網絡釣魚詐騙事件的處置和防范

文 / 廣東省農村信用社聯合社    姚俊先 馮曉茵

2021年2月以來，非法犯罪團伙實施了多起針對國內銀行的網絡釣魚詐騙事件，不法分子以“手機銀行即將失效”或“身份驗證過期”為詐騙短信內容，附上仿冒網上銀行、手機銀行域名的鏈接，向大量客戶群發送釣魚短信。一旦客戶點擊釣魚鏈接，釣魚網站則會誘導其輸入銀行卡號、密碼、手機號、短信驗證碼等個人信息，而后不法分子通過竊取的客戶信息冒用客戶身份登錄手機銀行，盜取客戶資金。

國家高度重視打擊治理電信網絡詐騙犯罪。2021年4月9日，習近平總書記對打擊治理電信網絡詐騙犯罪工作作出重要指示，強調堅持以人民為中心，全面落實打防管控措施，堅決遏制電信網絡詐騙犯罪多發高發態勢。習總書記的重要指示為做好當前和今后一個時期的工作指明了方向，提供了根本遵循。

銀行作為金融服務提供者，對頻發的網絡釣魚詐騙事件，應該逐步從被動響應向主動防范轉變，切實保障金融消費者的資金交易安全。本文通過一起仿冒手機銀行APP的短信網絡釣魚詐騙事件，分析了詐騙手法和過程，總結了處置經驗及防范方法，為銀行業防范工作提供參考思路。

網絡釣魚事件發現

“網絡釣魚”是一種網絡欺詐行為，是指不法分子利用各種手段，仿冒真實網站地址及頁面內容，騙取用戶銀行賬號、密碼、身份證號等私人資料。釣魚網站通常偽裝成銀行網站，竊取訪問者提交的賬號和密碼信息，主要通過電子郵件、短信等網絡方式傳播鏈接。

本次網絡釣魚事件中，不法分子制作了仿冒手機銀行的釣魚網站，同時向客戶發送內容為“尊敬的客戶您好：您的手機銀行于X月X日失效，登錄96xx.net驗證，給您帶來不便敬請諒解【XX銀行】”的釣魚詐騙短信。短信內容中包含有釣魚網站鏈接，客戶被誘騙點擊釣魚鏈接并輸入個人登錄賬號、登錄密碼、交易密碼、短信驗證碼等信息。

針對銀行的網絡釣魚事件，一般可以通過客戶上報、釣魚網站監測、外部威脅情報等方式及時發現。

網絡釣魚手法分析

分析網絡釣魚短信內容，釣魚網站的欺詐方式和功能實現如下。

第一步：不法分子誘騙客戶點擊釣魚網站鏈接并輸入手機銀行登錄賬號和登錄密碼，同時界面提示正在登錄，讓用戶等待。如圖1、圖2。

圖1    

釣魚網站登錄頁

圖2    

提示正在登錄

第二步：不法分子獲得以上信息后，第一時間進行登錄嘗試，驗證賬號和密碼。因其更換了設備進行登錄，手機銀行要求使用者輸入短信驗證碼進行身份驗證。此時釣魚網站彈出讓用戶輸入驗證碼的提示界面，獲得驗證碼，繞過陌生設備首次登錄的短信驗證機制，同時界面提示賬戶正在激活，讓用戶繼續等待。如圖3、圖4。

圖3    

騙取驗證碼驗證身份 

圖4    

提示賬戶正在激活中

第三步：不法分子通過手機銀行登錄受騙用戶賬號，發起轉賬交易，同時在釣魚網站上彈出身份驗證成功提示，誘騙用戶輸入交易密碼和轉賬交易短信驗證碼，盜取戶資金。如圖5。

 圖5    騙取交易密碼及驗證碼

另外，詐騙團伙還制作了一些后備獲得客戶信息的釣魚詐騙頁面，如圖6、圖7。

圖6    

騙取客戶信息頁面一

圖7    

騙取客戶信息頁面二

釣魚網站后臺可記錄客戶的所有輸入信息，并進行自動化登錄嘗試操作。如圖8、圖9。

圖8    釣魚網站后臺

圖9    后臺記錄受騙客戶信息

網絡釣魚詐騙事件處置經驗

在分析不法分子釣魚詐騙手法的基礎上，我們制定了釣魚詐騙事件處置方法，采取“快速阻斷、防范損失”的原則，從釣魚行為對抗、客戶宣傳提示、加強安全措施等三個維度進行處置和對抗。具體對抗措施如下。

1.對抗思路

一是釣魚網站關閉處置。為控制事件影響范圍，我們對已收集到的釣魚網站進行持續監測，并聯系服務商進行關閉處置。但本次釣魚事件中，詐騙團伙頻繁變換釣魚網站地址及域名，給實時封堵黑產登錄IP帶來較大難度。

