信息來源：企業(yè)網(wǎng)

一、威脅趨勢

在信息安全鏈條中，技術(shù)、管理等因素極大威脅著信息安全，而人為因素則是其中最為薄弱的一個環(huán)節(jié)。正是基于這一點，越來越多的黑客轉(zhuǎn)向利用人的弱點即社會工程學(xué)方法來實施網(wǎng)絡(luò)攻擊。利用社會工程學(xué)手段，突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢。

網(wǎng)絡(luò)釣魚是社會工程學(xué)的一種形式，也是信息安全威脅中最久遠(yuǎn)、最常見的一種攻擊方式。網(wǎng)絡(luò)釣魚歷史悠久，其主要發(fā)展歷程可以歸納如下：

• 網(wǎng)釣技術(shù)最早于1987年問世
• 首次使用“網(wǎng)釣”（phishing）這個術(shù)語是在1996年。該詞是英文單詞釣魚（fishing）的變種之一，大概是受到“飛客”（phreaking）一詞的影響，意味著放錢釣魚以“釣”取受害人財務(wù)數(shù)據(jù)和密碼
• 2000年，通訊信息詐騙由臺灣從沿海逐漸向內(nèi)地發(fā)展，并迅速在國內(nèi)發(fā)展蔓延
• 2002年，著名黑客凱文·米特尼克推出一本關(guān)于社會工程學(xué)的暢銷書，名為《欺騙的藝術(shù)》（The Art of Deception）
• 2004年1月26日，美國聯(lián)邦貿(mào)易委員會提交了涉嫌網(wǎng)釣者的第一次起訴
• 2012年9月，中國首例入刑的“偽基站”案件出現(xiàn)
• 2013年5月，短信攔截木馬利用偽基站傳播開始在全國范圍內(nèi)爆發(fā)
• 2016年8月，羅莊徐玉玉通訊信息詐騙猝死案發(fā)生，引發(fā)社會關(guān)注

在電商購物、移動支付盛行的今天，網(wǎng)絡(luò)釣魚也發(fā)生了新的變化，不僅有傳統(tǒng)的網(wǎng)站欺騙，還發(fā)展出移動平臺釣魚的新方式。相對于傳統(tǒng)詐騙，移動平臺的釣魚手段更加惡劣，帶來的經(jīng)濟(jì)損失也更為慘重。

作為移動威脅的一部分，移動釣魚攻擊已成為手機(jī)用戶的重要威脅。經(jīng)過三年多的發(fā)展變化，移動釣魚攻擊的技術(shù)及手段更加成熟。移動威脅最直接的受害群體是普通的個人用戶，詐騙電話、釣魚短信、手機(jī)病毒已經(jīng)成為危害用戶手機(jī)安全的主要威脅，其中針對個人用戶的移動威脅當(dāng)前主要是借助于偽基站釣魚短信傳播惡意代碼；同時通訊信息詐騙犯罪持續(xù)高發(fā)，媒體也公開披露過多起致人死亡或涉案金額巨大的電話詐騙案件。

2016年，網(wǎng)站系統(tǒng)的脫庫、撞庫攻擊頻繁發(fā)生，各類信息及數(shù)據(jù)泄露的安全事件依舊層出不窮，且愈演愈烈。黑產(chǎn)之手已經(jīng)延伸到普通百姓生活，用戶的隱私和信息早已公然成為販賣品，在黑市上肆無忌憚地買賣。個人隱私數(shù)據(jù)經(jīng)過地下產(chǎn)業(yè)鏈的販賣渠道，最后形成了各種地下社工庫，信息和數(shù)據(jù)泄露事件不斷上升。

隨著移動互聯(lián)網(wǎng)的快速增長和發(fā)展，移動廣告、游戲和各類 O2O平臺的迅猛發(fā)展，加之移動互聯(lián)網(wǎng)企業(yè)以及監(jiān)管部門在應(yīng)對企業(yè)業(yè)務(wù)欺詐上的投入和打擊力度不足，移動互聯(lián)網(wǎng)企業(yè)在類似“刷單”，“刷榜”，“刷流量”，“刷日活”等“薅羊毛”類的業(yè)務(wù)欺詐的風(fēng)險會進(jìn)一步增長和擴(kuò)大。

可以預(yù)見的是，在之后數(shù)年移動網(wǎng)絡(luò)安全依然不容樂觀，隱私泄露和移動攻擊的泛濫和融合還會進(jìn)一步加深，帶來欺詐泛濫成災(zāi)，導(dǎo)致網(wǎng)絡(luò)攻擊威脅泛濫并進(jìn)一步的加深。

二、威脅分析

如今，“網(wǎng)絡(luò)釣魚”非法活動已經(jīng)不局限于網(wǎng)絡(luò)方式，還會結(jié)合通訊信息詐騙等方式進(jìn)行輔助攻擊。比如泛濫成災(zāi)的“垃圾短信”和”詐騙電話“。部分詐騙短信以急迫的口吻要求用戶對虛有的已消費(fèi)“商品”進(jìn)行買單，或者以熟悉的朋友、親人的身份來要求用戶提供帳號和密碼。嚴(yán)格地說，它們都屬于“網(wǎng)絡(luò)釣魚”的范疇。 經(jīng)過長期的發(fā)展，網(wǎng)絡(luò)釣魚的手段非常多并相當(dāng)復(fù)雜。歸納起來，大致有以下八種：

在實際網(wǎng)絡(luò)攻擊過程中，以上攻擊類型并不是獨立存在，各自為營的，而是多種手段配合進(jìn)行。

通常來說，我們將這8種攻擊手段劃分為兩類，一類是傳統(tǒng)釣魚，包括釣魚郵件、釣魚網(wǎng)站、通訊信息詐騙、網(wǎng)購釣魚；另一類是移動釣魚，包括利用短信、惡意代碼、WiFi釣魚和針對iPhone手機(jī)釣魚。接下來，我們將對這兩類攻擊手段進(jìn)行詳細(xì)分析。

