根據美國網絡安全公司ProofPoint的《2020年費西合唱團狀況報告》數據,受全球疫情影響,2020年全球釣魚短信攻擊增長率將超過300%。其中,針對金融機構的釣魚攻擊占比最大,占所有攻擊的22.5%。在中國,這壹比例高達26.88%:
近期“假冒銀行短信釣魚”案件頻發,中國銀保監會也緊急發文,對近期發生的冒充多家銀行發送服務信息的短信釣魚詐騙進行風險提示:
種種跡象表明,涉黑團夥已經瞄準了各家銀行的用戶,這將嚴重威脅用戶的財產安全,對各大銀行的品牌形象造成非常惡劣的影響。
早在2012年,全球每天通過WhatsApp等實時通訊軟件發送的短信接近19億條,而傳統短信只有176億條。從此每年都有人喊“短信死了”。結果人家不但沒死,還變著花樣,天天輪番轟炸妳的手機:
隨著營銷的泛濫,流量轉化的成本越來越高。以槽點最多的開屏廣告為例:
這種後期率很高的設計,就是為了讓點擊率突破行業12%的上限。短信不同:
根據Mobile Squared的數據,在所有營銷渠道中,近90%的短信會在收到後的三分鐘內打開閱讀,這是其他任何直銷渠道無法比擬的。
短信以其特有的緊迫感,催生了新的商機。除了常規的短信驗證碼和服務短信通知,越來越多的銀行利用短信來推廣新客戶和老客戶。越來越多的銀行用戶開始習慣通過短信與銀行互動。不經意間,銀行也幫黑產團夥培養了用戶習慣:
在完美的釣魚攻擊環境下,黑團夥只能模仿各大銀行定期通過短信與用戶互動,然後就可以實施釣魚短信詐騙。
根據美國聯邦調查局下屬的互聯網犯罪投訴中心(IC 3)的調查報告,在過去三年中,美國因網絡釣魚攻擊造成的損失超過260億美元。在我國,2020年以來,僅攔截釣魚詐騙信息壹項,就直接為群眾避免了近6543.8+020億元的經濟損失。
在美國,摩根大通銀行作為金融領域的代表,與網飛和蘋果壹起被選為最受釣魚短信模仿的品牌。“虛假銀行網絡釣魚郵件”的威脅已經蔓延到世界各地:
在國內,很多銀行,包括民生銀行、華夏銀行、招商銀行、眾邦銀行、貴州銀行、嘉興銀行、湖州銀行、昆侖銀行、鄭州銀行等。,通過官方渠道向用戶推送風險提示,提醒他們警惕假冒銀行短信的新型詐騙手段:
三、釣魚攻擊背後的黑灰
作為最早的網絡攻擊類型之壹,網絡釣魚攻擊可以追溯到20世紀90年代。隨著移動互聯網的發展,移動釣魚攻擊在傳統釣魚攻擊的基礎上發展而來,其中短信釣魚攻擊是傳統釣魚攻擊的變種:
作為移動威脅的壹部分,“釣魚短信”攻擊已經成為互聯網的重要威脅。隨著各種信息和數據泄露事件的不斷發生,包括姓名、手機號、銀行卡號、身份證信息等壹整套公民隱私信息,對於黑產來說觸手可及。
隨著社會對釣魚攻擊的重視,傳統的攻擊手段逐漸為用戶所熟悉,單純的信息欺騙和相似網站內容的欺騙很難成功實現釣魚攻擊:
低成本、低風險、廣撒網、多收魚的模式沒有優勢,黑產轉向專業化、組織化、精細化分工。壹個由包網服務、短信通道、盜刷通道、遊戲收費等多條黑灰產業鏈參與的釣魚短信詐騙組織逐漸浮出水面。
1.釣魚網站:
作為造假的關鍵環節,這壹塊基本上是數據之外的另壹項硬支出。包括:假冒銀行域名被搶註、官網模仿各大銀行、大量適配手機界面的釣魚網站、購買美國或香港無備案服務器構建攔截程序等。搭建壹個完整的釣魚網站,五年前的價格大概是幾千塊錢。
隨著分工越來越細,出現了分組網絡服務商,他們為黑產提供全方位的服務,包括搭建釣魚網站、購買域名、服務器租賃甚至網站維護。為了增強競爭力,服務提供商還開放了各種後臺管理系統,為黑市組織提供“壹站式釣魚攻擊服務”:
2.準確的數據獲取
黑產為了提高釣魚短信的轉化率,降低運營成本,會向“數據販子”購買數據。數據提供商可以通過各種渠道獲取各行業的用戶數據,其中金融行業數據最受歡迎。通過黑市、黑暗論壇和社交媒體交易,優質的壹手數據,按照1萬計算,單價壹般能達到上千元。壹旦黑產掌握了銀行用戶的真實信息,如姓名、手機號、身份證、銀行卡等重要隱私信息,釣魚短信的破壞性就會有質的提升。
3.偽基站發送釣魚短信:
為了提高反偵察能力和機動性,偽基站設備不斷更新,從固定到移動,從高功率到低功率,從大體積到小體積,使犯罪分子更容易攜帶,實現移動攻擊模式。例如,人們可以以每小時500元左右的報酬或合作共享的形式,帶著他們的設備往返於鬧市區和大型社區。
