漏洞的恶意代码也可以导致钓鱼欺诈。
比如2012年北卡罗来纳州州立大学研究员发现了一个存在于Android 平台的“短信欺诈”漏洞,该漏洞可以允许应用在Android平台上进行短信伪装。通过利用该漏洞,攻击者可以私自篡改短信内容并实施诈骗。该漏洞对Android 4.1以下版本均有影响,由于短信欺诈漏洞属于Android系统漏洞,几乎影响了所有其他三方手机厂商。
相对Android系统漏洞来说,大量存在漏洞的APP也会导致用户遭受钓鱼攻击,如APP如果没有做防钓鱼劫持措施,此APP就会被攻击者利用,通过劫持应用程序的登录界面,获取用户的账号和密码,导致用户账号信息的泄露。
iOS平台同样存在此类风险。例如攻击者在未越狱的iPhone 6上进行钓鱼攻击并盗取Apple ID的密码,利用该漏洞恶意代码可以在其他应用包括App Store中弹出来伪造的与正规应用一模一样的登录框,所以用户很难察觉,用户会习惯性输入Apple ID的密码,最终导致帐号被盗。

2.2.2.4 移动APT攻击崛起

随着移动终端的智能化和普及,移动智能终端将更多地承载不同人群的工作和生活,更多的高价值信息都将附着于移动智能终端,移动平台也早已成为了APT攻击的重点目标。
APT,即高级持续性威胁,一般是国家间或国际公司间为了特定目标,由顶级黑客组织发起的持续攻击,鱼叉式钓鱼攻击是APT攻击者的首要攻击向量。鱼叉式网络钓鱼主要是向是公司内部的个人或团体发送看似真实的电子邮件。邮件附录多含有隐私窃取的恶意代码,甚至包含office、pdf等0day漏洞的利用。
2016年3月,多家安全厂商披露了一个以印度军方或政府人员为攻击目标的攻击组织,这个组织除了具备对PC平台的针对性攻击行为的能力,还发起了针对移动平台的攻击活动,使用了包括Android以及BlackBerry平台的攻击木马程序,并重点以收集和窃取攻击目标的身份信息和隐私数据为目的,此次针对移动平台的攻击采用结合社会工程学的钓鱼网站及仿冒APP挂马等方式进行攻击投放。
2016年8月Citizen Lab公布了一起名为“三叉戟”(Trident)的移动APT事件,报告称是对阿联酋人权活动人士进行的定向攻击,该工具由以色列公司NSO Group 开发并为政府所用,利用3 个iPhone 0day实现通过访问网页来完成攻击武器的植入和潜伏,可以有效刺破iOS的安全机制,抵达内核,完全控制手机,能在用户完全无法毫无察觉的情况下窃取设备上所有隐私数据。这是在移动平台最为典型的APT攻击事件,也是苹果历史上第一次公开披露的针对iOS的APT 0day攻击,而该攻击正是通过发送短信钓鱼引诱受害者访问某恶意站点进行攻击的。
2017年或将进入移动APT元年,移动APT由过去协同Cyber攻击逐渐转向独立前置性的攻击和前奏,基于移动军火商和改用商用间谍木马依旧会作为重点的攻击武器,移动APT会继续围绕监听和数据窃取为目的,针对高价值人群以及特殊行业的定向攻击开始真正崛起。