2.1 傳統(tǒng)釣魚在移動平臺更新迭代

傳統(tǒng)的網(wǎng)絡(luò)釣魚攻擊在PC時代就已經(jīng)廣泛流行，主要是通過電子郵件、釣魚網(wǎng)站發(fā)送虛假廣告等方式引誘用戶提供身份證號、電話號碼、網(wǎng)銀賬號、密碼等敏感信息，另外還包括通訊信息詐騙、網(wǎng)上購物釣魚等。隨著移動互聯(lián)網(wǎng)時代的到來，傳統(tǒng)釣魚也在新平臺發(fā)生了新的變化。

2.1.1 釣魚郵件表現(xiàn)萎靡

電子郵件出現(xiàn)在70年代，長久以來也早已成為詐騙者和黑產(chǎn)從業(yè)人員滲透人們生活和工作的利器，給個人甚至組織機(jī)構(gòu)都造成了嚴(yán)重的安全威脅。大致來說，釣魚郵件可以分為以下三個類別：鏈接釣魚郵件、附件釣魚郵件和仿冒郵件。

1、 鏈接釣魚郵件

鏈接釣魚郵件多以嵌入釣魚鏈接的欺詐郵件引誘用戶，如黑客發(fā)送大量欺詐性郵件，以中獎、顧問、對賬等內(nèi)容引誘用戶在郵件中填入金融賬號和密碼。

2、 附件釣魚郵件

附件釣魚郵件會誘導(dǎo)收信人下載帶有病毒的附件，附件類型包括Html網(wǎng)頁文件、Exe/Scr文件、Doc文件、Excel文件、PDF文件等。在大量披露的APT攻擊中，攻擊者經(jīng)常使用含有漏洞利用代碼的Office、PDF文檔作為攻擊載荷對目標(biāo)進(jìn)行釣魚攻擊。

3、 仿冒郵件

40多年前，電子郵件創(chuàng)造之初，設(shè)計和協(xié)議使用上并沒有考慮安全性，沒有制作任何驗證用戶身份真實性的措施，只要稍作處理，發(fā)件人就可以偽裝成任何身份給任何人發(fā)送郵件，因此郵件很容易被冒充或仿冒，這類郵件也是識別難度、追蹤難度最高的郵件釣魚攻擊方式。

如今，一方面由于電子郵件太過古老，落后的技術(shù)和不適宜的用戶體驗使其正面臨大量普通用戶的喪失；另一方面，在移動時代里隨著社交工具的流行，電子郵件也已經(jīng)失去了其賴以生存的天然土壤，因此傳統(tǒng)的郵件釣魚在移動平臺整體表現(xiàn)萎靡。

2.1.2 網(wǎng)站釣魚結(jié)合偽基站成為重災(zāi)區(qū)

在當(dāng)前我國的互聯(lián)網(wǎng)環(huán)境下，傳統(tǒng)釣魚網(wǎng)站最常見的攻擊方法有兩種：一種是假冒中獎的釣魚網(wǎng)站，主要特征是以中獎為誘餌，欺騙用戶匯款或誘導(dǎo)用戶填寫真實的身份信息和賬號信息等；另一種則是假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站等，誘導(dǎo)用戶登錄并輸入賬號密碼等信息，進(jìn)而通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)等盜取資金。

隨著移動時代的到來，以及媒體對惡意釣魚攻擊的持續(xù)報道，傳統(tǒng)的釣魚攻擊逐漸被網(wǎng)民熟識，簡單的信息誘騙和相似網(wǎng)站內(nèi)容的欺騙已經(jīng)很難成功實現(xiàn)釣魚攻擊了。在這種情形下，攻擊者使用釣魚攻擊的手法也發(fā)生了演變，最明顯地是出現(xiàn)了大量的適配手機(jī)界面的釣魚網(wǎng)站。下圖為建設(shè)銀行、招商銀行和工商銀行的手機(jī)釣魚網(wǎng)站界面，無論從內(nèi)容上還是形式上都與正規(guī)銀行網(wǎng)站極為相似。

此外，針對移動平臺的網(wǎng)站釣魚也由原來的簡單信息欺騙、中獎?wù)T惑等單一性的釣魚欺詐，轉(zhuǎn)變?yōu)槟壳傲餍械膫位緜鞑メ烎~網(wǎng)站掛馬的形式。這類釣魚網(wǎng)站利用偽基站仿冒官方短信號碼如10086、95533傳播釣魚網(wǎng)站，用戶往往無法判斷出短信的真?zhèn)?，從而點擊訪問釣魚網(wǎng)站，而網(wǎng)站通常都是高仿官網(wǎng)頁面，主要用于誘導(dǎo)用戶下載仿冒的客戶端應(yīng)用程序。

在此類攻擊中，銀行網(wǎng)站一直是釣魚網(wǎng)站的重災(zāi)區(qū)。為有效對抗釣魚網(wǎng)站，中國電信云堤和安天實驗室長期以來對互聯(lián)網(wǎng)絡(luò)的釣魚站點進(jìn)行了持續(xù)監(jiān)控。下圖展示了2016年釣魚網(wǎng)站數(shù)量的變化情況。

其中，2016年仿冒應(yīng)用Top10 如下圖所示：

從圖中可以看出，受影響程度占比最重的部分均為國內(nèi)知名度很高、用戶范圍廣泛的大型銀行和運(yùn)營商，也都是偽基站經(jīng)常仿冒身份傳播的釣魚網(wǎng)站內(nèi)容。

2.1.3 通訊信息詐騙持續(xù)升溫

2016年通訊信息詐騙案件呈持續(xù)高發(fā)態(tài)勢，比如震驚社會的徐玉玉通訊信息詐騙案、清華老師被詐騙1760萬等案件，其資金損失數(shù)額巨大，甚至傷及人命。因此通訊信息詐騙引發(fā)了社會各界的廣泛關(guān)注。

通訊信息詐騙大部分為廣撒網(wǎng)釣魚，成功概率低，但由于人數(shù)基數(shù)大，總有人上當(dāng)。但是當(dāng)攻擊者掌握了受害者的真實信息，如姓名、公司的職位、郵箱、銀行賬戶等重要隱私信息，這在一定程度上大大提高了釣魚攻擊的成功率。

