信息來源：企業(yè)網(wǎng)

一、威脅趨勢

在信息安全鏈條中，技術(shù)、管理等因素極大威脅著信息安全，而人為因素則是其中最為薄弱的一個環(huán)節(jié)。正是基于這一點，越來越多的黑客轉(zhuǎn)向利用人的弱點即社會工程學方法來實施網(wǎng)絡攻擊。利用社會工程學手段，突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢。

網(wǎng)絡釣魚是社會工程學的一種形式，也是信息安全威脅中最久遠、最常見的一種攻擊方式。網(wǎng)絡釣魚歷史悠久，其主要發(fā)展歷程可以歸納如下：

• 網(wǎng)釣技術(shù)最早于1987年問世
• 首次使用“網(wǎng)釣”（phishing）這個術(shù)語是在1996年。該詞是英文單詞釣魚（fishing）的變種之一，大概是受到“飛客”（phreaking）一詞的影響，意味著放錢釣魚以“釣”取受害人財務數(shù)據(jù)和密碼
• 2000年，通訊信息詐騙由臺灣從沿海逐漸向內(nèi)地發(fā)展，并迅速在國內(nèi)發(fā)展蔓延
• 2002年，著名黑客凱文·米特尼克推出一本關(guān)于社會工程學的暢銷書，名為《欺騙的藝術(shù)》（The Art of Deception）
• 2004年1月26日，美國聯(lián)邦貿(mào)易委員會提交了涉嫌網(wǎng)釣者的第一次起訴
• 2012年9月，中國首例入刑的“偽基站”案件出現(xiàn)
• 2013年5月，短信攔截木馬利用偽基站傳播開始在全國范圍內(nèi)爆發(fā)
• 2016年8月，羅莊徐玉玉通訊信息詐騙猝死案發(fā)生，引發(fā)社會關(guān)注

在電商購物、移動支付盛行的今天，網(wǎng)絡釣魚也發(fā)生了新的變化，不僅有傳統(tǒng)的網(wǎng)站欺騙，還發(fā)展出移動平臺釣魚的新方式。相對于傳統(tǒng)詐騙，移動平臺的釣魚手段更加惡劣，帶來的經(jīng)濟損失也更為慘重。

作為移動威脅的一部分，移動釣魚攻擊已成為手機用戶的重要威脅。經(jīng)過三年多的發(fā)展變化，移動釣魚攻擊的技術(shù)及手段更加成熟。移動威脅最直接的受害群體是普通的個人用戶，詐騙電話、釣魚短信、手機病毒已經(jīng)成為危害用戶手機安全的主要威脅，其中針對個人用戶的移動威脅當前主要是借助于偽基站釣魚短信傳播惡意代碼；同時通訊信息詐騙犯罪持續(xù)高發(fā)，媒體也公開披露過多起致人死亡或涉案金額巨大的電話詐騙案件。

2016年，網(wǎng)站系統(tǒng)的脫庫、撞庫攻擊頻繁發(fā)生，各類信息及數(shù)據(jù)泄露的安全事件依舊層出不窮，且愈演愈烈。黑產(chǎn)之手已經(jīng)延伸到普通百姓生活，用戶的隱私和信息早已公然成為販賣品，在黑市上肆無忌憚地買賣。個人隱私數(shù)據(jù)經(jīng)過地下產(chǎn)業(yè)鏈的販賣渠道，最后形成了各種地下社工庫，信息和數(shù)據(jù)泄露事件不斷上升。

隨著移動互聯(lián)網(wǎng)的快速增長和發(fā)展，移動廣告、游戲和各類 O2O平臺的迅猛發(fā)展，加之移動互聯(lián)網(wǎng)企業(yè)以及監(jiān)管部門在應對企業(yè)業(yè)務欺詐上的投入和打擊力度不足，移動互聯(lián)網(wǎng)企業(yè)在類似“刷單”，“刷榜”，“刷流量”，“刷日活”等“薅羊毛”類的業(yè)務欺詐的風險會進一步增長和擴大。

可以預見的是，在之后數(shù)年移動網(wǎng)絡安全依然不容樂觀，隱私泄露和移動攻擊的泛濫和融合還會進一步加深，帶來欺詐泛濫成災，導致網(wǎng)絡攻擊威脅泛濫并進一步的加深。

二、威脅分析

如今，“網(wǎng)絡釣魚”非法活動已經(jīng)不局限于網(wǎng)絡方式，還會結(jié)合通訊信息詐騙等方式進行輔助攻擊。比如泛濫成災的“垃圾短信”和”詐騙電話“。部分詐騙短信以急迫的口吻要求用戶對虛有的已消費“商品”進行買單，或者以熟悉的朋友、親人的身份來要求用戶提供帳號和密碼。嚴格地說，它們都屬于“網(wǎng)絡釣魚”的范疇。 經(jīng)過長期的發(fā)展，網(wǎng)絡釣魚的手段非常多并相當復雜。歸納起來，大致有以下八種：

在實際網(wǎng)絡攻擊過程中，以上攻擊類型并不是獨立存在，各自為營的，而是多種手段配合進行。

通常來說，我們將這8種攻擊手段劃分為兩類，一類是傳統(tǒng)釣魚，包括釣魚郵件、釣魚網(wǎng)站、通訊信息詐騙、網(wǎng)購釣魚；另一類是移動釣魚，包括利用短信、惡意代碼、WiFi釣魚和針對iPhone手機釣魚。接下來，我們將對這兩類攻擊手段進行詳細分析。