2.2.3 WiFi钓鱼影响扩大

2015年央视3.15晚会曝光了黑客如何在公共场所利用“钓鱼WiFi”窃取用户隐私数据,最终导致财产损失的黑幕。触目惊心的现场演示让许多人对公共WiFi上网安全产生恐慌,也让WiFi钓鱼这一攻击方式开始广为人知。
许多商家、机场等通常会为客户提供免费的WiFi接入服务,消费者通常也会为节省流量而接入其中。免费WiFi给消费者提供了便利,对于攻击者而言却是绝佳的攻击场景。其中最简单的攻击场景是提供一个名字与商家类似的免费WiFi接入点,吸引网民接入。一旦连接到黑客设定的WiFi热点,用户上网的所有数据包,都会经过黑客设备转发,这些信息会被截留下来分析,没有加密的通信数据就可以直接被查看。
除了使用免费WIFI钓鱼之外,攻击者还可以破解家用无线路由器,接手控制无线路由器管理后台,进而对家庭WiFi执行隐私监听、植入广告或恶意代码、网络劫持到钓鱼网站等攻击。
WiFi钓鱼属于中间人攻击,主要通过劫持受害者流量进行恶意行为。具体来说有以下几种:
  • 窃取隐私。通过黑客提供的WiFi上网时,用户上网的所有痕迹都会被监听,比如新闻、相册、浏览朋友圈、刷微博、逛淘宝等。
  • 网站劫持。攻击者可以将用户正在访问的网站劫持到精心构造的仿冒网站,从而获取用户提交的帐号密码等隐私信息,这种情况就极可能产生直接的经济损失。
  • 身份冒用。当受害者掉进WiFi陷阱后登录微博账号,攻击者可以直接劫持访问令牌,不需要得到帐号密码即可直接用受害者的身份登录微博,进而执行钓鱼攻击。
  • 流氓广告。攻击者劫持通信后,可以给受害者访问的所有网站植入广告。
  • 植入木马。攻击者劫持流量后,当用户下载安装app时,攻击者可将APP替换为精心构造的恶意代码,从而达到植入木马的目的。

2.2.4 iPhone钓鱼产业呈现

苹果用户的Apple ID是苹果全套服务的核心账户,贯穿于iCloud、iTunes Store、App Store等服务。其中iCloud是苹果的云服务,实时保证用户苹果设备上的文档、照片、联系人等资料同步;提供与朋友分享照片、日历、地理位置等的接口;还能用来找回丢失的iOS设备。故而针对iPhone的钓鱼攻击也基本都是围绕着Apple ID进行的。常见的iPhone钓鱼有以下几种情况:
  • 伪造Apple相关网站,通过伪基站等方式广泛发送钓鱼信息,进而窃取受害者的iCloud账号密码,最终远程锁定受害者设备进行勒索。
  • 用户iPhone丢失或被盗,流入二手市场,黑客从设备获取到用户iCloud账号和手机号码等信息,从而有目标的投放伪造Apple相关网站,钓鱼窃取用户的iCloud密码最终解锁用户设备。
  • 在获取到受害者的iCloud前提下,利用iOS的iMessage、日历推送、照片共享等功能给用户推送大量的垃圾信息或钓鱼信息。

2.2.4.1 iPhone勒索威胁加深

移动平台的勒索,主要分为Android平台的恶意代码勒索和iOS平台的iCloud钓鱼勒索,Android平台的勒索件通常表现为恶意锁屏和加密磁盘文件;而iOS平台的勒索则是基于Apple的iCloud账号进行的。
由于Apple的安全机制,当用户的Apple ID被盗取后,若其被盗取账户密码与邮箱密码一致,那么基本上就能很轻易的将受害者的设备锁上,被锁后通常只能联系苹果客服同时出示购买证明才有可能将其解锁还原,否则就只能乖乖地缴纳赎金,换取设备的解锁口令。
除了锁定勒索之外,还有如好莱坞女星iCloud被暴力破解后其上传至iCloud账户的艳照泄露而遭到勒索的案例发生。
以iCloud勒索攻击流程为例,其数据流转以及获利情况分析如下:
第一类是钓鱼网站开发者,通过向他人提供钓鱼网站服务器、服务器空间获利。
第二类是钓鱼网站使用者,他们通过钓鱼网站搭建自己的钓鱼平台,通过受害人发送钓鱼链接的方式,获取受害人苹果ID及密码,再将账户和密码出售给敲诈勒索人员获益。
第三类是敲诈勒索人员,该类人从钓鱼网站或者通过社工库撞库等方式获取到受害者ID密码后,登陆iCloud官网,远程锁定受害人使用的苹果设备,使其无法使用而敲诈勒索获利;
第四类是二手手机收购人员,此类人员自称二手机收购者,获取到丢失和被盗抢的手机后,通过钓鱼方式获取苹果ID账户密码而解锁设备,进行二次销售。