攻擊手段上，“情景構(gòu)建”類釣魚攻擊在最近幾年比較流行。例如“明天到我辦公室來一趟”或”錢打我這個賬號上“；又如最近爆發(fā)的徐玉玉案。這種“場景構(gòu)建”的前提是需要獲取受害人一定的事實信息。精細(xì)化攻擊通常需要預(yù)備好特定的攻擊劇本，同時也需要一定的運(yùn)氣，最典型的場景就是謊稱公安、檢察院、法院工作人員實施詐騙。

隨著移動互聯(lián)網(wǎng)的高速發(fā)展，通訊信息詐騙手段也隨之發(fā)生了相應(yīng)的變化。 AVL Team就曾披露過一系列結(jié)合Android惡意代碼的通訊信息詐騙攻擊，該攻擊通過在受害者手機(jī)上顯示一張偽造的最高人民檢察院發(fā)布的電子憑證，恐嚇受害者因涉嫌犯罪需要接受調(diào)查，如下圖所示。

防范意識薄弱的受害者可能會直接相信對方，但即便被害人具備足夠的防范意識，詐騙者依然有辦法逼其就范，他們會劫持受害者手機(jī)的報警電話，在被害者撥打110確認(rèn)時，電話那頭依然是詐騙者，環(huán)環(huán)相扣，使受害者信以為真，最終落入攻擊者圈套。下圖為相關(guān)代碼片段截圖：

2.1.4 網(wǎng)購釣魚重在隱私泄露

據(jù)CNNIC發(fā)布的第38次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2016年6月，我國網(wǎng)絡(luò)購物用戶規(guī)模達(dá)到4.48 億。網(wǎng)絡(luò)購物為快節(jié)奏的都市生活提供了極大的便利，但人們在享受這種便捷生活的同時，也面臨著個人信息泄露以及相應(yīng)的網(wǎng)購釣魚攻擊的風(fēng)險。

早期攻擊者常常利用虛假的購物信息進(jìn)行詐騙，一般是通過在知名的大型購物網(wǎng)站上發(fā)布虛假的商品銷售信息，并以所謂“超低價”、“免稅”、“走私貨”、“慈善義賣”等名義出售各種產(chǎn)品為由誘騙受害者掉進(jìn)詐騙陷阱。由于網(wǎng)上交易大多是異地交易，需要線上匯款，攻擊者一般要求消費(fèi)者先付部分款項，再以各種理由誘騙消費(fèi)者支付余款或者其他各類名目的款項，攻擊者得到錢款或被識破，就立即銷聲匿跡。

隨著網(wǎng)購的成熟，虛假信息詐騙已經(jīng)難以有效實施攻擊，取而代之的是大量的因隱私泄露而導(dǎo)致的網(wǎng)購詐騙，比如快遞公司員工泄露用戶姓名電話地址；黑客入侵快遞公司數(shù)據(jù)庫、破解賣家和買家常用賬號密碼、竊取大量用戶消費(fèi)交易記錄等，此類用戶重要隱私信息都會被攻擊者用于實施網(wǎng)購釣魚攻擊。最為常見的網(wǎng)購詐騙案件通常發(fā)生在消費(fèi)者網(wǎng)購付款成功后的一兩天內(nèi)，消費(fèi)者會接到自稱是網(wǎng)店客服的電話，稱由于淘寶系統(tǒng)正在升級導(dǎo)致訂單失效，需要先退款再購買，并能準(zhǔn)確說出消費(fèi)者購買的商品名稱、收貨地址、電話以及所有訂單信息。由于詐騙者所述信息準(zhǔn)確，消費(fèi)者通常不會懷疑，并會打開對方發(fā)來的偽造的退款鏈接，并按提示輸入銀行卡號、密碼、手機(jī)號及短信驗證碼等信息，最終導(dǎo)致資金被盜。

2.2 移動釣魚數(shù)量持續(xù)攀升

由于移動平臺的特殊性，移動終端的釣魚方式也比傳統(tǒng)釣魚增加了一些新特征，其中最典型的就是攻擊者通過偽基站偽裝成10086等發(fā)送釣魚短信，而移動平臺的釣魚數(shù)量也在持續(xù)攀升。

2.2.1 偽基站短信釣魚爆發(fā)

通過短信發(fā)送釣魚信息的攻擊方式由來已久，手機(jī)用戶以往只需要識別發(fā)送號碼即可輕易防范。但自從偽基站攻擊全面爆發(fā)后，攻擊者可以使用偽基站偽裝成任意號碼如：任意銀行的短信服務(wù)號來發(fā)送通知短信，這些號碼具有極強(qiáng)的迷惑性，普通用戶根本無法分辨，給用戶帶來了極大的安全威脅。

目前流行的偽基站都屬于GSM協(xié)議，由于國內(nèi)以GSM等協(xié)議為主要載體的用戶群體數(shù)量仍然龐大。因此在短期內(nèi)以偽基站為傳播渠道、詐騙短信為載體的威脅仍將持續(xù)泛濫。

下圖統(tǒng)計了2016年1月至12月釣魚短信的類型分布。從中可以看到中獎詐騙類釣魚攻擊占比接近30%，其次則是惡意代碼、銀行釣魚、澳門博彩、微商淘寶等占據(jù)大半，最后則是少量的社工詐騙和Apple ID釣魚。

釣魚短信攻擊目標(biāo)明確，攻擊方式固定，簡單來說，有以下幾種類型：

2.2.2 利用惡意代碼釣魚是主力

隨著Android和iOS系統(tǒng)的發(fā)展，攻擊者利用惡意代碼進(jìn)行攻擊已經(jīng)成為移動釣魚的主要威脅之一。

2.2.2.1 短信攔截木馬持續(xù)發(fā)酵

短信攔截木馬威脅從2013年開始爆發(fā)并持續(xù)發(fā)酵。到2015年，短信攔截木馬類威脅事件數(shù)量呈現(xiàn)明顯增長，到2016年開始呈現(xiàn)高速爆發(fā)的趨勢，而在年中由于G20峰會等管制嚴(yán)格出現(xiàn)一段低谷，到2016年年底繼續(xù)爆發(fā)。如下圖所示：