2.1 傳統(tǒng)釣魚在移動平臺更新迭代

傳統(tǒng)的網(wǎng)絡釣魚攻擊在PC時代就已經(jīng)廣泛流行，主要是通過電子郵件、釣魚網(wǎng)站發(fā)送虛假廣告等方式引誘用戶提供身份證號、電話號碼、網(wǎng)銀賬號、密碼等敏感信息，另外還包括通訊信息詐騙、網(wǎng)上購物釣魚等。隨著移動互聯(lián)網(wǎng)時代的到來，傳統(tǒng)釣魚也在新平臺發(fā)生了新的變化。

2.1.1 釣魚郵件表現(xiàn)萎靡

電子郵件出現(xiàn)在70年代，長久以來也早已成為詐騙者和黑產(chǎn)從業(yè)人員滲透人們生活和工作的利器，給個人甚至組織機構(gòu)都造成了嚴重的安全威脅。大致來說，釣魚郵件可以分為以下三個類別：鏈接釣魚郵件、附件釣魚郵件和仿冒郵件。

1、 鏈接釣魚郵件

鏈接釣魚郵件多以嵌入釣魚鏈接的欺詐郵件引誘用戶，如黑客發(fā)送大量欺詐性郵件，以中獎、顧問、對賬等內(nèi)容引誘用戶在郵件中填入金融賬號和密碼。

2、 附件釣魚郵件

附件釣魚郵件會誘導收信人下載帶有病毒的附件，附件類型包括Html網(wǎng)頁文件、Exe/Scr文件、Doc文件、Excel文件、PDF文件等。在大量披露的APT攻擊中，攻擊者經(jīng)常使用含有漏洞利用代碼的Office、PDF文檔作為攻擊載荷對目標進行釣魚攻擊。

3、 仿冒郵件

40多年前，電子郵件創(chuàng)造之初，設(shè)計和協(xié)議使用上并沒有考慮安全性，沒有制作任何驗證用戶身份真實性的措施，只要稍作處理，發(fā)件人就可以偽裝成任何身份給任何人發(fā)送郵件，因此郵件很容易被冒充或仿冒，這類郵件也是識別難度、追蹤難度最高的郵件釣魚攻擊方式。

如今，一方面由于電子郵件太過古老，落后的技術(shù)和不適宜的用戶體驗使其正面臨大量普通用戶的喪失；另一方面，在移動時代里隨著社交工具的流行，電子郵件也已經(jīng)失去了其賴以生存的天然土壤，因此傳統(tǒng)的郵件釣魚在移動平臺整體表現(xiàn)萎靡。

2.1.2 網(wǎng)站釣魚結(jié)合偽基站成為重災區(qū)

在當前我國的互聯(lián)網(wǎng)環(huán)境下，傳統(tǒng)釣魚網(wǎng)站最常見的攻擊方法有兩種：一種是假冒中獎的釣魚網(wǎng)站，主要特征是以中獎為誘餌，欺騙用戶匯款或誘導用戶填寫真實的身份信息和賬號信息等；另一種則是假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站等，誘導用戶登錄并輸入賬號密碼等信息，進而通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)等盜取資金。

隨著移動時代的到來，以及媒體對惡意釣魚攻擊的持續(xù)報道，傳統(tǒng)的釣魚攻擊逐漸被網(wǎng)民熟識，簡單的信息誘騙和相似網(wǎng)站內(nèi)容的欺騙已經(jīng)很難成功實現(xiàn)釣魚攻擊了。在這種情形下，攻擊者使用釣魚攻擊的手法也發(fā)生了演變，最明顯地是出現(xiàn)了大量的適配手機界面的釣魚網(wǎng)站。下圖為建設(shè)銀行、招商銀行和工商銀行的手機釣魚網(wǎng)站界面，無論從內(nèi)容上還是形式上都與正規(guī)銀行網(wǎng)站極為相似。

此外，針對移動平臺的網(wǎng)站釣魚也由原來的簡單信息欺騙、中獎誘惑等單一性的釣魚欺詐，轉(zhuǎn)變?yōu)槟壳傲餍械膫位緜鞑メ烎~網(wǎng)站掛馬的形式。這類釣魚網(wǎng)站利用偽基站仿冒官方短信號碼如10086、95533傳播釣魚網(wǎng)站，用戶往往無法判斷出短信的真?zhèn)?，從而點擊訪問釣魚網(wǎng)站，而網(wǎng)站通常都是高仿官網(wǎng)頁面，主要用于誘導用戶下載仿冒的客戶端應用程序。

在此類攻擊中，銀行網(wǎng)站一直是釣魚網(wǎng)站的重災區(qū)。為有效對抗釣魚網(wǎng)站，中國電信云堤和安天實驗室長期以來對互聯(lián)網(wǎng)絡的釣魚站點進行了持續(xù)監(jiān)控。下圖展示了2016年釣魚網(wǎng)站數(shù)量的變化情況。

其中，2016年仿冒應用Top10 如下圖所示：

從圖中可以看出，受影響程度占比最重的部分均為國內(nèi)知名度很高、用戶范圍廣泛的大型銀行和運營商，也都是偽基站經(jīng)常仿冒身份傳播的釣魚網(wǎng)站內(nèi)容。

2.1.3 通訊信息詐騙持續(xù)升溫

2016年通訊信息詐騙案件呈持續(xù)高發(fā)態(tài)勢，比如震驚社會的徐玉玉通訊信息詐騙案、清華老師被詐騙1760萬等案件，其資金損失數(shù)額巨大，甚至傷及人命。因此通訊信息詐騙引發(fā)了社會各界的廣泛關(guān)注。

通訊信息詐騙大部分為廣撒網(wǎng)釣魚，成功概率低，但由于人數(shù)基數(shù)大，總有人上當。但是當攻擊者掌握了受害者的真實信息，如姓名、公司的職位、郵箱、銀行賬戶等重要隱私信息，這在一定程度上大大提高了釣魚攻擊的成功率。

