2022年年度中国手机安全状况报告
AI智能总结
2022年度中国手机安全状况报告 0 2022年度 中国手机安全状况报告 2023年02月 前言 当前,电信网络诈骗犯罪已成为发案最多、上升最快、涉及面最广、人民群众反映最强烈的犯罪类型。诈骗手法紧跟社会热点持续演变升级,与当下流行的网络购物、物流递送、直播打赏等相结合,多环节包装实施连环诈骗。于此同时,催生了大量为不法分子实施诈骗提供帮助并从中获利的黑灰产业,此类黑灰产业又反向作用,成为电信网络诈骗犯罪多发高发的重要推手。 从2022年360安全大脑捕获到的黑产情报来看,在电销引流产业上,诈骗电话从“多卡宝”转向简易组网GOIP,同时一些不法固话业务代理商、民众受利益驱使,将其开办的固话线路转接给境外电信网络诈骗分子,号码伪装性、迷惑性、欺骗性更强,群众难以辨别,极易上当受骗;在身份伪装产业上,从传统固网IP秒拨、服务器IP转向基站IP、软路由等具备“反侦察”功能的IP类产品;在洗钱手法上,黑产一方面通过伪界面增加洗钱类应用的识别难度,一方面开发出高仿网银、“尾号跟随”等应用进行“黑吃黑”;在黑产链条上,盘踞在境内外的黑产供应商、团伙为占据更多的市场份额,获得更高的价值利润,增强了攻防能力,提高了攻击范围,如传统短信ETC钓鱼团伙,将攻击目标从普通群众增加至互联网企业业务系统及员工,影响更加恶劣。 为坚决遏制电信网络诈骗犯罪快速上升势头,公安部部署全国公安机关始终保持严打高压态势,全链条打击电信网络诈骗及关联犯罪,深入开展“斩链”“清源”“利剑”三大战役,抓获了一大批违法犯罪人员,破获了一大批诈骗案件;会同最高法、最高检等相关部门联合部署开展“拔钉”行动,成功将240名电信网络诈骗犯罪集团重大头目和骨干缉捕归案;针 对华东、华南、京津冀等3个片区重点城市,组织开展区域会战,共捣毁诈骗窝点1800余个,实现规模打击效能最大化;针对涉诈黑灰产链条,组织发起打击涉诈固话语音专线、简易组网GOIP、跑分洗钱等各类集群战役80余起,取得显著战果。 《2022年度中国手机安全状况报告》基于360海量的安全大数据和360手机卫士黑灰 产研判、分析、溯源能力,对2022年出现的电信网络诈骗及关联的重点黑灰产业链进行深度剖析,对相关反制手段、思路予以探讨,望能起到抛砖引玉的目的,集思广益。打击“黑灰产”是一项长期且艰巨的任务,需要政府、企业和个人一同努力,让“黑灰产”无缝可钻。360也将积极发挥自身技术优势,综合运用人工智能、大数据、云计算等技术手段有效打击涉诈产业链,保障用户网络安全。 目录 第一篇电信网络诈骗-黑灰产攻防技术1 第一章、电话引流技术,人机分离、远程操控1 一、诈骗电话从“多卡宝”转向简易组网GOIP1 二、涉诈的“境外来电”穿上“本地来电”的外衣2 第二章、基站IP、软路由成诈骗团伙热门网络环境隐藏手段3 一、移动网络IP秒拨技术3 二、固网代理IP软路由技术5 第三章、中文域名+自研客服系统成为征信类诈骗关键手段6 第四章、计算器成“跑分”产业新工具7 第二篇电信网络诈骗-黑灰产业链现状10 第一章、利用靓号生成器进行虚拟货币盗刷10 第二章、利用定制化银行APP,进行洗钱产业“黑吃黑”10 第三篇电信网络诈骗-黑产技术供应商、团伙12 第一章、以B**N集团为攻防技术核心的东南亚博彩产业链12 一、黑灰产攻防浏览器背后的开发者B**N12 二、B**N开发应用关联产业13 第二章、钓鱼邮件攻击背后的“缅北魔方G”组织14 一、“缅北魔方G”攻防特点14 二、钓鱼邮件攻击路径分析15 第四篇电信网络诈骗案例17 第一章、最新消息!暴雷P2P可以退款了?17 第二章、小心!