近幾年，短信攔截木馬類威脅事件已經(jīng)形成一套非常固定的攻擊模式。

短信攔截木馬攻擊模式：

• 主要通過偽基站投放偽裝成商戶、銀行等號碼發(fā)送的釣魚欺詐短信；
• 以短鏈接或者仿冒的網(wǎng)址誘騙受害者打開釣魚網(wǎng)站；
• 釣魚網(wǎng)站誘騙受害者填寫部分個人信息并竊??；
• 誘導(dǎo)受害者下載安裝木馬程序；
• 木馬程序以發(fā)送短信或者發(fā)送郵件的方式竊取短信內(nèi)容，并最終竊取受害者的在線金融資產(chǎn)。

關(guān)于短信攔截木馬地下產(chǎn)業(yè)，AVL Team曾在《針對移動銀行和金融支付的持續(xù)黑產(chǎn)行動披露——Dark Mobile Bank跟蹤分析報告》中指出，短信攔截木馬的威脅活動最早出現(xiàn)于2013年5月，進(jìn)行了接近3年的持續(xù)有效的大規(guī)模威脅和攻擊，涉及人員可能接近十萬人規(guī)模，并形成了分工明確的產(chǎn)業(yè)體系。在過去接近3年的持續(xù)攻擊中，短信攔截木馬攻擊影響范圍在1億人以上，其中累積超過100萬用戶不幸被感染和控制，地下產(chǎn)業(yè)鏈的整體規(guī)模應(yīng)該在接近百億的規(guī)模，影響的資產(chǎn)危害面接近千億規(guī)模。

具體來說，攔截木馬總體威脅如圖所示：

2.2.2.2 仿冒已成惡意代碼標(biāo)配

為了提高欺詐和釣魚攻擊的成功率，攻擊者采用了大量的偽裝和仿冒技術(shù)，通過仿冒正版的釣魚移動應(yīng)用程序，進(jìn)而截獲、捕捉用戶輸入數(shù)據(jù)，非法入侵用戶互聯(lián)網(wǎng)賬戶系統(tǒng)。

攻擊者開發(fā)的仿冒APP主要偽裝成農(nóng)業(yè)銀行、建設(shè)銀行、招商銀行、交通銀行、工商銀行等銀行名稱或圖標(biāo)，其中還有一部分木馬程序會直接偽裝成銀聯(lián)安全證書或者銀行控件的應(yīng)用名稱。

根據(jù)移動威脅情報平臺應(yīng)用數(shù)據(jù)，通過檢索仿冒“銀行”程序名的惡意應(yīng)用發(fā)現(xiàn)，自12月份以來,感染用戶達(dá)到1546人。統(tǒng)計仿冒的銀行應(yīng)用程序名TOP10如下：

該類攻擊手段通常為直接仿冒應(yīng)用登陸界面竊取銀行賬戶數(shù)據(jù)，和通過劫持登陸界面竊取銀行賬戶數(shù)據(jù)兩種方式。

相對于單純的仿冒銀行應(yīng)用界面來說，通過劫持登陸窗口的方式目的性更強(qiáng)。劫持登錄窗口主要是通過攻擊銀行應(yīng)用來竊取銀行賬戶數(shù)據(jù)。在界面仿冒上多以HTML來布局，這種攻擊手段更加靈活隱蔽（該攻擊手段適用于：安卓系統(tǒng)版本低于5.0）。

2.2.2.3 利用漏洞欺詐難以防范

攻擊者通過利用系統(tǒng)漏洞的惡意代碼也可以導(dǎo)致釣魚欺詐。

比如2012年北卡羅來納州州立大學(xué)研究員發(fā)現(xiàn)了一個存在于Android 平臺的“短信欺詐”漏洞，該漏洞可以允許應(yīng)用在Android平臺上進(jìn)行短信偽裝。通過利用該漏洞，攻擊者可以私自篡改短信內(nèi)容并實施詐騙。該漏洞對Android 4.1以下版本均有影響，由于短信欺詐漏洞屬于Android系統(tǒng)漏洞，幾乎影響了所有其他三方手機(jī)廠商。

相對Android系統(tǒng)漏洞來說，大量存在漏洞的APP也會導(dǎo)致用戶遭受釣魚攻擊，如APP如果沒有做防釣魚劫持措施，此APP就會被攻擊者利用，通過劫持應(yīng)用程序的登錄界面，獲取用戶的賬號和密碼，導(dǎo)致用戶賬號信息的泄露。

iOS平臺同樣存在此類風(fēng)險。例如攻擊者在未越獄的iPhone 6上進(jìn)行釣魚攻擊并盜取Apple ID的密碼，利用該漏洞惡意代碼可以在其他應(yīng)用包括App Store中彈出來偽造的與正規(guī)應(yīng)用一模一樣的登錄框，所以用戶很難察覺，用戶會習(xí)慣性輸入Apple ID的密碼，最終導(dǎo)致帳號被盜。

2.2.2.4 移動APT攻擊崛起

隨著移動終端的智能化和普及，移動智能終端將更多地承載不同人群的工作和生活，更多的高價值信息都將附著于移動智能終端，移動平臺也早已成為了APT攻擊的重點目標(biāo)。

APT，即高級持續(xù)性威脅，一般是國家間或國際公司間為了特定目標(biāo)，由頂級黑客組織發(fā)起的持續(xù)攻擊，魚叉式釣魚攻擊是APT攻擊者的首要攻擊向量。魚叉式網(wǎng)絡(luò)釣魚主要是向是公司內(nèi)部的個人或團(tuán)體發(fā)送看似真實的電子郵件。郵件附錄多含有隱私竊取的惡意代碼，甚至包含office、pdf等0day漏洞的利用。

2016年3月，多家安全廠商披露了一個以印度軍方或政府人員為攻擊目標(biāo)的攻擊組織，這個組織除了具備對PC平臺的針對性攻擊行為的能力，還發(fā)起了針對移動平臺的攻擊活動，使用了包括Android以及BlackBerry平臺的攻擊木馬程序，并重點以收集和竊取攻擊目標(biāo)的身份信息和隱私數(shù)據(jù)為目的，此次針對移動平臺的攻擊采用結(jié)合社會工程學(xué)的釣魚網(wǎng)站及仿冒APP掛馬等方式進(jìn)行攻擊投放。