目前國內各大運營商和短信平臺的風控機制越來越嚴格,發送這些釣魚網站被攔截的概率越來越大。因此,壹些黑產者開始利用國際短信渠道發送信息,以逃避審計。這些國際短信通道也有專門的公司提供,壹般5000塊起,每塊3-4毛錢。
4.免除
當用戶上鉤後,黑市會對釣魚網站後臺收到的數據進行整理,利用各家銀行的網上快捷支付功能查詢余額。然後直接消費,轉賬或者第三方支付。余額花不完的會以不同的價格出售(大部分會以1元的價格打包多次出售),余額巨大的有時會找人合作“洗料”。
5.洗滌材料:
黑產以各種方式實現“材料”。壹般他們開通快捷支付充值水電、話費、遊戲幣,或者利用第三方支付轉賬接口、銀行快捷支付的其他漏洞,將“四大項”變成現金,然後通過各種手段與合作夥伴按比例分成,以避免追查,日均收入在6位數以上。
與此同時,釣魚短信仍然保持著快速的技術叠代和策略更新:
利用移動通信、短視頻平臺、富媒體等營銷場景,釣魚短信承載的內容會越來越豐富。這些消息用於誘導用戶下載欺詐性應用程序或打開密碼竊取或欺詐性移動網站的鏈接;
更多欺騙性的文本使用和短鏈對銀行用戶隱藏了實際的欺詐目的。黑產采用合法網址+字符形式+高防域名,讓假域名只在移動設備的小地址欄顯示域名的合法部分;
隨著對新聞緊迫性和難以抵擋的誘惑的強調,釣魚短信的轉化率會進壹步提高;
頻繁的網絡釣魚攻擊正在造成各大銀行在線用戶的流失。根據賽門鐵克的壹項研究,近三分之壹的銀行用戶表示,他們因害怕網絡釣魚攻擊而被迫放棄使用網上銀行。
隨著釣魚短信攻擊手段日益復雜,事件持續高發,給銀行和用戶造成巨大損失,嚴重影響用戶財產安全,逐漸對銀行失去信心。作為互動安全領域的服務提供商,姬旦將從企業與用戶互動的角度審視釣魚短信攻擊:
早在五年前的KCon黑客大會上,網絡安全專家Seeker在《偽基站高級利用技術——徹底破解短信驗證碼》中就明確表示,短信驗證碼這種安全認證機制很容易被突破,應該盡早棄用。
GSM偽基站建設:硬件:普通PC,USRP b2x 0+天線(或摩托羅拉c 118/c 139+CP 2102)。軟件:Ubuntu Linux,OpenBSC。OpenBSC:osmo com發起並維護的高性能、開放接口的開源GSM/GPRS基站系統。
鑒於短信驗證碼的缺陷和安全隱患,具體表現如下:
顯然,如果僅僅依靠短信驗證碼來確認用戶身份,是有壹定安全隱患的。對於平臺而言,除了短信驗證之外,在涉及大額支付、修改用戶交易密碼等業務場景中,急需增加新的驗證方式。
替代:脫敏手機號+免短信登錄
仔細研究黑產的整個釣魚短信攻擊環節,短信是黑產突破銀行防線的重要突破口。在銀行和金融機構的關鍵業務節點,“無感本地認證”正在取代傳統的短信驗證碼:
作為身份驗證的升級方案,簡言攜手國內三大運營商推出“無感本地認證”。用戶SIM卡中的手機號直接由運營商網關驗證,全程加密替代短信驗證碼。讓不法分子無短信可嗅,從根源上解決短信嗅探風險。同時也大大簡化了用戶操作流程,讓用戶體驗更加流暢,有效提高轉化率,幫助銀行和金融機構優化認證流程,幫助他們創新、留存和推廣活動。
對於銀行用戶來說,提高自己的隱私安全意識,可以抵禦壹半以上的安全風險:2019數據泄露成本報告中有壹組數據,49%的數據泄露是由於人為錯誤和系統故障造成的,使他們成為釣魚攻擊的受害者。
幸運的是,短信釣魚攻擊相對容易防禦。妳會發現,只要妳什麽都不做,通常就能保證自己的安全。所以當妳遇到疑似釣魚短信時,不妨靜下心來思考三個問題:
當然,如果遇到短信嗅探,也要快速響應,比如:
作為銀行用戶,提高對移動安全事件的關註度和敏感度,對個人相關事件進行應急處理,做好事後的止損工作。壹旦遇到上述情況,要提高警惕,必要時采取關機、開啟飛行模式等應對措施。
可以預見,在未來幾年內,移動網絡安全仍然不容樂觀。隱私泄露和移動攻擊的擴散和融合將進壹步加深,並導致網絡攻擊的擴散。對抗還會繼續。無論是企業還是消費者,只有不斷強化安全意識,提高自身抗風險能力,及時消除潛在風險,才能讓自己遠離風險,這是不變的真理。