新型個人金融資產安全威脅抵御方法的研究

◆于佳華

（國家計算機網絡應急技術處理協調中心黑龍江分中心 黑龍江 150001）

近來，一種結合偽基站、釣魚網站、手機病毒等多種手段，詐騙 盜取網上銀行、網絡支付等金融交易關鍵信息，竊取受害者在線金融資產的新型安全威脅不斷出現。該攻擊瞄準手機支付用戶群體，圍繞用戶在線支付全流程每一個環節進行精準布局，以盜取用戶金融資產為直接目的，嚴重威脅用戶金融安全。各有關機構緊密合作并采取有效措施予以打擊遏制，成為當前一個緊迫任務。

1 問題現狀

該類攻擊的一般模式為通過偽基站或違規短信端口投放偽裝成運營商、銀行、ETC中心等官方號碼發送的釣魚欺詐短信，短信中包含仿冒網址，誘騙受害者點擊訪問該仿冒釣魚網站，在釣魚網站中誘騙受害者填寫用戶名、密碼等個人信息并實施竊取，誘導受害者下載安裝木馬程序，通過木馬程序竊取短信驗證碼，最終盜取受害者的在線金融資產。該類攻擊隨著移動互聯網的發展普及，呈愈演愈烈之勢，據CNCERT報告，2018年共捕獲新增金融行業移動互聯網仿冒App樣本838個，同比增長了近3.5倍，達近年新高[1]。

圖1攻擊示意圖

2 發現及阻斷方法

運營商作為用戶網絡服務的供應商，在此新型的安全威脅中，可以在威脅渠道檢測、威脅渠道阻斷方面發揮重要作用。同時安全廠商、銀行、電子郵件服務商等機構也需要密切配合，實現該新型安全威脅背后黑色產業鏈的聯合打擊，從根本上解決這一問題。

從技術層面對偽基站、客戶投訴、短信、互聯網流量等多個領域同時開展監測，并分別研判出釣魚短信、釣魚網站、短信攔截木馬，識別出真正的惡意信息，并采用相應阻斷手段，對惡意信息實施全方位攔截處置是一個行之有效的方法。

2.1 釣魚短信

通過對釣魚短信進行分析，少量關鍵詞即可實現絕大多數釣魚短信的發現，并且不同的釣魚短信類型對應的關鍵詞特點也不同。通訊錄群發傳播病毒類關鍵詞為相冊相片、文件資料等；偽基站類關鍵詞為10086積分兌換、銀行升級等；特定人群的釣魚攻擊類關鍵詞為車輛違章、校園通、成績單、ETC失效等；利用社會熱點傳播類關鍵詞為武漢疫情、脫貧攻堅等。同時，釣魚短信的短信內容中都會包含一個惡意網址，這也是一個顯著的監測特征。

運營商可以通過不斷更新關鍵詞進行釣魚短信持續監測，并采取在短信相關系統中添加策略予以實時攔截和關停違規短信端口等措施，打擊釣魚短信的傳播。但對于上文提到的偽基站下發短信，運營商無法實施短信攔截，手機安全廠商可以通過的手機客戶端安全產品進行識別告警，或者運營商通過下文提到的對偽基站短信中的惡意網站實施攔截的方式，對偽基站短信進行打擊。

圖2抵御方法示意圖

2.2 釣魚網站

通過對已捕獲釣魚網站進行分析，發現基本都是仿冒銀行、運營商、ETC中心等的官方網站的支付頁面，誘導用戶填寫姓名、身份證號、開戶行、銀行卡號、取款密碼、信用卡有效期、CVV碼等敏感信息。并且經監測發現，該類釣魚網站基本都托管在境外。

通過對疑似網站的是否備案查詢、相同IP承載網站性質關聯、網站活躍性突變分析、網頁關鍵詞篩選等多個因素進行綜合判斷，可以確定網站性質，識別出真正的釣魚網站。運營商可以基于近源處置的原則，在網站托管的地區進行封堵，對部署在境外的釣魚網站，在國際出口實施封堵，進而切斷釣魚網站的訪問通道。

3.3 短信攔截木馬

目前，常見手機支付應用，為了提高支付過程安全性，最后一步基本采取增加下發短信驗證碼到用戶預留手機，用戶填寫正確驗證碼后才能完成支付的方式進行保護。不法分子為解決這盜取金融資產的“最后一公里”問題，在上文提到的釣魚短信、釣魚網站中加入木馬病毒下載鏈接，引誘用戶下載安裝短信攔截木馬，該類病毒可以在用戶不知情的情況下控制受害者手機的短信收發功能，將收到的短信轉發到攻擊者的主控手機或者郵箱中，實現銀行卡余額及短信驗證碼的竊取。

運營商可以建設手機病毒監測系統，進而截獲短信攔截木馬的傳播鏈接及病毒樣本，通過病毒分析手段提取出病毒樣本的主控手機號碼及信息搜集郵箱。通過運營商封堵病毒下載鏈接可以阻斷病毒傳播，通過運營商關停主控手機號碼，以及通過電子郵件服務商關停信息搜集郵箱可以讓已發作的病毒失效。通過銀行的異常交易行為分析可以阻斷不法分子支付行為。

3 結束語

本文介紹的新型安全威脅，通過用戶在線支付全流程每一個環節進行精準布局，竊取用戶在線支付環節各類敏感信息，對用戶的個人金融資產造成極大危害。通過本文給出的運營商、安全廠商、銀行、電子郵件服務商等機構在各個威脅環節予以監測打擊的方法，可以對這一新型安全威脅實現有效遏制。