2016年8月Citizen Lab公布了一起名為“三叉戟”（Trident）的移動APT事件，報告稱是對阿聯(lián)酋人權(quán)活動人士進(jìn)行的定向攻擊，該工具由以色列公司NSO Group 開發(fā)并為政府所用，利用3 個iPhone 0day實現(xiàn)通過訪問網(wǎng)頁來完成攻擊武器的植入和潛伏，可以有效刺破iOS的安全機(jī)制，抵達(dá)內(nèi)核，完全控制手機(jī)，能在用戶完全無法毫無察覺的情況下竊取設(shè)備上所有隱私數(shù)據(jù)。這是在移動平臺最為典型的APT攻擊事件，也是蘋果歷史上第一次公開披露的針對iOS的APT 0day攻擊，而該攻擊正是通過發(fā)送短信釣魚引誘受害者訪問某惡意站點進(jìn)行攻擊的。

2017年或?qū)⑦M(jìn)入移動APT元年，移動APT由過去協(xié)同Cyber攻擊逐漸轉(zhuǎn)向獨立前置性的攻擊和前奏，基于移動軍火商和改用商用間諜木馬依舊會作為重點的攻擊武器，移動APT會繼續(xù)圍繞監(jiān)聽和數(shù)據(jù)竊取為目的，針對高價值人群以及特殊行業(yè)的定向攻擊開始真正崛起。

2.2.3 WiFi釣魚影響擴(kuò)大

2015年央視3.15晚會曝光了黑客如何在公共場所利用“釣魚WiFi”竊取用戶隱私數(shù)據(jù)，最終導(dǎo)致財產(chǎn)損失的黑幕。觸目驚心的現(xiàn)場演示讓許多人對公共WiFi上網(wǎng)安全產(chǎn)生恐慌，也讓W(xué)iFi釣魚這一攻擊方式開始廣為人知。

許多商家、機(jī)場等通常會為客戶提供免費(fèi)的WiFi接入服務(wù)，消費(fèi)者通常也會為節(jié)省流量而接入其中。免費(fèi)WiFi給消費(fèi)者提供了便利，對于攻擊者而言卻是絕佳的攻擊場景。其中最簡單的攻擊場景是提供一個名字與商家類似的免費(fèi)WiFi接入點，吸引網(wǎng)民接入。一旦連接到黑客設(shè)定的WiFi熱點，用戶上網(wǎng)的所有數(shù)據(jù)包，都會經(jīng)過黑客設(shè)備轉(zhuǎn)發(fā)，這些信息會被截留下來分析，沒有加密的通信數(shù)據(jù)就可以直接被查看。

除了使用免費(fèi)WIFI釣魚之外，攻擊者還可以破解家用無線路由器，接手控制無線路由器管理后臺，進(jìn)而對家庭WiFi執(zhí)行隱私監(jiān)聽、植入廣告或惡意代碼、網(wǎng)絡(luò)劫持到釣魚網(wǎng)站等攻擊。

WiFi釣魚屬于中間人攻擊，主要通過劫持受害者流量進(jìn)行惡意行為。具體來說有以下幾種：

• 竊取隱私。通過黑客提供的WiFi上網(wǎng)時，用戶上網(wǎng)的所有痕跡都會被監(jiān)聽，比如新聞、相冊、瀏覽朋友圈、刷微博、逛淘寶等。
• 網(wǎng)站劫持。攻擊者可以將用戶正在訪問的網(wǎng)站劫持到精心構(gòu)造的仿冒網(wǎng)站，從而獲取用戶提交的帳號密碼等隱私信息，這種情況就極可能產(chǎn)生直接的經(jīng)濟(jì)損失。
• 身份冒用。當(dāng)受害者掉進(jìn)WiFi陷阱后登錄微博賬號，攻擊者可以直接劫持訪問令牌，不需要得到帳號密碼即可直接用受害者的身份登錄微博，進(jìn)而執(zhí)行釣魚攻擊。
• 流氓廣告。攻擊者劫持通信后，可以給受害者訪問的所有網(wǎng)站植入廣告。
• 植入木馬。攻擊者劫持流量后，當(dāng)用戶下載安裝app時，攻擊者可將APP替換為精心構(gòu)造的惡意代碼，從而達(dá)到植入木馬的目的。

2.2.4 iPhone釣魚產(chǎn)業(yè)呈現(xiàn)

蘋果用戶的Apple ID是蘋果全套服務(wù)的核心賬戶，貫穿于iCloud、iTunes Store、App Store等服務(wù)。其中iCloud是蘋果的云服務(wù)，實時保證用戶蘋果設(shè)備上的文檔、照片、聯(lián)系人等資料同步；提供與朋友分享照片、日歷、地理位置等的接口；還能用來找回丟失的iOS設(shè)備。故而針對iPhone的釣魚攻擊也基本都是圍繞著Apple ID進(jìn)行的。常見的iPhone釣魚有以下幾種情況：

• 偽造Apple相關(guān)網(wǎng)站,通過偽基站等方式廣泛發(fā)送釣魚信息,進(jìn)而竊取受害者的iCloud賬號密碼,最終遠(yuǎn)程鎖定受害者設(shè)備進(jìn)行勒索。
• 用戶iPhone丟失或被盜,流入二手市場,黑客從設(shè)備獲取到用戶iCloud賬號和手機(jī)號碼等信息,從而有目標(biāo)的投放偽造Apple相關(guān)網(wǎng)站,釣魚竊取用戶的iCloud密碼最終解鎖用戶設(shè)備。
• 在獲取到受害者的iCloud前提下，利用iOS的iMessage、日歷推送、照片共享等功能給用戶推送大量的垃圾信息或釣魚信息。

2.2.4.1 iPhone勒索威脅加深

移動平臺的勒索，主要分為Android平臺的惡意代碼勒索和iOS平臺的iCloud釣魚勒索，Android平臺的勒索件通常表現(xiàn)為惡意鎖屏和加密磁盤文件；而iOS平臺的勒索則是基于Apple的iCloud賬號進(jìn)行的。