网络代买“冰墩墩”骗局:有人花上百元收到的竟是“耳环”17 第三章、那一晚我们赤诚相见,你却用我的照片敲诈我18 第四章、注销贷款变成“申请贷款”19 第五章、“杀猪盘”里没有爱情,只有诈骗21 第五篇反电信网络诈骗行业动态22 第一章、政策法规颁布22 一、中共中央办公厅国务院办公厅印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》22 二、反电信网络诈骗法表决通过23 第二章、政府重拳出击24 一、公安机关打击治理电信网络诈骗违法犯罪取得显著成效24 二、公安部深入推进打击电信网络诈骗“拔钉”行动25 第三章、行业服务建设26 一、工业和信息化部再�反诈利器正式推🎧“反诈名片”服务26 第六篇电信网络诈骗趋势预测与反制建议27 第一章、新型网络犯罪趋势预测27 一、引流、身份伪造等电诈产业�现全链条技术升级27 二、洗钱手法更加隐秘,同时其产业内部�现大量“黑吃黑”现象27 第二章、黑产攻防对抗应对手段28 一、开拓挖掘思路,提升黑产识别能力28 二、构建电信网络诈骗防范和打击治理体系28 参考文献29 附录-2022中国手机安全数据报告30 第一篇电信网络诈骗-黑灰产攻防技术 第一章、电话引流技术,人机分离、远程操控 近年来,大量藏匿在境外的电信网络诈骗团伙通过远程操控的方式,使用搭建在境内的“GOIP设备”向受害人拨打电话,从而实施诈骗,危害十分严重。随着全国“断卡”行动不断深入,公安机关持续加大对“GOIP设备”打击力度,打掉了一批违法犯罪团伙,收缴了一批作案工具,有效挤压了相关犯罪生存空间。为逃避侦查打击,一些犯罪分子研发升级出成本更低、隐蔽性更强、操作更简单的新型“电销”设备,迅速成为各类电信网络诈骗团伙拨打诈骗电话的作案工具。 一、诈骗电话从“多卡宝”转向简易组网GOIP 诈骗产业早期,盘踞在境外的诈骗分子,通过境外电话线路直接向境内拨打诈骗电话。由于呼叫过程涉及到国际网关,易被运营商发现,因此诈骗分子开始将号码及呼叫行为迁移至国内。简单来说就是骗子在A地(境外),雇佣他人在B地(境内)架设猫池、卡池,插入大量的手机卡后,组成GOIP设备。骗子在A地通过SIP类软件,远程调用B地架设的GOIP设备进行呼叫及短信行为。由于电话的实际呼叫行为从B地产生,使用的是B地的基站服务,避免了直接从境外向境内呼叫。此种GOIP设备特点是通过sip协议进行交互,可支持插入大量手机卡,但体积比较庞大,搭建好后移动困难,导致号码在基站下过于积聚容易暴露自身的位置。虽后期诈骗分子将GOIP设备使用便携式电源搬运至汽车上,全城移动躲避监管,但由于sip协议的存在,仍存在暴露的风险,一种通过远程协助+IM语音的组合式GOIP开始出现。 为避免从境外直接向国内拨打电话触发国际网关风控限制,使用境内猫池、多卡宝搭建的GOIP触发SIP协议及聚集风控,诈骗分子将呼叫行为及通话行为分开。境外手机A安装远控APP,控制境内的手机C拨打诈骗电话,境外手机B安装具有语音聊天的APP,与境内手机D进行语音通话,境内手机C与境内手机D通过声卡连接线串联,实现C与D实时共享音频,从而实现手机B代替手机C,与手机C所电话呼叫的人员进行实时通话。 图1简易组网GOIP原理 随着生活水平的提高、生活节奏的加快,现如今双持手机成为越来越多追求生活品质的选择,而从简易组网GOIP整个环节来看,其本质上也是成对出现的手机,只是语音音频进行了共享,很难将此种形式作为某些风控特征,及时发现潜在的GOIP。同时,由于通话语音使用音频线进行了共享,国内GOIP的搭建人员无法获悉远程诈骗话务员与受害人的通话内容,保证了GOIP运行的稳定性,攻防对抗将是一场持久战。 二、涉诈的“境外来电”穿上“本地来电”的外衣 2022年第二季度,我们发现诈骗使用的号码中,固定电话开始“冒头”,同期在黑产交易市场,我们也发现了大量的固话渠道商的踪影。由于诈骗分子来电号码显示为本地企业固定电话,极具伪装性、迷惑性和欺骗性,群众难以辨别,极易上当受骗。 图2黑产群售卖固话线路 从掌握到的情报来看,一些不法固话业务代理商、民众受利益驱使,将其开办的固话线路转接给境外电信网络诈骗分子,从而使诈骗分子能够通过远程操控的方式拨打电话进行诈骗。