本文作者:雷锋网网络安全专栏作者,李勤
雷锋网宅客频道的读者们,来鉴赏几条诈骗短信:
小红,我是房东,这是我的新号码,最近我要出差,你的房租直接打到我老婆的卡上,卡号是:xxxxxxxxxxxxxxx,中国xx银行。
开。发。票请找134xxxxxxx,保真,可开增值税发票,遇假可报警。
爸,我开房被当成嫖娼被抓,王叔叔可以找关系,需要钱疏通,可以汇款到xxxxxxxxxxxxx,中国xx银行。不要打电话,我是偷偷发的短信。
以上三条短信都是几年前的产物,如果你对此印象深刻,恭喜你,至少已经迈入了“88年中年妇女”的行列。
这届骗子早就不这么玩了。
6月20日,几名真正的警察与网络攻防“老司机”在酒仙桥路6号院的一间办公室里,细数了这届骗子、与时俱进的警察以及让你意想不到的这届上当群众的特征。
不看不知道,一看吓一跳。
1.以前犯罪分子绑架孩子,勒索赎金,如今却是绑架“数据”勒索赎金,一言不合就加密你的盘。
犯罪贩子使用的是一些非对称密钥加密算法之类的,交给数学家也破解不了。
看上去,这次“绑票”不是像绑个人一样一次勒索赎金几十万、几百万元,虽然一次勒索只要几千元、几万元人民币,很多人会选择买单,选择花钱消灾。
票数干多了,日积月累,金山银山。
再加上支付模式的变化,犯罪份子规避了能被追踪的支付手段的变化,而采用完全是分布式系统区块链技术的比特币。
两手一摊,找不到人。
2.骗子很用心,网络犯罪高度专业化。
犯罪分子深入研究每个受害人的资料,针对于受害人个性化实施骗局。
此前电信诈骗是用统一的脚本,从境外呼入,在什么时候该说什么话都有诈骗手册。现在的犯罪分子是针对被害者进行个性化的定制,甚至在每个受害者身上会花几个个小时来进行诈骗方案的定制。
他们会深入研究银行的转帐系统,不同银行在进行转帐的时候安全校验方式不一样。
一些银行的卡需要好几次验证,相对诈骗实施成功率较少。于是,他们精明地计算自己的投入产出比,找到银行验证脆弱的对象来实施。
3.犯罪要跨平台,还要玩高科技。
过去常规网络钓鱼是发邮件或者是通过某种即时通讯工具给你发链接,打开后是一个钓鱼的页面。
现在,犯罪分子已经非常了解他们所要攻击的这些厂商,他们找的已经不是厂商网站的漏洞,而是找业务流程上的漏洞。并且擅长跨平台寻找漏洞,每个业务单独看都没有什么问题,但结合在一起就产生了犯罪的场景。
4.隐蔽性强,不需要受害者参与即可骗钱。
在网络攻击和犯罪中如果需要受害者参与,门槛会高很多,如果受害者警惕性高,有可能打草惊蛇。现在,整个犯罪环节可以设计成不让受害者参与就可以完成整个犯罪,成功率高很多。
比如,犯罪分子选择了凌晨作案,受害人在睡觉,手机关机,受害者全程没有参与诈骗的任何环节,甚至不知道他的云服务在被远程控制的情况下资料被销毁,更不知道自己的钱已经被盗刷了,等到他发现犯罪已经过去了若干个小时。
1.女人:轻易不上当,上当就不轻。
在上当受骗这件事情上,都有明显的男女差异。
一组男同胞听了会沉默,女同胞听了会流泪的数据是:男人被骗的人数几乎总是女性的两倍多,今年1到5月,男性受骗人数在受骗者中占比72%,女性占比27%。虽然女性受害者人数比男性少得多,但女性人均损失是13666元,高于男性的11000元。
男性受骗的重灾区是:赌博诈骗、交友诈骗、网游。女性受害者比较容易受到的诈骗是虚假兼职、退款诈骗。
"你这个死鬼,就知道出去玩!”
“你这个败家娘们儿,就知道买买买!”
有没有发现,女人往往是买完东西被骗或找工作被骗,男人往往都是玩的时候被骗。
所以,从某种角度也可以看出男性和女性对家庭的责任和贡献是不一样的,网络诈骗的研究是一门社会科学。
2.年轻人被骗多,老年人被骗深。
90后 00后受害者超过50%。
不要以为,这是年轻阅历浅,友情提醒,90年出生的朋友,你也快到30岁了。
20到30岁之前是受害者主要人群,证明了谁上网上得多就被骗。
有人说,被网络诈骗最多的还是40、50岁中老年妇女,其实,不是他们被骗的人多,而是他们被骗的钱多,所以才能上新闻,一个大学生被骗了100元钱上不了新闻。
3.骗子忽悠转得多,高仿钓鱼骗得大。
受害者被劫财的方式是什么?