由于Apple的安全機(jī)制，當(dāng)用戶的Apple ID被盜取后，若其被盜取賬戶密碼與郵箱密碼一致，那么基本上就能很輕易的將受害者的設(shè)備鎖上，被鎖后通常只能聯(lián)系蘋果客服同時出示購買證明才有可能將其解鎖還原，否則就只能乖乖地繳納贖金，換取設(shè)備的解鎖口令。

除了鎖定勒索之外，還有如好萊塢女星iCloud被暴力破解后其上傳至iCloud賬戶的艷照泄露而遭到勒索的案例發(fā)生。

以iCloud勒索攻擊流程為例，其數(shù)據(jù)流轉(zhuǎn)以及獲利情況分析如下：

第一類是釣魚網(wǎng)站開發(fā)者，通過向他人提供釣魚網(wǎng)站服務(wù)器、服務(wù)器空間獲利。

第二類是釣魚網(wǎng)站使用者，他們通過釣魚網(wǎng)站搭建自己的釣魚平臺，通過受害人發(fā)送釣魚鏈接的方式，獲取受害人蘋果ID及密碼，再將賬戶和密碼出售給敲詐勒索人員獲益。

第三類是敲詐勒索人員，該類人從釣魚網(wǎng)站或者通過社工庫撞庫等方式獲取到受害者ID密碼后，登陸iCloud官網(wǎng)，遠(yuǎn)程鎖定受害人使用的蘋果設(shè)備，使其無法使用而敲詐勒索獲利；

第四類是二手手機(jī)收購人員，此類人員自稱二手機(jī)收購者，獲取到丟失和被盜搶的手機(jī)后，通過釣魚方式獲取蘋果ID賬戶密碼而解鎖設(shè)備，進(jìn)行二次銷售。

2.2.4.2 澳門博彩泛濫成災(zāi)

有不少iPhone用戶都曾在日歷以及照片共享中收到過一些莫名的垃圾廣告，由于iOS的iMessage、日歷推送、照片共享等分享功能可以在已知對方iCloud賬號的前提下以幾乎無成本的方式給用戶推送信息，而這些都是常規(guī)功能，且都是默認(rèn)開啟的。因此催生了利用這些共享功能進(jìn)行營銷的黑產(chǎn)，其中最為典型的是澳門博彩，這類網(wǎng)站通常通過博彩獲利或者其本身就是一個進(jìn)行信息竊取或詐騙的釣魚網(wǎng)站。

對于此類流氓推送信息，用戶可以采取措施如下：

• 修改iCloud郵箱為未泄露的全新郵箱
• 設(shè)置—iCloud—日歷—關(guān)閉日歷同步
• 設(shè)置—iCloud—照片—關(guān)閉iCloud照片共享

2.3 隱私泄露為釣魚攻擊重要幫兇

2016年針對網(wǎng)站系統(tǒng)的脫庫、撞庫攻擊頻繁發(fā)生，各類信息及數(shù)據(jù)泄露的安全事件依舊層出不窮，且越演越烈。個人信息泄露對社會生活的影響也通過“徐玉玉”事件讓公眾有了深刻的認(rèn)識。而無論傳統(tǒng)PC還是移動平臺，隱私的大面積泄露，已經(jīng)成為網(wǎng)絡(luò)釣魚威脅當(dāng)中重要的幫兇和支撐性的環(huán)節(jié)。

由于用戶隱私信息的重要性，大量地下產(chǎn)業(yè)從業(yè)者以此獲利，而且形成了一條分工明確、操作專業(yè)的完整的利益鏈條。黑色產(chǎn)業(yè)鏈不僅完成了對數(shù)據(jù)的原始積累，更開始通過大數(shù)據(jù)計算等方式對數(shù)據(jù)進(jìn)行加工和非法利用。

黑客非法獲取用戶隱私信息，然后會聯(lián)系相關(guān)的培訓(xùn)機(jī)構(gòu)或詐騙團(tuán)伙，把手上的數(shù)據(jù)轉(zhuǎn)賣到下游。這里面還有大量二道販子的存在，在中間賺取差價。而下游這些團(tuán)隊，有專人負(fù)責(zé)詐騙的話術(shù)編寫培訓(xùn)、線上通過第三方支付平臺洗錢、線下ATM機(jī)提款等。

以下列舉日常生活中最為常見的隱私泄露場景，無論個人用戶還是相關(guān)企業(yè)、政府部門都應(yīng)對此類情況有所防范：

2.3.1 防不勝防的被動泄露

1、惡意代碼

移動平臺惡意代碼的主要行為，體現(xiàn)出惡意代碼的趨利性。Android平臺短信攔截木馬的泛濫直接導(dǎo)致隱私竊取類的惡意代碼數(shù)量增長明顯，攻擊者通過竊取用戶銀行賬戶、密碼等重要隱私信息，最終給用戶造成資金損失，并且大部分攻擊在獲得銀行用戶賬戶資料后，還會進(jìn)行出售倒賣。而移動APT攻擊更是圍繞監(jiān)聽和數(shù)據(jù)竊取為目的，針對高價值人群以及特殊行業(yè)進(jìn)行定向攻擊。

2、購房信息

近年來，各類手機(jī)騷擾信息令用戶不勝其煩，其中數(shù)量最多的是賣房、裝修和房貸信息。 不少新房業(yè)主都應(yīng)該有這樣的經(jīng)歷，剛剛買房電話即被“打爆”，不勝其擾。

房產(chǎn)業(yè)主的信息很受一些投資公司、裝修公司、房地產(chǎn)中介的“青睞”，且能接觸到購房信息的工作人員有很多，從開發(fā)商、銷售、銀行、物業(yè)、中介、房管局、裝修公司等每一個環(huán)節(jié)都可能造成泄露，可謂防不勝防。

3、教育機(jī)構(gòu)

徐玉玉案件是教育機(jī)構(gòu)的隱私泄露最為典型的案例，詐騙分子不但知道她的電話號碼，還知道她要上大學(xué)、知道她獲得了助學(xué)金?？梢钥闯?，詐騙分子掌握了受害者的精準(zhǔn)信息，而這種“精準(zhǔn)”正是源于個人信息的泄露。

