壹、釣魚短信盯上銀行用戶
據美國網絡安全公司proofpoint《2020 State of the Phish Report》數據顯示,受疫情全球大流行影響,2020年全球釣魚短信攻擊的增長率超過300%。而其中,針對金融機構的網絡釣魚攻擊占比最大,占所有攻擊的22.5%。而在國內,這壹比例更是高達26.88%:
近期「假冒銀行短信釣魚」案件頻發,中國銀保監會也緊急發文,就近期假冒多家銀行名義發送服務信息的短信釣魚詐騙行為進行風險提示:
種種跡象表明,黑產團夥已經盯上各家銀行的用戶,這將嚴重威脅到用戶的財產安全,並對各大銀行的品牌形象造成極為惡劣的影響。
早在2012年,全球每天有將近19億條文字訊息通過WhatsApp等實時通訊軟件傳送,而傳統短信則僅有17.6億條。從那時起,每年都會有人喊出「短信已死」,結果人家非但沒死,每天還變著花樣,輪番轟炸妳的手機:
營銷泛濫的當下,流量轉化成本越來越高,以槽點最多的開屏廣告為例:
這種誤點率極高的設計,就是為了讓點擊率能突破行業12%的上限。而短信則不同:
Mobile Squared的數據稱,在所有營銷渠道中,近九成的短信會在被收到後的三分鐘之內被打開閱讀,這壹點是其他任何直接營銷渠道所無法比擬的。
在獨有的緊迫感下,短信催生了新的商機。除常規的短信驗證碼、服務類短信通知外,越來越多的銀行使用文本消息進行新客營銷,老客促活。越來越多的銀行用戶開始習慣,以短信文本消息與銀行進行交互。而在不經意間,銀行也幫助黑產團夥培養了用戶習慣:
完美的釣魚攻擊環境,黑產團夥只需要模仿各大銀行定期通過短信與用戶互動,便可實施釣魚短信詐騙。
根據FBI旗下互聯網犯罪投訴中心(IC 3)的壹份調查報告顯示,在過去的三年裏,全美因釣魚攻擊所造成的損失,超過260億美元。而在我國,2020年以來,僅憑攔截下來的釣魚詐騙信息,就為群眾直接避免了將近1200億元的經濟損失。
在美國,摩根大通銀行作為金融領域代表,與Netflix、蘋果公司入選最受「釣魚短信」模仿的熱門品牌。而「假冒銀行釣魚短信」威脅,早已蔓延全球:
在國內,包括:民生銀行、華夏銀行、招商銀行、眾邦銀行、貴州銀行、嘉興銀行、湖州銀行、昆侖銀行、鄭州銀行等在內的多家銀行紛紛通過官方渠道向用戶推送風險提示,對冒充銀行短信的新型詐騙手法進行預警:
三、釣魚攻擊背後的黑灰產
釣魚式攻擊(Phishing)作為最早的網絡攻擊類型之壹,其 歷史 可以追溯到上個世紀90年代。隨著移動互聯網的發展,傳統釣魚攻擊下又演變出移動釣魚攻擊,其中短信釣魚攻擊(Smishing)就是傳統釣魚式攻擊(Phishing)的變種:
作為移動威脅的壹部分,「釣魚短信」攻擊已成為當下互聯網的重要威脅。而隨著各類信息及數據泄露事件的不斷發生,包括:姓名、手機號、銀行卡號與身份證信息等壹套完整的公民隱私信息,對黑產而言,已觸手可得。
隨著 社會 對釣魚攻擊的關註,傳統的攻擊手段逐漸為用戶所熟識,簡單的信息誘騙和相似網站內容的欺騙已經很難成功實現釣魚攻擊:
成本低,風險小,廣撒網,多斂魚的模式已不具備優勢,黑產轉而向專業化、組織化以及分工細致化發展。壹條由包網服務、短信通道、盜刷通道、 遊戲 代充等多個黑灰產業鏈***同參與的釣魚短信詐騙組織逐漸興起。
1.釣魚網站:
作為詐騙的關鍵環節,這塊基本也是除了數據外,黑產另壹項硬支出。包括:仿冒銀行域名搶註、各大銀行官網的模仿、到大量的適配手機界面的釣魚網站以及購買美國或者香港免備案服務器進行搭建後制作攔截程序。搭建壹個完整的釣魚網站下來,五年前的價格大概在上千元。
隨著分工越來越細, 包網服務商 出現,他們為黑產提供包括:搭建釣魚網站、購買域名、服務器租賃甚至網站維護在內的全套服務。為提升競爭力,服務商還開通了各類後臺管理系統,為黑產組織提供「壹站式釣魚攻擊服務」:
2.精準數據采購
為了提升釣魚短信轉化率,降低運營成本,黑產會向「數據販子」購買數據。而數據商通過各種渠道,能夠拿到各種行業的用戶數據,其中以金融行業數據最為熱銷。通過黑市、暗網論壇以及社交媒體進行交易,優質的壹手數據,按照1萬條算,單價壹般能到上千元。壹旦黑產掌握了銀行用戶的真實信息,如姓名、手機號、身份證、銀行卡等重要隱私信息後,釣魚短信的破壞性將得到質的提升。
3.偽基站發送釣魚短信:
為了提升反偵察能力以及機動性,偽基站設備也在不斷更新,由固定式變為移動式,由大功率變為小功率,由大體積變為小體積,使得違法犯罪分子攜帶更加輕便並實現移動攻擊模式,比如,以每小時500元左右為酬勞或以合作分成的方式,讓人帶著設備穿梭於鬧市區以及大型社區,「打壹槍換壹個地方」。
現在,國內各大運營商和短信平臺的風控機制越來越嚴格,發送這些釣魚網站被攔截的概率越來越大,於是有些黑產開始用國際短信通道來發送信息,規避審核。這些國際短信通道也有專門的公司提供,壹般5000條起發,每條3-4毛錢。
4.出料
當用戶上鉤後,黑場會將釣魚網站後臺所收到的數據進行篩選整理,利用各個銀行的在線快捷支付功能查詢余額。然後,直接消費、進行轉賬或第三方支付消費,而針對無法將余額消費的,將會以余額的額度以不同的價格出售(大部分會打包起來以每條1元的價格進行多次叫賣),余額巨大的有時還會找人合作進行「洗料」。
5.洗料:
黑產通過多種方式將「料」進行變現,壹般開通快捷支付充值水電、話費、 遊戲 幣或者利用其他存在第三方支付轉賬接口和銀行快捷支付漏洞等,將「四大件」變成現金後,通過各種規避追查的手段與合夥人按比例進行分賬,日均收入都在6位數以上。
與此同時,釣魚短信仍保持著快速的技術叠代與策略更新:
利用移動通信、短視頻平臺、富媒體類等營銷場景,釣魚短信所承載的內容也將愈發豐富。這些消息,用於誘使用戶下載欺詐性應用程序或打開指向密碼竊取或欺詐性移動站點的鏈接;
更具欺騙性的文本使用以及短鏈,向銀行用戶隱藏實際的欺詐目的。黑產利用合法URL+字符形式+高防域名,讓假冒域名在移動設備的小地址欄中僅顯示該域的合法部分;
配合強調消息的緊迫性以及很難抗拒的誘惑,進壹步提升釣魚短信轉化率;
頻繁發生的釣魚攻擊案件,正在造成各大銀行線上用戶的流失。賽門鐵克的壹項研究表明,將近三分之壹的銀行用戶表示,由於擔心遭遇釣魚攻擊,而被迫放棄對網上銀行的使用。
隨著釣魚短信攻擊的手段日益復雜,事件持續高發,讓銀行以及用戶蒙受巨大損失,嚴重影響用戶財產安全,並逐漸失去對銀行的信心。作為交互安全領域服務商,極驗將從企業與用戶的交互視角,審視釣魚短信攻擊:
早在5年前的 KCon 黑客大會上,網絡安全專家Seeker在《偽基站高級利用技術——徹底攻破短信驗證碼》中曾明確表示,短信驗證碼這種安全認證機制可被輕易突破,理應盡快放棄並使用更安全的認證機制。
GSM 偽基站的搭建:硬件:普通 PC、USRP B2X0 + 天線(或Motorola C118/C139 + CP2102)。軟件:Ubuntu Linux、OpenBSC。OpenBSC:由Osmocom發起並維護的壹套高性能、接口開放的開源GSM/GPRS基站系統。
針對短信驗證碼存在的缺陷與安全隱患,具體表現為:
顯然,如果僅僅是依靠短信驗證碼來確認用戶身份,具有壹定的安全隱患。對於平臺而言,除了短信驗證之外,在涉及大額支付及修改用戶交易密碼等業務場景,增加新的驗證手段刻不容緩。
替代方案:脫敏手機號+免短信登錄
仔細研究黑產整個釣魚短信攻擊環節,短信是黑產突破銀行防線的重要突破口。而在銀行金融機構的關鍵業務關節,極驗「無感本機認證」正在替代傳統短信驗證碼:
作為身份校驗的升級方案,極驗牽手全國三大運營商推出「無感本機認證」。由運營商網關直接驗證用戶SIM卡中的手機號碼,全程加密,替代短信驗證碼。從而讓不法分子無短信可嗅探,從根源解決短信嗅探的風險。同時,也大大簡化用戶操作流程,用戶體驗更加順暢,有效提高轉化率,幫助銀行金融機構優化認證流程,助力拉新、留存、促活。
而對於銀行用戶,提升隱私安全意識,就能抵禦超過壹半的安全風險:《2019年數據泄露成本報告》中有壹組數據,49%的數據泄露是人為錯誤和系統故障造成的,而這都讓他們成為網絡釣魚攻擊的犧牲品。
幸運的是,短信網絡釣魚攻擊相對容易防禦。妳會發現,只要什麽都不做,通常可以確保自己的安全。所以當遭遇疑似釣魚短信的時候,不妨冷靜下來思考三個問題:
當然,如果遭遇短信嗅探,則要迅速做出響應,例如:
作為銀行用戶,提高對移動安全事件的關註度和敏感度,對與個人關聯的事件進行緊急響應,做好事後止損的工作。壹旦遭遇以上情況,提高警惕,必要時可采取關機、啟動飛行模式等應對措施應對。
可以預見,在之後數年,移動網絡安全依然不容樂觀。隱私泄露和移動攻擊的泛濫和融合還會進壹步加深,並導致網絡攻擊威脅泛濫進壹步加深。對抗還將繼續,不論是企業還是消費者,唯有不斷強化安全意識,提升自身對抗風險能力,並做到及時排除風險隱患,才是不變的真理,從而讓自己遠離風險。