二是釣魚網站干擾對抗。因實時封堵黑產登錄IP的難度較大，我們嘗試對釣魚網站進行干擾。首先采取DOS拒絕服務的反制措施，消耗釣魚網站應用資源，讓正常客戶無法訪問，但釣魚網站數量多且無法實時獲取最新數據。其次，編寫自動化腳本向釣魚網站寫入大量臟數據，干擾詐騙團伙對網站后臺數據的驗證。

三是釣魚詐騙手法分析。為分析詐騙團伙的釣魚手法，我們向釣魚網站提交了驗證性數據，并在流量監控設備上監測到了相關登錄日志，說明詐騙團伙正在實時監控客戶在釣魚網站上輸入的信息并進行登錄嘗試。

四是關聯分析設備ID并封阻IP。我們對提交的驗證性數據進行關聯分析，得到了詐騙團伙的登錄IP和登錄設備ID。分析發現，登錄IP歸屬地集中于云南省和緬甸，于是重點監測流量，持續監控并封堵相關IP。采取此措施后，攻擊流量大大減少，但詐騙團伙仍嘗試以更換代理IP的方式繼續進行登錄。

五是建立黑名單機制并限制黑產賬戶。根據下屬機構上報的受騙用戶轉賬記錄以及外部情報信息，我們分析并篩選出黑產收款賬戶，通過大數據風控系統建立黑名單，對黑產收款賬戶進行轉賬攔截，防止其他受騙客戶繼續轉賬。

六是限制已泄露賬戶的登錄和轉賬。我們對詐騙團伙的登錄設備ID進行關聯分析，統計出已泄露的用戶信息，并持續監測有無新增泄露賬戶。如果發現詐騙團伙進行登錄嘗試，則在手機銀行通過輸錯6次密碼的方式將相關賬戶鎖定1小時；對已泄露的賬戶，則通過大數據風控系統進行攔截，限制轉賬，客服人員或機構核實客戶真實身份后再放開。

七是手機銀行增強安全認證。詐騙團伙通過誘騙客戶輸入短信驗證碼、交易密碼等關鍵認證信息達到盜取資金的目的。如在更換設備進行手機銀行登錄時增加人臉認證，則能有效阻斷其詐騙行為。我們聯合單位各部門召開緊急會議，共同確定在手機銀行中增加“非常用設備登錄需人臉識別驗證”的功能，成功阻斷了詐騙團伙對其他客戶實施進一步釣魚詐騙。

八是安全意識宣傳與指導。在釣魚詐騙事件處置過程中，要注意加強對客戶的宣傳以及對下屬機構的指導。在更換設備、轉賬等環節的短信模板上進一步明確提示，提醒客戶注意防范釣魚詐騙；在微信公眾號等官方渠道發布相關提示；通知下屬機構向客戶發送防釣魚詐騙短信提示；密切關注客戶和下屬機構反饋信息，指引受騙客戶報警，做好客戶安撫工作。

九是對釣魚詐騙網站開展反制工作。聯合外部安全廠商開展反制工作，成功獲得部分釣魚網站管理后臺系統和數據作為證據，為公安部門提供了有力線索。

十是潛在損失風險排查。對詐騙團伙登錄嘗試時的設備ID、登錄IP、轉賬交易等記錄和流量進行分析，進一步統計出其他受騙用戶或已泄露的用戶信息。

圖10    對抗思路

2.事件處置經驗

一是響應及時，持續對抗。我單位收到下屬機構上報的釣魚詐騙事件后，第一時間協調各條線派員參與事件處置工作，建立處置組溝通群，并著手收集客戶反饋信息和外部安全情報，持續監測黑產動向。

二是措施有效，多管齊下。以“快速阻斷、減少損失”為原則，我們從技術對抗、業務優化、宣傳提醒等層面采取了多種處置措施。對釣魚者采取“關網站、干擾反制、限IP、限轉賬”的措施；對客戶進行安全知識宣傳，提醒客戶修改密碼，提高識騙防騙意識；在手機銀行增加身份驗證措施，在相關渠道增加風控措施。

三是協同一致，分工合理。此次針對銀行客戶的網絡釣魚詐騙事件不同于傳統的電信詐騙，詐騙團伙有較強的技術能力并做了充分準備。我單位各部門高度重視，各司其職，以客戶第一為宗旨，盡全力減少客戶損失。

網絡釣魚的本質是欺詐，詐騙分子利用人的信任、貪婪、防范意識低等特質，以“人”這一最薄弱的環節為突破，侵犯用戶的隱私及財產安全。對待網絡釣魚事件，銀行需要從被動處置逐步向主動防御、積極對抗轉變，提高安全防護與監測能力，做到防患于未然；需要加強安全事件的應急處置能力，積累處置經驗，第一時間控制影響范圍，減少客戶損失，保護客戶合法權益；需要做好安全知識宣傳，提高金融消費者防騙意識，內外聯手，讓不法分子無可乘之機。

（欄目編輯：鄭巖）