個人信息泄露的渠道主要有三種：一是接觸到數(shù)據(jù)的工作人員人為泄密，二是黑客入侵獲取數(shù)據(jù)，三是提供服務(wù)的第三方獲取數(shù)據(jù)后泄密。

通訊信息詐騙，“詐”出了相關(guān)部門和電信運(yùn)營商的監(jiān)管漏洞，也“詐”出了個人信息泄露問題。防范通訊信息詐騙要根除其背后的黑色鏈條，一方面要加強(qiáng)對通訊信息詐騙行為的監(jiān)管與追責(zé)，另一方面要整治個人信息泄露及倒賣行為。

4、網(wǎng)購

電商平臺，一直是數(shù)據(jù)泄漏的重災(zāi)區(qū)之一。

2014年年初，支付寶被爆20G用戶資料泄漏。后經(jīng)調(diào)查，此次泄漏是“內(nèi)部作案”：支付寶前技術(shù)員工李某，利用職務(wù)之便，多次在公司后臺下載用戶資料。這20G資料，包括用戶個人的實名、手機(jī)、電子郵箱、家庭住址、消費(fèi)記錄等，相當(dāng)精準(zhǔn)。

2015年，京東就被曝出大量用戶隱私信息泄露，多名用戶被騙走數(shù)額不等的錢財，總損失達(dá)數(shù)百萬。直到一年后，京東才公布調(diào)查結(jié)果，稱是因為出現(xiàn)“內(nèi)鬼”。所謂的“內(nèi)鬼”，是3位物流人員，通過物流流程，掌握了用戶姓名、電話、地址、何時下單、所購貨物等信息，總數(shù)據(jù)達(dá)到9313條。

不久前，黑市又曾出現(xiàn)疑似京東12G的數(shù)據(jù)包開始流通，其中包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度，數(shù)據(jù)多達(dá)數(shù)千萬條。

5、其他三方網(wǎng)站APP

2015年2月，國外媒體披露，優(yōu)步（Uber）5萬名司機(jī)的個人信息被不知名的第三方人士獲取，包括社保碼、司機(jī)相片、車輛登記號等信息；4月，遍布19個省份的社保系統(tǒng)相關(guān)信息泄露達(dá)5279.4萬條，其中包括個人身份證、社保參保信息、財務(wù)、薪酬、房屋等敏感信息；9月，部分支付寶用戶發(fā)現(xiàn)帳號異地登陸，實為撞庫所致，雖然支付寶對資金有保護(hù)，但依然給用戶造成困擾；10月，網(wǎng)易郵箱的泄露，導(dǎo)致大量iPhone用戶遭到遠(yuǎn)程鎖定勒索的威脅。

數(shù)據(jù)的泄露往往很難確認(rèn)是“內(nèi)鬼”還是“黑客盜取”，不論是內(nèi)鬼作祟還是黑客攻擊，無非都是利益驅(qū)動。這些泄露的數(shù)據(jù)，最終以各種方式，成為不法分子獲利的工具。

對于電商或其他三方平臺而言，加強(qiáng)內(nèi)部管理、檢測修補(bǔ)系統(tǒng)漏洞防范黑客攻擊、及時止損并提醒用戶修改賬號密碼以避免用戶再次受傷，保護(hù)用戶隱私信息任重而道。

2.3.2 社交過程中主動泄露

不少“重度社交網(wǎng)站”用戶，往往都喜歡在微博、朋友圈等發(fā)各種照片，這也會暴露種種隱私信息、人際關(guān)系、時間地點等。

在美劇《疑犯追蹤》中，有一個名為“Machine”的系統(tǒng)，“Machine”通過收集整理來自社交網(wǎng)站信息、政府部門里的個人身份信息、遍布全國的視頻公用和私人攝像頭的監(jiān)控錄像、電話的信息，以找到恐怖襲擊嫌疑人，并在其行動之前將其抓獲破解。其中社交網(wǎng)絡(luò)是其獲取信息的重要來源之一。

雖然目前來說，“Machine”還算是科幻設(shè)備。但是它所涉及到的技術(shù)其實都已可以實現(xiàn)，如人工智能技術(shù)、大規(guī)模數(shù)據(jù)處理、圖像識別技術(shù)等等。

You are being watched，在這個早已沒有隱私的時代，盡量減少一點對個人隱私的泄露也是一種自我保護(hù)。

三、應(yīng)對建議

近年來，隨著釣魚攻擊的手段日益復(fù)雜,事件持續(xù)高發(fā)，讓廣大企業(yè)和許多受騙者蒙受了巨大損失，嚴(yán)重影響人民群眾財產(chǎn)安全感。

從建立23個部門和單位參加的部際聯(lián)席會議，到健全涉通訊信息詐騙犯罪偵查工作機(jī)制；從深化跨境跨區(qū)域警務(wù)合作，到建立電話通報阻斷及被釣魚資金快速止付機(jī)制?？梢哉f反釣魚、防詐騙已成為各級政府和企業(yè)在安全領(lǐng)域的重點工作之一。作為反釣魚技術(shù)研發(fā)與服務(wù)提供商，中國電信云堤與安天移動安全針對國家監(jiān)管機(jī)構(gòu)、運(yùn)營商、銀行和公眾用戶在應(yīng)對釣魚風(fēng)險時，提出如下建議：

3.1 監(jiān)管機(jī)構(gòu)

1. 國家和行業(yè)“反釣魚、防詐騙”監(jiān)管機(jī)構(gòu)部牽頭組織相關(guān)單位與“中國反釣魚網(wǎng)站聯(lián)盟”的互動對接和信息共享機(jī)制。實現(xiàn)官方“打釣” 與非官方“打釣”的優(yōu)勢互補(bǔ)，達(dá)到快速、及時的效果。

2. 集中整治用于非法采集銀行卡信息的釣魚網(wǎng)站、惡意程序(APP)，對拒不整改或者違法情節(jié)嚴(yán)重的互聯(lián)網(wǎng)站，依法吊銷相關(guān)電信經(jīng)營許可或注銷網(wǎng)站備案。