2.2.4.2 澳门博彩泛滥成灾

有不少iPhone用户都曾在日历以及照片共享中收到过一些莫名的垃圾广告,由于iOS的iMessage、日历推送、照片共享等分享功能可以在已知对方iCloud账号的前提下以几乎无成本的方式给用户推送信息,而这些都是常规功能,且都是默认开启的。因此催生了利用这些共享功能进行营销的黑产,其中最为典型的是澳门博彩,这类网站通常通过博彩获利或者其本身就是一个进行信息窃取或诈骗的钓鱼网站。
对于此类流氓推送信息,用户可以采取措施如下:
  • 修改iCloud邮箱为未泄露的全新邮箱
  • 设置—iCloud—日历—关闭日历同步
  • 设置—iCloud—照片—关闭iCloud照片共享

2.3 隐私泄露为钓鱼攻击重要帮凶

2016年针对网站系统的脱库、撞库攻击频繁发生,各类信息及数据泄露的安全事件依旧层出不穷,且越演越烈。个人信息泄露对社会生活的影响也通过“徐玉玉”事件让公众有了深刻的认识。而无论传统PC还是移动平台,隐私的大面积泄露,已经成为网络钓鱼威胁当中重要的帮凶和支撑性的环节。
由于用户隐私信息的重要性,大量地下产业从业者以此获利,而且形成了一条分工明确、操作专业的完整的利益链条。黑色产业链不仅完成了对数据的原始积累,更开始通过大数据计算等方式对数据进行加工和非法利用。
黑客非法获取用户隐私信息,然后会联系相关的培训机构或诈骗团伙,把手上的数据转卖到下游。这里面还有大量二道贩子的存在,在中间赚取差价。而下游这些团队,有专人负责诈骗的话术编写培训、线上通过第三方支付平台洗钱、线下ATM机提款等。
以下列举日常生活中最为常见的隐私泄露场景,无论个人用户还是相关企业、政府部门都应对此类情况有所防范:

2.3.1 防不胜防的被动泄露

1、恶意代码

移动平台恶意代码的主要行为,体现出恶意代码的趋利性。Android平台短信拦截木马的泛滥直接导致隐私窃取类的恶意代码数量增长明显,攻击者通过窃取用户银行账户、密码等重要隐私信息,最终给用户造成资金损失,并且大部分攻击在获得银行用户账户资料后,还会进行出售倒卖。而移动APT攻击更是围绕监听和数据窃取为目的,针对高价值人群以及特殊行业进行定向攻击。

2、购房信息

近年来,各类手机骚扰信息令用户不胜其烦,其中数量最多的是卖房、装修和房贷信息。 不少新房业主都应该有这样的经历,刚刚买房电话即被“打爆”,不胜其扰。
房产业主的信息很受一些投资公司、装修公司、房地产中介的“青睐”,且能接触到购房信息的工作人员有很多,从开发商、销售、银行、物业、中介、房管局、装修公司等每一个环节都可能造成泄露,可谓防不胜防。

3、教育机构

徐玉玉案件是教育机构的隐私泄露最为典型的案例,诈骗分子不但知道她的电话号码,还知道她要上大学、知道她获得了助学金。可以看出,诈骗分子掌握了受害者的精准信息,而这种“精准”正是源于个人信息的泄露。
个人信息泄露的渠道主要有三种:一是接触到数据的工作人员人为泄密,二是黑客入侵获取数据,三是提供服务的第三方获取数据后泄密。
通讯信息诈骗,“诈”出了相关部门和电信运营商的监管漏洞,也“诈”出了个人信息泄露问题。防范通讯信息诈骗要根除其背后的黑色链条,一方面要加强对通讯信息诈骗行为的监管与追责,另一方面要整治个人信息泄露及倒卖行为。