境内固话线路人员,办理固定线路后,上线黑产提供或自费购买语音网关设备,将设备对接固定电话线路,上线黑产通过远程软件进行语音网关调试,对接相应的SIP服务器,实现固话线路的远程语音功能,诈骗人员使用具有SIP协议的语音类应用,远程调用固话线路拨打诈骗电话。 第二章、基站IP、软路由成诈骗团伙热门网络环境隐藏手段 在我们看不到的网络世界,诈骗、群控、挂机、“羊毛党”、刷量等黑灰产行为时刻发生着,这些行为从悄然滋生到发展为成熟的产业链,始终绕不开最底层的IP支撑。360手机卫士在长期对黑灰产的溯源分析时,发现一些黑灰产使用的IP呈现出“境外设备偏爱使用境内固网或IDC机房IP,境内设备偏爱使用境内移动流量IP的特点”。推测此种偏好方式,境外的黑灰产可能是为了防止其使用的社交账号、支付账号被冻结或满足一定的上网娱乐需求;境内的黑灰产可能是为了防止具体位置信息暴露、提高追溯难度。而这两种身份伪装的方式,代表了目前主流的两种IP代理手段,移动网络IP秒拨技术和固网代理IP软路由技术。 一、移动网络IP秒拨技术 移动网络秒拨指的是利用移动网络提供的IP,向外提供代理IP。随着攻防对抗的升级,传统固网式的IP多已被标记识别,目前⿊产将视线转移到更为隐蔽的移动网络IP上。从已 掌握的情报来看,其实现方式有4种:手机热点、USB上网卡、IP魔盒、移动IP代理软件。其中手机热点、USB上网卡需要手动断网才能获得新的IP,存在不足,而IP魔盒和移动IP代理属于自动化类产物,弥补了手机热点和USB上网卡的不足,已渐渐成为主流。 图3代理IP方式 USB上网卡即便携式网络热点,插入手机卡,供电即可共享网络。这些USB上网卡使用的流量业务,主要是一些第三方公司在运营,向运营商采买流量后,分包卖给下线用户。IP魔盒为一款硬件盒子,支持多种类型的手机卡,接入电脑后可以使电脑拥有移动网络IP,通过其自带的脚本可实现IP自动切换。USB上网卡、IP魔盒本质上是同一类产品,两者都可以通过断网再联网实现切换IP,只是IP魔盒增加了自动化秒拨的功能。 除了利用硬件产品实现移动网络秒拨外,目前一些代理软件也提供移动网络IP,安装此类应用后,可根据其提供的移动网络线路IP进行IP伪装。利用移动网络秒拨IP,黑产分子能实现快速变换IP或指定IP归属地,绕过时间、地域、次数的限制。同时随着5G网络的普及,在5G高带宽的背景下,黑灰产可能会以此衍生出其他的攻击手段。但从目前已知的风控手段来看,针对移动网络类秒拨IP并未迭代出良好的反制手段,IP伪装攻防对抗将是一场持久战。 图4移动网络秒拨APP 二、固网代理IP软路由技术 传统的VPN代理软件,针对的是使用该代理软件的设备,该设备的数据流量通过VPN软件进行转发,即设备需要先联网(内网/互联网),再连接进入VPN网络,当设备自身网络出现问题时,VPN网络会中断,此时本机的IP便会暴露,于是一类针对全局网络,防止本机IP暴露的全局软路由器产品在黑产中出现。 此类软路由主要包含国内IP代理池、wifi分发(一个路由器可分发出多个wifi信号,实现机机独立ip,一键换ip,断网保护,数据分流不串线)功能。目前黑产售卖的产品包括以下2类:①提供路由器固件及IP池,将市面上已发售的路由器进行刷机进而修改成可控的VPN类路由器。②集成VPN功能,支持多IP线路定制,多wifi分发(单设备可发出1-100个WiFi,且机机IP独立)、IP线路断网保护、wifi伪装,修改mac、ssid于一身的路由器。 图5黑产渠道售卖的软路由产品效果展示 第三章、中文域名+自研客服系统成为征信类诈骗关键手段 冒充电商平台以用户账号征信存在问题需要注销为由,实施金融诈骗的手段是近年来高发的诈骗类型。随着反诈宣称力度和攻防对抗的加强,此类诈骗发生了一些攻防变化,诈骗人员伪造用于“身份认证”、“话术洗脑”的网站,从原先英文域名+第三方在线客服API搭建虚假的客服认证网站,转向使用中文域名+二次开发第三方在线客服系统搭建,效果更加逼真,用户及反