3. 加強(qiáng)運(yùn)營商、金融機(jī)構(gòu)等行業(yè)、企業(yè)與公安機(jī)關(guān)的合作聯(lián)動，在行業(yè)監(jiān)管部門的統(tǒng)一指揮下，堅持技術(shù)手段、規(guī)范管理與防詐騙宣傳三位一體，多措并舉，持續(xù)深入開展防范打擊通訊信息詐騙工作，為維護(hù)客戶的合法權(quán)益作出貢獻(xiàn)。

4. 完善網(wǎng)絡(luò)法律法規(guī)打擊網(wǎng)絡(luò)釣魚犯罪，并大力宣傳有關(guān)互聯(lián)網(wǎng)方面的法律法規(guī)，培養(yǎng)公眾用戶的法制觀念，提高防范意識，不給釣魚網(wǎng)站的建立制造便利。

3.2 運(yùn)營商

1. 進(jìn)一步落實實名制、特服號碼的嚴(yán)格管理、網(wǎng)絡(luò)異常預(yù)警等措施。同時，加快移動通信基站的升級，加速4G網(wǎng)絡(luò)的普及，在用戶通信信道上徹底規(guī)避2G偽基站的侵?jǐn)_。

2. 從網(wǎng)絡(luò)層面增強(qiáng)對威脅寄生渠道的監(jiān)測和阻斷，建立并完善惡意代碼監(jiān)測及攔截，通過域名甄別、網(wǎng)絡(luò)數(shù)據(jù)分析等技術(shù)手段在DNS入口和網(wǎng)絡(luò)側(cè)及時切斷釣魚網(wǎng)站的訪問，并對公眾用戶提供有關(guān)通信信息詐騙的及時預(yù)警，降低網(wǎng)絡(luò)釣魚的成功率，有效打擊網(wǎng)絡(luò)詐騙行為。

3. 通過深度的網(wǎng)絡(luò)數(shù)據(jù)分析挖掘，為金融企業(yè)實施精準(zhǔn)風(fēng)控提供有益輸入。

3.3 銀行金融機(jī)構(gòu)

1. 識別可疑賬號,依法關(guān)停一批發(fā)布銀行卡信息非法買賣交易的網(wǎng)站和網(wǎng)絡(luò)賬號，清理網(wǎng)上非法買賣銀行卡信息的有害信息。

2. 加強(qiáng)在線支付認(rèn)證安全，研發(fā)新的認(rèn)證方式，避免因手機(jī)短信動態(tài)密碼被惡意代碼泄露而導(dǎo)致用戶資產(chǎn)損失。

3. 及時鑒別詐騙行為，為客戶的資金安全設(shè)置防騙門檻。當(dāng)不同地方銀行賬號短時間內(nèi)向同一銀行賬號密集匯款時，及時彈出提示預(yù)警框，提醒客戶防詐騙甚至中止轉(zhuǎn)賬匯款，并引導(dǎo)客戶向有關(guān)部門查詢核實。

4. 加強(qiáng)社會公眾安全使用銀行卡的宣傳教育，實現(xiàn)銀行卡風(fēng)險宣傳教育的常態(tài)化和持續(xù)化。

3.4 消費(fèi)者

當(dāng)前，在面對釣魚等社會工程學(xué)入侵時，作為消費(fèi)者的公眾用戶的防御手段和防護(hù)意識都相對單一和薄弱。要想避免成為釣魚詐騙的受害者，一定要加強(qiáng)安全防范意識，提高安全防范技術(shù)水平，首先在提高防范意識方面：

在受釣魚網(wǎng)站欺騙后要第一時間報警，任何攻擊的手段都會留下蛛絲馬跡，及早報案，是保護(hù)自己權(quán)益的最好手段。

提高安全意識，養(yǎng)成良好安全習(xí)慣，同時建立安全的密碼管理體系，避免因短板移動威脅造成大規(guī)模資金損失的情況。

提高對移動安全事件的關(guān)注度和敏感度，對與個人關(guān)聯(lián)的事件進(jìn)行緊急響應(yīng)，做好事后止損的工作。

另外，在防范措施方面公眾用戶應(yīng)重點關(guān)注幾個方面：

1.防范垃圾郵件：

• 通常情況下，任何政府、企業(yè)都不會以郵件或者鏈接方式讓用戶提供用戶名和密碼；
• 釣魚郵件里提供的鏈接地址域名需注意甄別；
• 不隨意打開不明來源的郵件附件和點擊郵件正文中的可疑網(wǎng)址鏈接，不要隨意打開內(nèi)容可疑的郵件附件（Word/PDF/zip/rar等）

2.防范wifi釣魚：

• 在不使用WiFi連接時，關(guān)閉手機(jī)無線網(wǎng)卡。
• 在訪問或者使用帶有交易性質(zhì)的網(wǎng)銀或電商應(yīng)用時，應(yīng)盡量使用運(yùn)營商提供的2G、3G、4G數(shù)據(jù)上網(wǎng)，避免使用公共WiFi，不在公共WiFi環(huán)境下載安全軟件。
• 安裝手機(jī)安全軟件，攔截可能的手機(jī)病毒和釣魚網(wǎng)站攻擊。

3.安裝防病毒系統(tǒng)和網(wǎng)絡(luò)防火墻系統(tǒng)：

• 多數(shù)反病毒軟件都具有對包括間諜軟件、木馬程序的查殺功能
• 防火墻系統(tǒng)監(jiān)視著系統(tǒng)的網(wǎng)絡(luò)連接，能夠杜絕部分攻擊意圖并及時報警提醒用戶注意

4.及時給操作系統(tǒng)和應(yīng)用系統(tǒng)打補(bǔ)丁，避免黑客利用漏洞人侵電腦，減少潛在威脅。

5.從主觀意識上提高警惕性，提高自身的安全技術(shù)：

• 要注意核對網(wǎng)址的真實性，注意網(wǎng)站域名以及https等信息
• 要養(yǎng)成良好的使用習(xí)慣，不要輕易訪問陌生網(wǎng)站、黃色網(wǎng)站和有黑客嫌疑的網(wǎng)站
• 拒絕下載安裝不明來歷的軟件
• 拒絕可疑的郵件
• 網(wǎng)購時及時退出交易程序，做好交易記錄及時核對等等。