編者按：本文摘自《白帽匯針對金融領(lǐng)域偽基站釣魚黑產(chǎn)的分析報告》，北京白帽匯科技有限公司出品

偽基站釣魚一直以來都是導(dǎo)致金融巨額損失的重災(zāi)區(qū)，即使在法律和技術(shù)進(jìn)行安全管控的情況下，形勢也變得越來越嚴(yán)峻。

黑產(chǎn)（黑色地下產(chǎn)業(yè)的簡稱）會通過嚴(yán)密的組織和流程獲取金融用戶的賬號信息（銀行卡賬號、密碼、身份證號、CVV信用卡驗證碼等），進(jìn)而進(jìn)行大批量金額的轉(zhuǎn)出。

根據(jù)《中國互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報告（2015）》顯示，共有6116個境外IP地址承載了93136個針對我國境內(nèi)網(wǎng)站的仿冒頁面，仿冒頁面數(shù)量較2013年增長2.1倍，雖然各部門都在配合打擊釣魚欺詐類網(wǎng)站，但是越來越多的黑產(chǎn)團(tuán)伙，開始利用頻繁更改域名，租用境外服務(wù)器等手段躲過有關(guān)機(jī)構(gòu)的監(jiān)管攔截，導(dǎo)致釣魚欺詐現(xiàn)象屢禁不止，根據(jù)相關(guān)監(jiān)控數(shù)據(jù)顯示每天都有大量新增的釣魚上線，這些釣魚網(wǎng)站時效性短，部署搭建容易，成本低廉。保守估計，中國金融領(lǐng)域每年遭受偽基站釣魚攻擊導(dǎo)致的金額損失高達(dá)100億。

“白帽匯”在2016年三月份針對金融領(lǐng)域的偽基站釣魚的黑色產(chǎn)業(yè)鏈進(jìn)行了深入的調(diào)查分析，在分析攻擊流程的基礎(chǔ)上加上了黑產(chǎn)反制的技術(shù)，通過技術(shù)手段獲取了釣魚網(wǎng)站的后臺或數(shù)據(jù)的管理權(quán)限，獲取了受害用戶的詳細(xì)清單，釣魚網(wǎng)站的源代碼，攔截短信的APK，以及偽基站發(fā)送短信的模板等信息。

在本次調(diào)查過程中發(fā)動了廣泛的力量，針對追蹤收集到的1947個釣魚網(wǎng)站進(jìn)行反制和溯源分析，深入了解和還原出該條黑色產(chǎn)業(yè)鏈的各個渠道流程。

最終從釣魚網(wǎng)站的后臺截獲了超過50000個金融客戶的賬號，去重后有超過19000受害用戶信息，賬號主要覆蓋工商銀行、建設(shè)銀行、農(nóng)業(yè)銀行、儲蓄銀行、中國銀行以及其他城商行。保守估計受害金額達(dá)2億元，其中單個用戶最大余額超過一百萬。受騙人群主要集中在20-30歲的人群，地域分布以二、三線城市為主。

偽冒的釣魚站中又以工商銀行和中國移動充值居多，而通過對受騙人群性別統(tǒng)計，其中女性受騙率遠(yuǎn)遠(yuǎn)高于男性。在整個產(chǎn)業(yè)鏈條中，在后臺進(jìn)行數(shù)據(jù)清洗（行話又稱“洗料”）的人獲利最多，遠(yuǎn)遠(yuǎn)高于產(chǎn)業(yè)鏈中實施偽基站釣魚的其他環(huán)節(jié)。

偽基站釣魚黑產(chǎn)簡單流程示意圖：

各個環(huán)節(jié)工作內(nèi)容：

制作網(wǎng)站：有專人搶注類似于運(yùn)營商，各大銀行機(jī)構(gòu)的域名進(jìn)行出售或自己用，有專業(yè)的人員進(jìn)行仿站模仿類似于運(yùn)營商、各個銀行的網(wǎng)站，然后購買美國或者香港免備案服務(wù)器進(jìn)行搭建后制作過域名攔截程序。據(jù)了解市面上搭建一個完整的釣魚網(wǎng)站價格也就在1000元到1500元左右。

木馬制作：由程序開發(fā)人員進(jìn)行開發(fā)后，以幾千元不等的價格將源碼賣給下級代理進(jìn)行二次開發(fā)出售（根據(jù)各大殺毒庫的更新情況制作“免殺”）以每周2000元進(jìn)行出售。

偽基站發(fā)送釣魚短信：這個一般為線下交易，，包吃包住包油錢以每小時500元左右為酬勞或以合作分成的方式，讓有偽基站設(shè)備的人帶著偽基站游走在繁華的街區(qū)進(jìn)行大范圍的撒網(wǎng)（發(fā)送釣魚網(wǎng)站）。

“出料”：將釣魚網(wǎng)站后臺收到的數(shù)據(jù)進(jìn)行篩選整理（利用各個銀行的在線快捷支付功能情況查余額，看看是否可以直接消費進(jìn)行轉(zhuǎn)賬或第三方支付進(jìn)行消費），自己無法將余額消費的將會以余額的額度以不同的價格出售（大部分會打包起來以每條1元的價格進(jìn)行多次叫賣）余額巨大的有時還會找人合作進(jìn)行“洗料”。

“洗料”：通過多種方式將“料”進(jìn)行變現(xiàn)，一般開通快捷支付充值水電、話費、游戲幣或者利用其他存在第三方支付轉(zhuǎn)賬接口和銀行快捷支付漏洞等，將“四大件”變成成現(xiàn)金后通過各種規(guī)避追查的手段與合伙人按比例（一般以料的額度按5：5  4：6  3：7這些比例）進(jìn)行分賬，日均可以賺取10萬元以上。