攻擊手段上，“情景構(gòu)建”類釣魚攻擊在最近幾年比較流行。例如“明天到我辦公室來一趟”或”錢打我這個賬號上“；又如最近爆發(fā)的徐玉玉案。這種“場景構(gòu)建”的前提是需要獲取受害人一定的事實信息。精細化攻擊通常需要預備好特定的攻擊劇本，同時也需要一定的運氣，最典型的場景就是謊稱公安、檢察院、法院工作人員實施詐騙。

隨著移動互聯(lián)網(wǎng)的高速發(fā)展，通訊信息詐騙手段也隨之發(fā)生了相應的變化。 AVL Team就曾披露過一系列結(jié)合Android惡意代碼的通訊信息詐騙攻擊，該攻擊通過在受害者手機上顯示一張偽造的最高人民檢察院發(fā)布的電子憑證，恐嚇受害者因涉嫌犯罪需要接受調(diào)查，如下圖所示。

防范意識薄弱的受害者可能會直接相信對方，但即便被害人具備足夠的防范意識，詐騙者依然有辦法逼其就范，他們會劫持受害者手機的報警電話，在被害者撥打110確認時，電話那頭依然是詐騙者，環(huán)環(huán)相扣，使受害者信以為真，最終落入攻擊者圈套。下圖為相關(guān)代碼片段截圖：

2.1.4 網(wǎng)購釣魚重在隱私泄露

據(jù)CNNIC發(fā)布的第38次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至2016年6月，我國網(wǎng)絡購物用戶規(guī)模達到4.48 億。網(wǎng)絡購物為快節(jié)奏的都市生活提供了極大的便利，但人們在享受這種便捷生活的同時，也面臨著個人信息泄露以及相應的網(wǎng)購釣魚攻擊的風險。

早期攻擊者常常利用虛假的購物信息進行詐騙，一般是通過在知名的大型購物網(wǎng)站上發(fā)布虛假的商品銷售信息，并以所謂“超低價”、“免稅”、“走私貨”、“慈善義賣”等名義出售各種產(chǎn)品為由誘騙受害者掉進詐騙陷阱。由于網(wǎng)上交易大多是異地交易，需要線上匯款，攻擊者一般要求消費者先付部分款項，再以各種理由誘騙消費者支付余款或者其他各類名目的款項，攻擊者得到錢款或被識破，就立即銷聲匿跡。

隨著網(wǎng)購的成熟，虛假信息詐騙已經(jīng)難以有效實施攻擊，取而代之的是大量的因隱私泄露而導致的網(wǎng)購詐騙，比如快遞公司員工泄露用戶姓名電話地址；黑客入侵快遞公司數(shù)據(jù)庫、破解賣家和買家常用賬號密碼、竊取大量用戶消費交易記錄等，此類用戶重要隱私信息都會被攻擊者用于實施網(wǎng)購釣魚攻擊。最為常見的網(wǎng)購詐騙案件通常發(fā)生在消費者網(wǎng)購付款成功后的一兩天內(nèi)，消費者會接到自稱是網(wǎng)店客服的電話，稱由于淘寶系統(tǒng)正在升級導致訂單失效，需要先退款再購買，并能準確說出消費者購買的商品名稱、收貨地址、電話以及所有訂單信息。由于詐騙者所述信息準確，消費者通常不會懷疑，并會打開對方發(fā)來的偽造的退款鏈接，并按提示輸入銀行卡號、密碼、手機號及短信驗證碼等信息，最終導致資金被盜。

2.2 移動釣魚數(shù)量持續(xù)攀升

由于移動平臺的特殊性，移動終端的釣魚方式也比傳統(tǒng)釣魚增加了一些新特征，其中最典型的就是攻擊者通過偽基站偽裝成10086等發(fā)送釣魚短信，而移動平臺的釣魚數(shù)量也在持續(xù)攀升。

2.2.1 偽基站短信釣魚爆發(fā)

通過短信發(fā)送釣魚信息的攻擊方式由來已久，手機用戶以往只需要識別發(fā)送號碼即可輕易防范。但自從偽基站攻擊全面爆發(fā)后，攻擊者可以使用偽基站偽裝成任意號碼如：任意銀行的短信服務號來發(fā)送通知短信，這些號碼具有極強的迷惑性，普通用戶根本無法分辨，給用戶帶來了極大的安全威脅。

目前流行的偽基站都屬于GSM協(xié)議，由于國內(nèi)以GSM等協(xié)議為主要載體的用戶群體數(shù)量仍然龐大。因此在短期內(nèi)以偽基站為傳播渠道、詐騙短信為載體的威脅仍將持續(xù)泛濫。

下圖統(tǒng)計了2016年1月至12月釣魚短信的類型分布。從中可以看到中獎詐騙類釣魚攻擊占比接近30%，其次則是惡意代碼、銀行釣魚、澳門博彩、微商淘寶等占據(jù)大半，最后則是少量的社工詐騙和Apple ID釣魚。

釣魚短信攻擊目標明確，攻擊方式固定，簡單來說，有以下幾種類型：

2.2.2 利用惡意代碼釣魚是主力

隨著Android和iOS系統(tǒng)的發(fā)展，攻擊者利用惡意代碼進行攻擊已經(jīng)成為移動釣魚的主要威脅之一。

2.2.2.1 短信攔截木馬持續(xù)發(fā)酵

短信攔截木馬威脅從2013年開始爆發(fā)并持續(xù)發(fā)酵。到2015年，短信攔截木馬類威脅事件數(shù)量呈現(xiàn)明顯增長，到2016年開始呈現(xiàn)高速爆發(fā)的趨勢，而在年中由于G20峰會等管制嚴格出現(xiàn)一段低谷，到2016年年底繼續(xù)爆發(fā)。如下圖所示：