4、网购

电商平台,一直是数据泄漏的重灾区之一。
2014年年初,支付宝被爆20G用户资料泄漏。后经调查,此次泄漏是“内部作案”:支付宝前技术员工李某,利用职务之便,多次在公司后台下载用户资料。这20G资料,包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等,相当精准。
2015年,京东就被曝出大量用户隐私信息泄露,多名用户被骗走数额不等的钱财,总损失达数百万。直到一年后,京东才公布调查结果,称是因为出现“内鬼”。所谓的“内鬼”,是3位物流人员,通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。
不久前,黑市又曾出现疑似京东12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。

5、其他三方网站APP

2015年2月,国外媒体披露,优步(Uber)5万名司机的个人信息被不知名的第三方人士获取,包括社保码、司机相片、车辆登记号等信息;4月,遍布19个省份的社保系统相关信息泄露达5279.4万条,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息;9月,部分支付宝用户发现帐号异地登陆,实为撞库所致,虽然支付宝对资金有保护,但依然给用户造成困扰;10月,网易邮箱的泄露,导致大量iPhone用户遭到远程锁定勒索的威胁。
数据的泄露往往很难确认是“内鬼”还是“黑客盗取”,不论是内鬼作祟还是黑客攻击,无非都是利益驱动。这些泄露的数据,最终以各种方式,成为不法分子获利的工具。
对于电商或其他三方平台而言,加强内部管理、检测修补系统漏洞防范黑客攻击、及时止损并提醒用户修改账号密码以避免用户再次受伤,保护用户隐私信息任重而道。

2.3.2 社交过程中主动泄露

不少“重度社交网站”用户,往往都喜欢在微博、朋友圈等发各种照片,这也会暴露种种隐私信息、人际关系、时间地点等。
在美剧《疑犯追踪》中,有一个名为“Machine”的系统,“Machine”通过收集整理来自社交网站信息、政府部门里的个人身份信息、遍布全国的视频公用和私人摄像头的监控录像、电话的信息,以找到恐怖袭击嫌疑人,并在其行动之前将其抓获破解。其中社交网络是其获取信息的重要来源之一。
虽然目前来说,“Machine”还算是科幻设备。但是它所涉及到的技术其实都已可以实现,如人工智能技术、大规模数据处理、图像识别技术等等。
You are being watched,在这个早已没有隐私的时代,尽量减少一点对个人隐私的泄露也是一种自我保护。

三、应对建议

近年来,随着钓鱼攻击的手段日益复杂,事件持续高发,让广大企业和许多受骗者蒙受了巨大损失,严重影响人民群众财产安全感。
从建立23个部门和单位参加的部际联席会议,到健全涉通讯信息诈骗犯罪侦查工作机制;从深化跨境跨区域警务合作,到建立电话通报阻断及被钓鱼资金快速止付机制。可以说反钓鱼、防诈骗已成为各级政府和企业在安全领域的重点工作之一。作为反钓鱼技术研发与服务提供商,中国电信云堤与安天移动安全针对国家监管机构、运营商、银行和公众用户在应对钓鱼风险时,提出如下建议:

3.1 监管机构

  1. 国家和行业“反钓鱼、防诈骗”监管机构部牵头组织相关单位与“中国反钓鱼网站联盟”的互动对接和信息共享机制。实现官方“打钓” 与非官方“打钓”的优势互补,达到快速、及时的效果。
  2. 集中整治用于非法采集银行卡信息的钓鱼网站、恶意程序(APP),对拒不整改或者违法情节严重的互联网站,依法吊销相关电信经营许可或注销网站备案。
  3. 加强运营商、金融机构等行业、企业与公安机关的合作联动,在行业监管部门的统一指挥下,坚持技术手段、规范管理与防诈骗宣传三位一体,多措并举,持续深入开展防范打击通讯信息诈骗工作,为维护客户的合法权益作出贡献。
  4. 完善网络法律法规打击网络钓鱼犯罪,并大力宣传有关互联网方面的法律法规,培养公众用户的法制观念,提高防范意识,不给钓鱼网站的建立制造便利。

