新型個人金融資產(chǎn)安全威脅抵御方法的研究

◆于佳華

（國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心 黑龍江 150001）

近來，一種結(jié)合偽基站、釣魚網(wǎng)站、手機病毒等多種手段，詐騙 盜取網(wǎng)上銀行、網(wǎng)絡(luò)支付等金融交易關(guān)鍵信息，竊取受害者在線金融資產(chǎn)的新型安全威脅不斷出現(xiàn)。該攻擊瞄準手機支付用戶群體，圍繞用戶在線支付全流程每一個環(huán)節(jié)進行精準布局，以盜取用戶金融資產(chǎn)為直接目的，嚴重威脅用戶金融安全。各有關(guān)機構(gòu)緊密合作并采取有效措施予以打擊遏制，成為當前一個緊迫任務(wù)。

1 問題現(xiàn)狀

該類攻擊的一般模式為通過偽基站或違規(guī)短信端口投放偽裝成運營商、銀行、ETC中心等官方號碼發(fā)送的釣魚欺詐短信，短信中包含仿冒網(wǎng)址，誘騙受害者點擊訪問該仿冒釣魚網(wǎng)站，在釣魚網(wǎng)站中誘騙受害者填寫用戶名、密碼等個人信息并實施竊取，誘導(dǎo)受害者下載安裝木馬程序，通過木馬程序竊取短信驗證碼，最終盜取受害者的在線金融資產(chǎn)。該類攻擊隨著移動互聯(lián)網(wǎng)的發(fā)展普及，呈愈演愈烈之勢，據(jù)CNCERT報告，2018年共捕獲新增金融行業(yè)移動互聯(lián)網(wǎng)仿冒App樣本838個，同比增長了近3.5倍，達近年新高[1]。

圖1攻擊示意圖

2 發(fā)現(xiàn)及阻斷方法

運營商作為用戶網(wǎng)絡(luò)服務(wù)的供應(yīng)商，在此新型的安全威脅中，可以在威脅渠道檢測、威脅渠道阻斷方面發(fā)揮重要作用。同時安全廠商、銀行、電子郵件服務(wù)商等機構(gòu)也需要密切配合，實現(xiàn)該新型安全威脅背后黑色產(chǎn)業(yè)鏈的聯(lián)合打擊，從根本上解決這一問題。

從技術(shù)層面對偽基站、客戶投訴、短信、互聯(lián)網(wǎng)流量等多個領(lǐng)域同時開展監(jiān)測，并分別研判出釣魚短信、釣魚網(wǎng)站、短信攔截木馬，識別出真正的惡意信息，并采用相應(yīng)阻斷手段，對惡意信息實施全方位攔截處置是一個行之有效的方法。

2.1 釣魚短信

通過對釣魚短信進行分析，少量關(guān)鍵詞即可實現(xiàn)絕大多數(shù)釣魚短信的發(fā)現(xiàn)，并且不同的釣魚短信類型對應(yīng)的關(guān)鍵詞特點也不同。通訊錄群發(fā)傳播病毒類關(guān)鍵詞為相冊相片、文件資料等；偽基站類關(guān)鍵詞為10086積分兌換、銀行升級等；特定人群的釣魚攻擊類關(guān)鍵詞為車輛違章、校園通、成績單、ETC失效等；利用社會熱點傳播類關(guān)鍵詞為武漢疫情、脫貧攻堅等。同時，釣魚短信的短信內(nèi)容中都會包含一個惡意網(wǎng)址，這也是一個顯著的監(jiān)測特征。

運營商可以通過不斷更新關(guān)鍵詞進行釣魚短信持續(xù)監(jiān)測，并采取在短信相關(guān)系統(tǒng)中添加策略予以實時攔截和關(guān)停違規(guī)短信端口等措施，打擊釣魚短信的傳播。但對于上文提到的偽基站下發(fā)短信，運營商無法實施短信攔截，手機安全廠商可以通過的手機客戶端安全產(chǎn)品進行識別告警，或者運營商通過下文提到的對偽基站短信中的惡意網(wǎng)站實施攔截的方式，對偽基站短信進行打擊。

圖2抵御方法示意圖

2.2 釣魚網(wǎng)站

通過對已捕獲釣魚網(wǎng)站進行分析，發(fā)現(xiàn)基本都是仿冒銀行、運營商、ETC中心等的官方網(wǎng)站的支付頁面，誘導(dǎo)用戶填寫姓名、身份證號、開戶行、銀行卡號、取款密碼、信用卡有效期、CVV碼等敏感信息。并且經(jīng)監(jiān)測發(fā)現(xiàn)，該類釣魚網(wǎng)站基本都托管在境外。

通過對疑似網(wǎng)站的是否備案查詢、相同IP承載網(wǎng)站性質(zhì)關(guān)聯(lián)、網(wǎng)站活躍性突變分析、網(wǎng)頁關(guān)鍵詞篩選等多個因素進行綜合判斷，可以確定網(wǎng)站性質(zhì)，識別出真正的釣魚網(wǎng)站。運營商可以基于近源處置的原則，在網(wǎng)站托管的地區(qū)進行封堵，對部署在境外的釣魚網(wǎng)站，在國際出口實施封堵，進而切斷釣魚網(wǎng)站的訪問通道。

3.3 短信攔截木馬

目前，常見手機支付應(yīng)用，為了提高支付過程安全性，最后一步基本采取增加下發(fā)短信驗證碼到用戶預(yù)留手機，用戶填寫正確驗證碼后才能完成支付的方式進行保護。不法分子為解決這盜取金融資產(chǎn)的“最后一公里”問題，在上文提到的釣魚短信、釣魚網(wǎng)站中加入木馬病毒下載鏈接，引誘用戶下載安裝短信攔截木馬，該類病毒可以在用戶不知情的情況下控制受害者手機的短信收發(fā)功能，將收到的短信轉(zhuǎn)發(fā)到攻擊者的主控手機或者郵箱中，實現(xiàn)銀行卡余額及短信驗證碼的竊取。

運營商可以建設(shè)手機病毒監(jiān)測系統(tǒng)，進而截獲短信攔截木馬的傳播鏈接及病毒樣本，通過病毒分析手段提取出病毒樣本的主控手機號碼及信息搜集郵箱。通過運營商封堵病毒下載鏈接可以阻斷病毒傳播，通過運營商關(guān)停主控手機號碼，以及通過電子郵件服務(wù)商關(guān)停信息搜集郵箱可以讓已發(fā)作的病毒失效。通過銀行的異常交易行為分析可以阻斷不法分子支付行為。

3 結(jié)束語

本文介紹的新型安全威脅，通過用戶在線支付全流程每一個環(huán)節(jié)進行精準布局，竊取用戶在線支付環(huán)節(jié)各類敏感信息，對用戶的個人金融資產(chǎn)造成極大危害。通過本文給出的運營商、安全廠商、銀行、電子郵件服務(wù)商等機構(gòu)在各個威脅環(huán)節(jié)予以監(jiān)測打擊的方法，可以對這一新型安全威脅實現(xiàn)有效遏制。