近幾年，短信攔截木馬類威脅事件已經(jīng)形成一套非常固定的攻擊模式。

短信攔截木馬攻擊模式：

• 主要通過偽基站投放偽裝成商戶、銀行等號碼發(fā)送的釣魚欺詐短信；
• 以短鏈接或者仿冒的網(wǎng)址誘騙受害者打開釣魚網(wǎng)站；
• 釣魚網(wǎng)站誘騙受害者填寫部分個人信息并竊??；
• 誘導受害者下載安裝木馬程序；
• 木馬程序以發(fā)送短信或者發(fā)送郵件的方式竊取短信內(nèi)容，并最終竊取受害者的在線金融資產(chǎn)。

關(guān)于短信攔截木馬地下產(chǎn)業(yè)，AVL Team曾在《針對移動銀行和金融支付的持續(xù)黑產(chǎn)行動披露——Dark Mobile Bank跟蹤分析報告》中指出，短信攔截木馬的威脅活動最早出現(xiàn)于2013年5月，進行了接近3年的持續(xù)有效的大規(guī)模威脅和攻擊，涉及人員可能接近十萬人規(guī)模，并形成了分工明確的產(chǎn)業(yè)體系。在過去接近3年的持續(xù)攻擊中，短信攔截木馬攻擊影響范圍在1億人以上，其中累積超過100萬用戶不幸被感染和控制，地下產(chǎn)業(yè)鏈的整體規(guī)模應該在接近百億的規(guī)模，影響的資產(chǎn)危害面接近千億規(guī)模。

具體來說，攔截木馬總體威脅如圖所示：

2.2.2.2 仿冒已成惡意代碼標配

為了提高欺詐和釣魚攻擊的成功率，攻擊者采用了大量的偽裝和仿冒技術(shù)，通過仿冒正版的釣魚移動應用程序，進而截獲、捕捉用戶輸入數(shù)據(jù)，非法入侵用戶互聯(lián)網(wǎng)賬戶系統(tǒng)。

攻擊者開發(fā)的仿冒APP主要偽裝成農(nóng)業(yè)銀行、建設(shè)銀行、招商銀行、交通銀行、工商銀行等銀行名稱或圖標，其中還有一部分木馬程序會直接偽裝成銀聯(lián)安全證書或者銀行控件的應用名稱。

根據(jù)移動威脅情報平臺應用數(shù)據(jù)，通過檢索仿冒“銀行”程序名的惡意應用發(fā)現(xiàn)，自12月份以來,感染用戶達到1546人。統(tǒng)計仿冒的銀行應用程序名TOP10如下：

該類攻擊手段通常為直接仿冒應用登陸界面竊取銀行賬戶數(shù)據(jù)，和通過劫持登陸界面竊取銀行賬戶數(shù)據(jù)兩種方式。

相對于單純的仿冒銀行應用界面來說，通過劫持登陸窗口的方式目的性更強。劫持登錄窗口主要是通過攻擊銀行應用來竊取銀行賬戶數(shù)據(jù)。在界面仿冒上多以HTML來布局，這種攻擊手段更加靈活隱蔽（該攻擊手段適用于：安卓系統(tǒng)版本低于5.0）。

2.2.2.3 利用漏洞欺詐難以防范

攻擊者通過利用系統(tǒng)漏洞的惡意代碼也可以導致釣魚欺詐。

比如2012年北卡羅來納州州立大學研究員發(fā)現(xiàn)了一個存在于Android 平臺的“短信欺詐”漏洞，該漏洞可以允許應用在Android平臺上進行短信偽裝。通過利用該漏洞，攻擊者可以私自篡改短信內(nèi)容并實施詐騙。該漏洞對Android 4.1以下版本均有影響，由于短信欺詐漏洞屬于Android系統(tǒng)漏洞，幾乎影響了所有其他三方手機廠商。

相對Android系統(tǒng)漏洞來說，大量存在漏洞的APP也會導致用戶遭受釣魚攻擊，如APP如果沒有做防釣魚劫持措施，此APP就會被攻擊者利用，通過劫持應用程序的登錄界面，獲取用戶的賬號和密碼，導致用戶賬號信息的泄露。

iOS平臺同樣存在此類風險。例如攻擊者在未越獄的iPhone 6上進行釣魚攻擊并盜取Apple ID的密碼，利用該漏洞惡意代碼可以在其他應用包括App Store中彈出來偽造的與正規(guī)應用一模一樣的登錄框，所以用戶很難察覺，用戶會習慣性輸入Apple ID的密碼，最終導致帳號被盜。

2.2.2.4 移動APT攻擊崛起

隨著移動終端的智能化和普及，移動智能終端將更多地承載不同人群的工作和生活，更多的高價值信息都將附著于移動智能終端，移動平臺也早已成為了APT攻擊的重點目標。

APT，即高級持續(xù)性威脅，一般是國家間或國際公司間為了特定目標，由頂級黑客組織發(fā)起的持續(xù)攻擊，魚叉式釣魚攻擊是APT攻擊者的首要攻擊向量。魚叉式網(wǎng)絡釣魚主要是向是公司內(nèi)部的個人或團體發(fā)送看似真實的電子郵件。郵件附錄多含有隱私竊取的惡意代碼，甚至包含office、pdf等0day漏洞的利用。