3.2 运营商

  1. 进一步落实实名制、特服号码的严格管理、网络异常预警等措施。同时,加快移动通信基站的升级,加速4G网络的普及,在用户通信信道上彻底规避2G伪基站的侵扰。
  2. 从网络层面增强对威胁寄生渠道的监测和阻断,建立并完善恶意代码监测及拦截,通过域名甄别、网络数据分析等技术手段在DNS入口和网络侧及时切断钓鱼网站的访问,并对公众用户提供有关通信信息诈骗的及时预警,降低网络钓鱼的成功率,有效打击网络诈骗行为。
  3. 通过深度的网络数据分析挖掘,为金融企业实施精准风控提供有益输入。

3.3 银行金融机构

  1. 识别可疑账号,依法关停一批发布银行卡信息非法买卖交易的网站和网络账号,清理网上非法买卖银行卡信息的有害信息。
  2. 加强在线支付认证安全,研发新的认证方式,避免因手机短信动态密码被恶意代码泄露而导致用户资产损失。
  3. 及时鉴别诈骗行为,为客户的资金安全设置防骗门槛。当不同地方银行账号短时间内向同一银行账号密集汇款时,及时弹出提示预警框,提醒客户防诈骗甚至中止转账汇款,并引导客户向有关部门查询核实。
  4. 加强社会公众安全使用银行卡的宣传教育,实现银行卡风险宣传教育的常态化和持续化。

3.4 消费者

当前,在面对钓鱼等社会工程学入侵时,作为消费者的公众用户的防御手段和防护意识都相对单一和薄弱。要想避免成为钓鱼诈骗的受害者,一定要加强安全防范意识,提高安全防范技术水平,首先在提高防范意识方面:
在受钓鱼网站欺骗后要第一时间报警,任何攻击的手段都会留下蛛丝马迹,及早报案,是保护自己权益的最好手段。
提高安全意识,养成良好安全习惯,同时建立安全的密码管理体系,避免因短板移动威胁造成大规模资金损失的情况。
提高对移动安全事件的关注度和敏感度,对与个人关联的事件进行紧急响应,做好事后止损的工作。
另外,在防范措施方面公众用户应重点关注几个方面:

1.防范垃圾邮件:

  • 通常情况下,任何政府、企业都不会以邮件或者链接方式让用户提供用户名和密码;
  • 钓鱼邮件里提供的链接地址域名需注意甄别;
  • 不随意打开不明来源的邮件附件和点击邮件正文中的可疑网址链接,不要随意打开内容可疑的邮件附件(Word/PDF/zip/rar等)

2.防范wifi钓鱼:

  • 在不使用WiFi连接时,关闭手机无线网卡。
  • 在访问或者使用带有交易性质的网银或电商应用时,应尽量使用运营商提供的2G、3G、4G数据上网,避免使用公共WiFi,不在公共WiFi环境下载安全软件。
  • 安装手机安全软件,拦截可能的手机病毒和钓鱼网站攻击。

3.安装防病毒系统和网络防火墙系统:

  • 多数反病毒软件都具有对包括间谍软件、木马程序的查杀功能
  • 防火墙系统监视着系统的网络连接,能够杜绝部分攻击意图并及时报警提醒用户注意

4.及时给操作系统和应用系统打补丁,避免黑客利用漏洞人侵电脑,减少潜在威胁。

5.从主观意识上提高警惕性,提高自身的安全技术:

  • 要注意核对网址的真实性,注意网站域名以及https等信息
  • 要养成良好的使用习惯,不要轻易访问陌生网站、黄色网站和有黑客嫌疑的网站
  • 拒绝下载安装不明来历的软件
  • 拒绝可疑的邮件
  • 网购时及时退出交易程序,做好交易记录及时核对等等。

参考URL

  • http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201608/P020160803367337470363.pdf
  • http://www.freebuf.com/vuls/78595.html
  • http://blog.trendmicro.com/trendlabs-security-intelligence/operation-c-major-actors-also-used-android-blackberry-mobile-spyware-targets/
  • https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
  • http://blog.avlsec.com/2016/04/3006/darkmobilebank/

0 评论:

发表评论