在了解了各個環(huán)節(jié)的具體工作內(nèi)容之后，我們再來具體看下這些“黑產(chǎn)”從業(yè)者是怎么樣一步一步進(jìn)行釣魚的。

1、虛假域名 

在我們的調(diào)查中他們會事先購買大量類似于運(yùn)營商、銀行機(jī)構(gòu)的域名。在這個完整的產(chǎn)業(yè)鏈里有一些就是出售這些域名的，由于安全廠商，以及公安的打擊，所以通常域名的存活周期也是非常的短，一般有效周期為1-7天，基本是打一槍換一個地方，需要使用到大量的域名。

2、釣魚網(wǎng)站 

接來下就是制作出售維護(hù)釣魚網(wǎng)站的。成本很低，固定的幾套源碼修改下直接就可以搭建起來。

在我們反制下的許多釣魚站之后在源碼里發(fā)現(xiàn)一些有趣的東西——黑吃黑，在源碼的說明里面這樣寫著“默認(rèn)后臺有預(yù)留一個方便我們維護(hù)的帳號，如不需要，可以聯(lián)系我們刪除?！比缓笙旅婺嵌挝淖志褪墙棠阍趺刺砑右粋€后門帳號（“方便維護(hù)”）。

3、短信攔截木馬

”從技術(shù)原理和實現(xiàn)上看并不復(fù)雜，大多通過注冊短信廣播（BroadcastReceiver）或者觀察模式（ContenetObserver）監(jiān)控手機(jī)短信的收發(fā)過程，當(dāng)然也出現(xiàn)一些功能更全面強(qiáng)大的遠(yuǎn)控類手機(jī)木馬，短信攔截之中的一項功能。網(wǎng)上類似的短信攔截源碼也非常多，了解過安卓開發(fā)的都可以很快編寫出一個“短信攔截馬”，這也是“短信攔截馬”變種速度快、傳播泛濫的一個重要原因。

目前我們調(diào)查中遇到有兩種，一種由編譯好的軟件填入手機(jī)號、發(fā)件郵箱賬號密碼、收件郵箱、木馬到期時間即可自動生成一個帶有木馬病毒的手機(jī)APP。（成本小但是利益大，使用無限制，只要利用生成器就可以制作攔截馬，導(dǎo)致攔截馬泛濫。）

另一種相當(dāng)于PC版中的遠(yuǎn)程控制軟件一樣，由一個控制端也叫服務(wù)端（由“釣魚者”控制）和一個受控端也叫客戶端（受害人安裝的手機(jī)APP)組成，然后“釣魚者”就可以控制受害人的手機(jī)。

4、偽基站群發(fā)

域名、網(wǎng)站、木馬，都準(zhǔn)備好了，他們會找偽基站把釣魚網(wǎng)站在繁華的街區(qū)散發(fā)出去。

“偽基站”即假基站，設(shè)備一般由主機(jī)和筆記本電腦組成，通過短信群發(fā)器、短信發(fā)信機(jī)等相關(guān)設(shè)備能夠搜取以其為中心、一定半徑范圍內(nèi)的手機(jī)卡信息，通過偽裝成運(yùn)營商的基站，冒用他人手機(jī)號碼強(qiáng)行向用戶手機(jī)發(fā)送詐騙、廣告推銷等短信息。

通過對qq群搜索就會出現(xiàn)很多相關(guān)的偽基站販賣群：

當(dāng)人們路過繁華的街區(qū)就會收到類似的釣魚短信：

5、“洗料”（盜刷）

釣魚者坐等受害者“上鉤”在這現(xiàn)在這個互聯(lián)網(wǎng)發(fā)達(dá)交易便捷的時代有了你手機(jī)的權(quán)限，和銀行卡賬戶密碼，即可通過快捷支付方式將你的錢財轉(zhuǎn)走。有些沒開通網(wǎng)銀的受害者的卡他們也會有辦法的。

釣魚者將獲取的姓名、證件號碼、銀行卡號、銀行密碼、手機(jī)號碼即被稱為“四大件”

在這些無法被快捷支付的“四大件”（料）

就會將受害者的個人信息進(jìn)行叫賣，或者找洗料通道（由于國內(nèi)各類混亂的支付渠道缺乏有效安全監(jiān)管，導(dǎo)致黑產(chǎn)團(tuán)伙一般是通過銀行、商戶或者第三方支付的各類快捷支付渠道將用戶卡內(nèi)資金轉(zhuǎn)走，他們會購買游戲幣、彩票、話費充值、機(jī)票門票等多種多樣的洗料方法。有些信用卡CVV碼泄漏的用戶還發(fā)現(xiàn)通過境外消費渠道被劃走資金。有些被感染手機(jī)可能還會被訂閱一些惡意扣費服務(wù)或者使用手機(jī)話費支付購買游戲點卡后再進(jìn)行銷贓）進(jìn)行利益最大化。

以工商為例，只要可以用驗證碼與“四大件”完成得即可成為被變現(xiàn)的途徑。

下面是某洗料群的討論哪個銀行好變現(xiàn)。

工商銀行服務(wù)條約，擁有手機(jī)短信權(quán)限和銀行卡號與密碼可利用下面這些業(yè)務(wù)。

融e聯(lián)：

工行e支付功能：

工行快捷支付注意事項：

以下是一些通道的限額，洗料者一般會先轉(zhuǎn)賬獲得現(xiàn)金，當(dāng)通道內(nèi)現(xiàn)金轉(zhuǎn)賬達(dá)到限額后就會用購買商品的方式再將余額消費掉。

以上圖文資料均摘自《白帽匯針對金融領(lǐng)域偽基站釣魚黑產(chǎn)的分析報告》，非官方授權(quán)禁止轉(zhuǎn)載。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。