2016年3月，多家安全廠商披露了一個以印度軍方或政府人員為攻擊目標的攻擊組織，這個組織除了具備對PC平臺的針對性攻擊行為的能力，還發(fā)起了針對移動平臺的攻擊活動，使用了包括Android以及BlackBerry平臺的攻擊木馬程序，并重點以收集和竊取攻擊目標的身份信息和隱私數(shù)據(jù)為目的，此次針對移動平臺的攻擊采用結(jié)合社會工程學的釣魚網(wǎng)站及仿冒APP掛馬等方式進行攻擊投放。

2016年8月Citizen Lab公布了一起名為“三叉戟”（Trident）的移動APT事件，報告稱是對阿聯(lián)酋人權(quán)活動人士進行的定向攻擊，該工具由以色列公司NSO Group 開發(fā)并為政府所用，利用3 個iPhone 0day實現(xiàn)通過訪問網(wǎng)頁來完成攻擊武器的植入和潛伏，可以有效刺破iOS的安全機制，抵達內(nèi)核，完全控制手機，能在用戶完全無法毫無察覺的情況下竊取設(shè)備上所有隱私數(shù)據(jù)。這是在移動平臺最為典型的APT攻擊事件，也是蘋果歷史上第一次公開披露的針對iOS的APT 0day攻擊，而該攻擊正是通過發(fā)送短信釣魚引誘受害者訪問某惡意站點進行攻擊的。

2017年或?qū)⑦M入移動APT元年，移動APT由過去協(xié)同Cyber攻擊逐漸轉(zhuǎn)向獨立前置性的攻擊和前奏，基于移動軍火商和改用商用間諜木馬依舊會作為重點的攻擊武器，移動APT會繼續(xù)圍繞監(jiān)聽和數(shù)據(jù)竊取為目的，針對高價值人群以及特殊行業(yè)的定向攻擊開始真正崛起。

2.2.3 WiFi釣魚影響擴大

2015年央視3.15晚會曝光了黑客如何在公共場所利用“釣魚WiFi”竊取用戶隱私數(shù)據(jù)，最終導致財產(chǎn)損失的黑幕。觸目驚心的現(xiàn)場演示讓許多人對公共WiFi上網(wǎng)安全產(chǎn)生恐慌，也讓WiFi釣魚這一攻擊方式開始廣為人知。

許多商家、機場等通常會為客戶提供免費的WiFi接入服務，消費者通常也會為節(jié)省流量而接入其中。免費WiFi給消費者提供了便利，對于攻擊者而言卻是絕佳的攻擊場景。其中最簡單的攻擊場景是提供一個名字與商家類似的免費WiFi接入點，吸引網(wǎng)民接入。一旦連接到黑客設(shè)定的WiFi熱點，用戶上網(wǎng)的所有數(shù)據(jù)包，都會經(jīng)過黑客設(shè)備轉(zhuǎn)發(fā)，這些信息會被截留下來分析，沒有加密的通信數(shù)據(jù)就可以直接被查看。

除了使用免費WIFI釣魚之外，攻擊者還可以破解家用無線路由器，接手控制無線路由器管理后臺，進而對家庭WiFi執(zhí)行隱私監(jiān)聽、植入廣告或惡意代碼、網(wǎng)絡劫持到釣魚網(wǎng)站等攻擊。

WiFi釣魚屬于中間人攻擊，主要通過劫持受害者流量進行惡意行為。具體來說有以下幾種：

• 竊取隱私。通過黑客提供的WiFi上網(wǎng)時，用戶上網(wǎng)的所有痕跡都會被監(jiān)聽，比如新聞、相冊、瀏覽朋友圈、刷微博、逛淘寶等。
• 網(wǎng)站劫持。攻擊者可以將用戶正在訪問的網(wǎng)站劫持到精心構(gòu)造的仿冒網(wǎng)站，從而獲取用戶提交的帳號密碼等隱私信息，這種情況就極可能產(chǎn)生直接的經(jīng)濟損失。
• 身份冒用。當受害者掉進WiFi陷阱后登錄微博賬號，攻擊者可以直接劫持訪問令牌，不需要得到帳號密碼即可直接用受害者的身份登錄微博，進而執(zhí)行釣魚攻擊。
• 流氓廣告。攻擊者劫持通信后，可以給受害者訪問的所有網(wǎng)站植入廣告。
• 植入木馬。攻擊者劫持流量后，當用戶下載安裝app時，攻擊者可將APP替換為精心構(gòu)造的惡意代碼，從而達到植入木馬的目的。

2.2.4 iPhone釣魚產(chǎn)業(yè)呈現(xiàn)

蘋果用戶的Apple ID是蘋果全套服務的核心賬戶，貫穿于iCloud、iTunes Store、App Store等服務。其中iCloud是蘋果的云服務，實時保證用戶蘋果設(shè)備上的文檔、照片、聯(lián)系人等資料同步；提供與朋友分享照片、日歷、地理位置等的接口；還能用來找回丟失的iOS設(shè)備。故而針對iPhone的釣魚攻擊也基本都是圍繞著Apple ID進行的。常見的iPhone釣魚有以下幾種情況：

• 偽造Apple相關(guān)網(wǎng)站,通過偽基站等方式廣泛發(fā)送釣魚信息,進而竊取受害者的iCloud賬號密碼,最終遠程鎖定受害者設(shè)備進行勒索。
• 用戶iPhone丟失或被盜,流入二手市場,黑客從設(shè)備獲取到用戶iCloud賬號和手機號碼等信息,從而有目標的投放偽造Apple相關(guān)網(wǎng)站,釣魚竊取用戶的iCloud密碼最終解鎖用戶設(shè)備。
• 在獲取到受害者的iCloud前提下，利用iOS的iMessage、日歷推送、照片共享等功能給用戶推送大量的垃圾信息或釣魚信息。