今年1到5月,65%的受害者是主动转帐给对方的,骗子在骗人的时候,纯忽悠转帐,这是网络诈骗的主要的形式。排名第二的是钓鱼网站的支付,其中 0.4% 告知验证码被盗刷。
讲真,我不偷你的钱,但我可以忽悠你自己转钱给我。
铁打的骗子,流水的骗局。这些并不是脑洞突破天际的骗局,但是却实实在在地发生了。
1.退款诈骗必贷款
之前冒充电商客服的退款诈骗,是骗子在得到用户的个人信息和购买记录后,以购买物品丢失,损害为由,打电话诱骗用户在自己所发送的链接中输入账户、密码、付款密码,以此来骗取受害人的金钱。
而新出现的骗局,骗子则是以有质量问题(如衣服甲醛超标)等理由,承诺给受害人退款甚至多倍退款或补偿、再以转账不通过等理由,要求受害人按照其要求操作,在受害人不知情的情况下,在金融机构贷款,再将贷款金额转账给他的方式进行诈骗。
你不信?先生我跟你说,甲醛超标很可怕的,blablabla……对了,因为是我们的质量问题,打算赔付4倍。
2.付款码不管用了?上数字
付款码收集者处于整个诈骗环节的第一环,将获得的付款码提供给可兑现的扫码商;付款码支付时针对商家扫描用户二维码(或条形码)来交易时使用,扫码商通过建立商家与用户的面对面支付场景,来完成面对面付款的交易过程。
第三方支付对付款码交易有免密交易上限,一般在1000元或100元以下,因此很多交易都是999元或者99元,用户只有在发生交易后才能知道账户已经扣费;在完成扫码交易后,扫码商与付款码提供者往往通过虚拟商品交易平台(游戏点券)进行分成。
不能复制付款码?没关系,你告诉我数字就可以了。对,就是下面那行数字,没什么信息含量的,放心。
3.“分享” 钓鱼网站更隐蔽
一般来说,骗子会直接复制钓鱼网址发给用户,而用户根据域名有可能会看出来网站是假的,而这起案例中,骗子没有直接发来钓鱼网址,而是先在自己的手机端浏览器打开钓鱼网址,再利用浏览器的分享功能,把网页分享给用户,这样,用户没法直接看到钓鱼网址而是看到骗子的分享消息,然后点击分享链接,直接付款,导致被骗。
4.紧盯最热门事件诈骗:网络贷款、共享单车
骗子购买搜索关键词,并通过竞价排名使网站靠前,等待受害人主动联系,假客服便对受害者进行诈骗。
坐等你自己搜索,乖乖上门。
5.不断被利用的新业务:代付到亲密付
机票退改签诈骗是典型的利用个人信息,进行精准诈骗的案例,以前都是通过atm机进行转账操作,由于atm机到账有24小时的限制,骗子把转账过程换到了第三方支付平台,并且使用了用户不常使用的亲密付功能。
实际上支付宝的亲密付功能是类似于银行的附属卡功能,有人为亲人、密友开通此功能后,对方在网购消费时,直接从开通者账户中支付,而且不需要开通者确认。目前,“亲密付”的设置额度为100元—20000元。
秀恩爱,死得快。
骗子都这么狡诈了,抓骗子的手段当然也要更新。
1.运营商 厂商 警方:打击伪基站钓鱼
手机厂商利用大数据能力和运营商、警方一起合作,来进行打击犯罪。首先干的是关于伪基站的打击。因为犯罪分子如果通过短信通道或者买手机卡来发送短信,其实很容易被识别和拦截。
伪基站是发送商业广告、诈骗类短信时常用的手段,厂商和运营商、警方一起合作,把打击伪基站钓鱼作为了试点项目。
2.猎网平台:网络空间警察的落地,“众包”破案
在猎网平台中,如果人们受骗了,在猎网平台上提交线索,比一般去派出所报案的成本低得多,收集到的案件的线索量因此大很多。
这些线索反过来依靠分布在全国各地的公安战线上的警官,在这里发现了某一线索后,在平台上进行线索的串并,就可以找到更多的线索。
通过数据存储分析技术,方便的交互方式以及可视化分析等,使警察从海量数据里,梳理数据脉络,搞清楚犯罪线索之间的关联性。
一个案情线索多了,研判后,理清整个犯罪的脉络和抓住犯罪分子的可能性也大了很多。
比如,一个犯罪团伙骗了a和b,虽然使用了不同的qq号进行诈骗,但这个犯罪团伙很可能使用了同一个手机号或同一个网址,合并不同用户报案有交集的地方,可以看到ip、网址、手机号码、qq、微信信息等,后台自动把这些用户的举报进行关联分析,自动扩展,在浩如烟海的举报信息中,就可以判断出哪些案件可能是同一个犯罪组织所做,实现对网络诈骗信息的高效收集和线索分析,帮助警方主动打击。
在这种网络“众包”破案下,100多起重大网络诈骗犯罪案件被破获,涉案金额为1.7亿元, 警方打掉了10余个组织严密、分工明确的大型诈骗团伙。
来看下部分战果:
最后看下萌萌的警察蜀黍、笑得最灿烂的最右(你猜是谁?)以及一个做趋势分析的大神。
哦,不好意思,不是上面这位,虽然姿势差不多,是下面这位:
注:本文部分数据及案例出自猎网平台《2017年上半年网络诈骗数据报告及十大案例通报》、360首席反诈骗专家裴智勇(最下一张图)及 360 公司首席安全官谭晓生(就是那个“最右”)的演讲。
本文作者:雷锋网网络安全专栏作者,李勤