2.2.4.1 iPhone勒索威脅加深

移動平臺的勒索，主要分為Android平臺的惡意代碼勒索和iOS平臺的iCloud釣魚勒索，Android平臺的勒索件通常表現(xiàn)為惡意鎖屏和加密磁盤文件；而iOS平臺的勒索則是基于Apple的iCloud賬號進行的。

由于Apple的安全機制，當用戶的Apple ID被盜取后，若其被盜取賬戶密碼與郵箱密碼一致，那么基本上就能很輕易的將受害者的設(shè)備鎖上，被鎖后通常只能聯(lián)系蘋果客服同時出示購買證明才有可能將其解鎖還原，否則就只能乖乖地繳納贖金，換取設(shè)備的解鎖口令。

除了鎖定勒索之外，還有如好萊塢女星iCloud被暴力破解后其上傳至iCloud賬戶的艷照泄露而遭到勒索的案例發(fā)生。

以iCloud勒索攻擊流程為例，其數(shù)據(jù)流轉(zhuǎn)以及獲利情況分析如下：

第一類是釣魚網(wǎng)站開發(fā)者，通過向他人提供釣魚網(wǎng)站服務器、服務器空間獲利。

第二類是釣魚網(wǎng)站使用者，他們通過釣魚網(wǎng)站搭建自己的釣魚平臺，通過受害人發(fā)送釣魚鏈接的方式，獲取受害人蘋果ID及密碼，再將賬戶和密碼出售給敲詐勒索人員獲益。

第三類是敲詐勒索人員，該類人從釣魚網(wǎng)站或者通過社工庫撞庫等方式獲取到受害者ID密碼后，登陸iCloud官網(wǎng)，遠程鎖定受害人使用的蘋果設(shè)備，使其無法使用而敲詐勒索獲利；

第四類是二手手機收購人員，此類人員自稱二手機收購者，獲取到丟失和被盜搶的手機后，通過釣魚方式獲取蘋果ID賬戶密碼而解鎖設(shè)備，進行二次銷售。

2.2.4.2 澳門博彩泛濫成災

有不少iPhone用戶都曾在日歷以及照片共享中收到過一些莫名的垃圾廣告，由于iOS的iMessage、日歷推送、照片共享等分享功能可以在已知對方iCloud賬號的前提下以幾乎無成本的方式給用戶推送信息，而這些都是常規(guī)功能，且都是默認開啟的。因此催生了利用這些共享功能進行營銷的黑產(chǎn)，其中最為典型的是澳門博彩，這類網(wǎng)站通常通過博彩獲利或者其本身就是一個進行信息竊取或詐騙的釣魚網(wǎng)站。

對于此類流氓推送信息，用戶可以采取措施如下：

• 修改iCloud郵箱為未泄露的全新郵箱
• 設(shè)置—iCloud—日歷—關(guān)閉日歷同步
• 設(shè)置—iCloud—照片—關(guān)閉iCloud照片共享

2.3 隱私泄露為釣魚攻擊重要幫兇

2016年針對網(wǎng)站系統(tǒng)的脫庫、撞庫攻擊頻繁發(fā)生，各類信息及數(shù)據(jù)泄露的安全事件依舊層出不窮，且越演越烈。個人信息泄露對社會生活的影響也通過“徐玉玉”事件讓公眾有了深刻的認識。而無論傳統(tǒng)PC還是移動平臺，隱私的大面積泄露，已經(jīng)成為網(wǎng)絡釣魚威脅當中重要的幫兇和支撐性的環(huán)節(jié)。

由于用戶隱私信息的重要性，大量地下產(chǎn)業(yè)從業(yè)者以此獲利，而且形成了一條分工明確、操作專業(yè)的完整的利益鏈條。黑色產(chǎn)業(yè)鏈不僅完成了對數(shù)據(jù)的原始積累，更開始通過大數(shù)據(jù)計算等方式對數(shù)據(jù)進行加工和非法利用。

黑客非法獲取用戶隱私信息，然后會聯(lián)系相關(guān)的培訓機構(gòu)或詐騙團伙，把手上的數(shù)據(jù)轉(zhuǎn)賣到下游。這里面還有大量二道販子的存在，在中間賺取差價。而下游這些團隊，有專人負責詐騙的話術(shù)編寫培訓、線上通過第三方支付平臺洗錢、線下ATM機提款等。

以下列舉日常生活中最為常見的隱私泄露場景，無論個人用戶還是相關(guān)企業(yè)、政府部門都應對此類情況有所防范：

2.3.1 防不勝防的被動泄露

1、惡意代碼

移動平臺惡意代碼的主要行為，體現(xiàn)出惡意代碼的趨利性。Android平臺短信攔截木馬的泛濫直接導致隱私竊取類的惡意代碼數(shù)量增長明顯，攻擊者通過竊取用戶銀行賬戶、密碼等重要隱私信息，最終給用戶造成資金損失，并且大部分攻擊在獲得銀行用戶賬戶資料后，還會進行出售倒賣。而移動APT攻擊更是圍繞監(jiān)聽和數(shù)據(jù)竊取為目的，針對高價值人群以及特殊行業(yè)進行定向攻擊。

2、購房信息

近年來，各類手機騷擾信息令用戶不勝其煩，其中數(shù)量最多的是賣房、裝修和房貸信息。 不少新房業(yè)主都應該有這樣的經(jīng)歷，剛剛買房電話即被“打爆”，不勝其擾。

房產(chǎn)業(yè)主的信息很受一些投資公司、裝修公司、房地產(chǎn)中介的“青睞”，且能接觸到購房信息的工作人員有很多，從開發(fā)商、銷售、銀行、物業(yè)、中介、房管局、裝修公司等每一個環(huán)節(jié)都可能造成泄露，可謂防不勝防。

3、教育機構(gòu)

徐玉玉案件是教育機構(gòu)的隱私泄露最為典型的案例，詐騙分子不但知道她的電話號碼，還知道她要上大學、知道她獲得了助學金。可以看出，詐騙分子掌握了受害者的精準信息，而這種“精準”正是源于個人信息的泄露。

個人信息泄露的渠道主要有三種：一是接觸到數(shù)據(jù)的工作人員人為泄密，二是黑客入侵獲取數(shù)據(jù)，三是提供服務的第三方獲取數(shù)據(jù)后泄密。

通訊信息詐騙，“詐”出了相關(guān)部門和電信運營商的監(jiān)管漏洞，也“詐”出了個人信息泄露問題。防范通訊信息詐騙要根除其背后的黑色鏈條，一方面要加強對通訊信息詐騙行為的監(jiān)管與追責，另一方面要整治個人信息泄露及倒賣行為。

4、網(wǎng)購

電商平臺，一直是數(shù)據(jù)泄漏的重災區(qū)之一。

2014年年初，支付寶被爆20G用戶資料泄漏。后經(jīng)調(diào)查，此次泄漏是“內(nèi)部作案”：支付寶前技術(shù)員工李某，利用職務之便，多次在公司后臺下載用戶資料。這20G資料，包括用戶個人的實名、手機、電子郵箱、家庭住址、消費記錄等，相當精準。

2015年，京東就被曝出大量用戶隱私信息泄露，多名用戶被騙走數(shù)額不等的錢財，總損失達數(shù)百萬。直到一年后，京東才公布調(diào)查結(jié)果，稱是因為出現(xiàn)“內(nèi)鬼”。所謂的“內(nèi)鬼”，是3位物流人員，通過物流流程，掌握了用戶姓名、電話、地址、何時下單、所購貨物等信息，總數(shù)據(jù)達到9313條。

不久前，黑市又曾出現(xiàn)疑似京東12G的數(shù)據(jù)包開始流通，其中包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度，數(shù)據(jù)多達數(shù)千萬條。

5、其他三方網(wǎng)站APP

2015年2月，國外媒體披露，優(yōu)步（Uber）5萬名司機的個人信息被不知名的第三方人士獲取，包括社保碼、司機相片、車輛登記號等信息；4月，遍布19個省份的社保系統(tǒng)相關(guān)信息泄露達5279.4萬條，其中包括個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息；9月，部分支付寶用戶發(fā)現(xiàn)帳號異地登陸，實為撞庫所致，雖然支付寶對資金有保護，但依然給用戶造成困擾；10月，網(wǎng)易郵箱的泄露，導致大量iPhone用戶遭到遠程鎖定勒索的威脅。

數(shù)據(jù)的泄露往往很難確認是“內(nèi)鬼”還是“黑客盜取”，不論是內(nèi)鬼作祟還是黑客攻擊，無非都是利益驅(qū)動。這些泄露的數(shù)據(jù)，最終以各種方式，成為不法分子獲利的工具。

對于電商或其他三方平臺而言，加強內(nèi)部管理、檢測修補系統(tǒng)漏洞防范黑客攻擊、及時止損并提醒用戶修改賬號密碼以避免用戶再次受傷，保護用戶隱私信息任重而道。

2.3.2 社交過程中主動泄露

不少“重度社交網(wǎng)站”用戶，往往都喜歡在微博、朋友圈等發(fā)各種照片，這也會暴露種種隱私信息、人際關(guān)系、時間地點等。

在美劇《疑犯追蹤》中，有一個名為“Machine”的系統(tǒng)，“Machine”通過收集整理來自社交網(wǎng)站信息、政府部門里的個人身份信息、遍布全國的視頻公用和私人攝像頭的監(jiān)控錄像、電話的信息，以找到恐怖襲擊嫌疑人，并在其行動之前將其抓獲破解。其中社交網(wǎng)絡是其獲取信息的重要來源之一。

雖然目前來說，“Machine”還算是科幻設(shè)備。但是它所涉及到的技術(shù)其實都已可以實現(xiàn)，如人工智能技術(shù)、大規(guī)模數(shù)據(jù)處理、圖像識別技術(shù)等等。

You are being watched，在這個早已沒有隱私的時代，盡量減少一點對個人隱私的泄露也是一種自我保護。

三、應對建議

近年來，隨著釣魚攻擊的手段日益復雜,事件持續(xù)高發(fā)，讓廣大企業(yè)和許多受騙者蒙受了巨大損失，嚴重影響人民群眾財產(chǎn)安全感。

從建立23個部門和單位參加的部際聯(lián)席會議，到健全涉通訊信息詐騙犯罪偵查工作機制；從深化跨境跨區(qū)域警務合作，到建立電話通報阻斷及被釣魚資金快速止付機制?？梢哉f反釣魚、防詐騙已成為各級政府和企業(yè)在安全領(lǐng)域的重點工作之一。作為反釣魚技術(shù)研發(fā)與服務提供商，中國電信云堤與安天移動安全針對國家監(jiān)管機構(gòu)、運營商、銀行和公眾用戶在應對釣魚風險時，提出如下建議：

3.1 監(jiān)管機構(gòu)

1. 國家和行業(yè)“反釣魚、防詐騙”監(jiān)管機構(gòu)部牽頭組織相關(guān)單位與“中國反釣魚網(wǎng)站聯(lián)盟”的互動對接和信息共享機制。實現(xiàn)官方“打釣” 與非官方“打釣”的優(yōu)勢互補，達到快速、及時的效果。

2. 集中整治用于非法采集銀行卡信息的釣魚網(wǎng)站、惡意程序(APP)，對拒不整改或者違法情節(jié)嚴重的互聯(lián)網(wǎng)站，依法吊銷相關(guān)電信經(jīng)營許可或注銷網(wǎng)站備案。

3. 加強運營商、金融機構(gòu)等行業(yè)、企業(yè)與公安機關(guān)的合作聯(lián)動，在行業(yè)監(jiān)管部門的統(tǒng)一指揮下，堅持技術(shù)手段、規(guī)范管理與防詐騙宣傳三位一體，多措并舉，持續(xù)深入開展防范打擊通訊信息詐騙工作，為維護客戶的合法權(quán)益作出貢獻。

4. 完善網(wǎng)絡法律法規(guī)打擊網(wǎng)絡釣魚犯罪，并大力宣傳有關(guān)互聯(lián)網(wǎng)方面的法律法規(guī)，培養(yǎng)公眾用戶的法制觀念，提高防范意識，不給釣魚網(wǎng)站的建立制造便利。

3.2 運營商

1. 進一步落實實名制、特服號碼的嚴格管理、網(wǎng)絡異常預警等措施。同時，加快移動通信基站的升級，加速4G網(wǎng)絡的普及，在用戶通信信道上徹底規(guī)避2G偽基站的侵擾。

2. 從網(wǎng)絡層面增強對威脅寄生渠道的監(jiān)測和阻斷，建立并完善惡意代碼監(jiān)測及攔截，通過域名甄別、網(wǎng)絡數(shù)據(jù)分析等技術(shù)手段在DNS入口和網(wǎng)絡側(cè)及時切斷釣魚網(wǎng)站的訪問，并對公眾用戶提供有關(guān)通信信息詐騙的及時預警，降低網(wǎng)絡釣魚的成功率，有效打擊網(wǎng)絡詐騙行為。

3. 通過深度的網(wǎng)絡數(shù)據(jù)分析挖掘，為金融企業(yè)實施精準風控提供有益輸入。

3.3 銀行金融機構(gòu)

1. 識別可疑賬號,依法關(guān)停一批發(fā)布銀行卡信息非法買賣交易的網(wǎng)站和網(wǎng)絡賬號，清理網(wǎng)上非法買賣銀行卡信息的有害信息。

2. 加強在線支付認證安全，研發(fā)新的認證方式，避免因手機短信動態(tài)密碼被惡意代碼泄露而導致用戶資產(chǎn)損失。

3. 及時鑒別詐騙行為，為客戶的資金安全設(shè)置防騙門檻。當不同地方銀行賬號短時間內(nèi)向同一銀行賬號密集匯款時，及時彈出提示預警框，提醒客戶防詐騙甚至中止轉(zhuǎn)賬匯款，并引導客戶向有關(guān)部門查詢核實。

4. 加強社會公眾安全使用銀行卡的宣傳教育，實現(xiàn)銀行卡風險宣傳教育的常態(tài)化和持續(xù)化。

3.4 消費者

當前，在面對釣魚等社會工程學入侵時，作為消費者的公眾用戶的防御手段和防護意識都相對單一和薄弱。要想避免成為釣魚詐騙的受害者，一定要加強安全防范意識，提高安全防范技術(shù)水平，首先在提高防范意識方面：

在受釣魚網(wǎng)站欺騙后要第一時間報警，任何攻擊的手段都會留下蛛絲馬跡，及早報案，是保護自己權(quán)益的最好手段。

提高安全意識，養(yǎng)成良好安全習慣，同時建立安全的密碼管理體系，避免因短板移動威脅造成大規(guī)模資金損失的情況。

提高對移動安全事件的關(guān)注度和敏感度，對與個人關(guān)聯(lián)的事件進行緊急響應，做好事后止損的工作。

另外，在防范措施方面公眾用戶應重點關(guān)注幾個方面：

1.防范垃圾郵件：

• 通常情況下，任何政府、企業(yè)都不會以郵件或者鏈接方式讓用戶提供用戶名和密碼；
• 釣魚郵件里提供的鏈接地址域名需注意甄別；
• 不隨意打開不明來源的郵件附件和點擊郵件正文中的可疑網(wǎng)址鏈接，不要隨意打開內(nèi)容可疑的郵件附件（Word/PDF/zip/rar等）

2.防范wifi釣魚：

• 在不使用WiFi連接時，關(guān)閉手機無線網(wǎng)卡。
• 在訪問或者使用帶有交易性質(zhì)的網(wǎng)銀或電商應用時，應盡量使用運營商提供的2G、3G、4G數(shù)據(jù)上網(wǎng)，避免使用公共WiFi，不在公共WiFi環(huán)境下載安全軟件。
• 安裝手機安全軟件，攔截可能的手機病毒和釣魚網(wǎng)站攻擊。

3.安裝防病毒系統(tǒng)和網(wǎng)絡防火墻系統(tǒng)：

• 多數(shù)反病毒軟件都具有對包括間諜軟件、木馬程序的查殺功能
• 防火墻系統(tǒng)監(jiān)視著系統(tǒng)的網(wǎng)絡連接，能夠杜絕部分攻擊意圖并及時報警提醒用戶注意

4.及時給操作系統(tǒng)和應用系統(tǒng)打補丁，避免黑客利用漏洞人侵電腦，減少潛在威脅。

5.從主觀意識上提高警惕性，提高自身的安全技術(shù)：

• 要注意核對網(wǎng)址的真實性，注意網(wǎng)站域名以及https等信息
• 要養(yǎng)成良好的使用習慣，不要輕易訪問陌生網(wǎng)站、黃色網(wǎng)站和有黑客嫌疑的網(wǎng)站
• 拒絕下載安裝不明來歷的軟件
• 拒絕可疑的郵件
• 網(wǎng)購時及時退出交易程序，做好交易記錄及時核對等等。