钓鱼短信再次升级,面对用户流失风险,银行金融机构该如何应对
一、钓鱼短信盯上银行用户
据美国 *** 安全公司proofpoint《2020 State of the Phish Report》数据显示,受疫情全球大流行影响,2020年全球钓鱼短信攻击的增长率超过300%。而其中,针对金融机构的 *** 钓鱼攻击占比更大,占所有攻击的22.5%。而在国内,这一比例更是高达26.88%:
近期「假冒银行短信钓鱼」案件频发,中国银保监会也紧急发文,就近期假冒多家银行名义发送服务信息的短信钓鱼诈骗行为进行风险提示:
种种迹象表明,黑产团伙已经盯上各家银行的用户,这将严重威胁到用户的财产安全,并对各大银行的品牌形象造成极为恶劣的影响。
早在2012年,全球每天有将近19亿条文字讯息通过WhatsApp等实时通讯软件传送,而传统短信则仅有17.6亿条。从那时起,每年都会有人喊出「短信已死」,结果人家非但没死,每天还变着花样,轮番轰炸你的手机:
营销泛滥的当下,流量转化成本越来越高,以槽点最多的开屏广告为例:
这种误点率极高的设计,就是为了让点击率能突破行业12%的上限。而短信则不同:
Mobile Squared的数据称,在所有营销渠道中,近九成的短信会在被收到后的三分钟之内被打开阅读,这一点是其他任何直接营销渠道所无法比拟的。
在独有的紧迫感下,短信催生了新的商机。除常规的短信验证码、服务类短信通知外,越来越多的银行使用文本消息进行新客营销,老客促活。越来越多的银行用户开始习惯,以短信文本消息与银行进行交互。而在不经意间,银行也帮助黑产团伙培养了用户习惯:
完美的钓鱼攻击环境,黑产团伙只需要模仿各大银行定期通过短信与用户互动,便可实施钓鱼短信诈骗。
根据FBI旗下互联网犯罪投诉中心(IC 3)的一份调查报告显示,在过去的三年里,全美因钓鱼攻击所造成的损失,超过260亿美元。而在我国,2020年以来,仅凭拦截下来的钓鱼诈骗信息,就为群众直接避免了将近1200亿元的经济损失。
在美国,摩根大通银行作为金融领域代表,与Netflix、苹果公司入选最受「钓鱼短信」模仿的热门品牌。而「假冒银行钓鱼短信」威胁,早已蔓延全球:
在国内,包括:民生银行、华夏银行、招商银行、众邦银行、贵州银行、嘉兴银行、湖州银行、昆仑银行、郑州银行等在内的多家银行纷纷通过官方渠道向用户推送风险提示,对冒充银行短信的新型诈骗手法进行预警:
三、钓鱼攻击背后的黑灰产
钓鱼式攻击(Phishing)作为最早的 *** 攻击类型之一,其 历史 可以追溯到上个世纪90年代。随着移动互联网的发展,传统钓鱼攻击下又演变出移动钓鱼攻击,其中短信钓鱼攻击(Smishing)就是传统钓鱼式攻击(Phishing)的变种:
作为移动威胁的一部分,「钓鱼短信」攻击已成为当下互联网的重要威胁。而随着各类信息及数据泄露事件的不断发生,包括:姓名、手机号、银行卡号与身份证信息等一套完整的公民隐私信息,对黑产而言,已触手可得。
随着 社会 对钓鱼攻击的关注,传统的攻击手段逐渐为用户所熟识,简单的信息诱骗和相似网站内容的欺骗已经很难成功实现钓鱼攻击:
成本低,风险小,广撒网,多敛鱼的模式已不具备优势,黑产转而向专业化、组织化以及分工细致化发展。一条由包网服务、短信通道、盗刷通道、 游戏 代充等多个黑灰产业链共同参与的钓鱼短信诈骗组织逐渐兴起。
1.钓鱼网站:
作为诈骗的关键环节,这块基本也是除了数据外,黑产另一项硬支出。包括:仿冒银行域名抢注、各大银行官网的模仿、到大量的适配手机界面的钓鱼网站以及购买美国或者香港免备案服务器进行搭建后 *** 拦截程序。搭建一个完整的钓鱼网站下来,五年前的价格大概在上千元。
随着分工越来越细, 包网服务商 出现,他们为黑产提供包括:搭建钓鱼网站、购买域名、服务器租赁甚至网站维护在内的 *** 服务。为提升竞争力,服务商还开通了各类后台管理系统,为黑产组织提供「一站式钓鱼攻击服务」:
2.精准数据采购
为了提升钓鱼短信转化率,降低运营成本,黑产会向「数据贩子」购买数据。而数据商通过各种渠道,能够拿到各种行业的用户数据,其中以金融行业数据最为热销。通过黑市、暗网论坛以及社交媒体进行交易,优质的一手数据,按照1万条算,单价一般能到上千元。一旦黑产掌握了银行用户的真实信息,如姓名、手机号、身份证、银行卡等重要隐私信息后,钓鱼短信的破坏性将得到质的提升。
3.伪基站发送钓鱼短信:
为了提升反侦察能力以及机动性,伪基站设备也在不断更新,由固定式变为移动式,由大功率变为小功率,由大体积变为小体积,使得违法犯罪分子携带更加轻便并实现移动攻击模式,比如,以每小时500元左右为酬劳或以合作分成的方式,让人带着设备穿梭于闹市区以及大型社区,「打一枪换一个地方」。
现在,国内各大运营商和短信平台的风控机制越来越严格,发送这些钓鱼网站被拦截的概率越来越大,于是有些黑产开始用国际短信通道来发送信息,规避审核。这些国际短信通道也有专门的公司提供,一般5000条起发,每条3-4毛钱。
4.出料
当用户上钩后,黑场会将钓鱼网站后台所收到的数据进行筛选整理,利用各个银行的在线快捷支付功能查询余额。然后,直接消费、进行转账或第三方支付消费,而针对无法将余额消费的,将会以余额的额度以不同的价格出售(大部分会打包起来以每条1元的价格进行多次叫卖),余额巨大的有时还会找人合作进行「洗料」。
5.洗料:
黑产通过多种方式将「料」进行变现,一般开通快捷支付充值水电、话费、 游戏 币或者利用其他存在第三方支付转账接口和银行快捷支付漏洞等,将「四大件」变成现金后,通过各种规避追查的手段与合伙人按比例进行分账,日均收入都在6位数以上。
与此同时,钓鱼短信仍保持着快速的技术迭代与策略更新:
利用移动通信、短视频平台、富媒体类等营销场景,钓鱼短信所承载的内容也将愈发丰富。这些消息,用于诱使用户下载欺诈性应用程序或打开指向密码窃取或欺诈性移动站点的链接;
更具欺骗性的文本使用以及短链,向银行用户隐藏实际的欺诈目的。黑产利用合法URL+字符形式+高防域名,让假冒域名在移动设备的小地址栏中仅显示该域的合法部分;
配合强调消息的紧迫性以及很难抗拒的诱惑,进一步提升钓鱼短信转化率;
频繁发生的钓鱼攻击案件,正在造成各大银行线上用户的流失。赛门铁克的一项研究表明,将近三分之一的银行用户表示,由于担心遭遇钓鱼攻击,而被迫放弃对网上银行的使用。
随着钓鱼短信攻击的手段日益复杂,事件持续高发,让银行以及用户蒙受巨大损失,严重影响用户财产安全,并逐渐失去对银行的信心。作为交互安全领域服务商,极验将从企业与用户的交互视角,审视钓鱼短信攻击:
早在5年前的 KCon 黑客大会上, *** 安全专家Seeker在《伪基站高级利用技术——彻底攻破短信验证码》中曾明确表示,短信验证码这种安全认证机制可被轻易突破,理应尽快放弃并使用更安全的认证机制。
G *** 伪基站的搭建:硬件:普通 PC、USRP B2X0 + 天线(或Motorola C118/C139 + CP2102)。软件:Ubuntu Linux、OpenBSC。OpenBSC:由O *** ocom发起并维护的一套高性能、接口开放的开源G *** /GPRS基站系统。
针对短信验证码存在的缺陷与安全隐患,具体表现为:
显然,如果仅仅是依靠短信验证码来确认用户身份,具有一定的安全隐患。对于平台而言,除了短信验证之外,在涉及大额支付及修改用户交易密码等业务场景,增加新的验证手段刻不容缓。
替代方案:脱敏手机号+免短信登录
仔细研究黑产整个钓鱼短信攻击环节,短信是黑产突破银行防线的重要突破口。而在银行金融机构的关键业务关节,极验「无感本机认证」正在替代传统短信验证码:
作为身份校验的升级方案,极验牵手全国三大运营商推出「无感本机认证」。由运营商网关直接验证用户SIM卡中的手机号码,全程加密,替代短信验证码。从而让不法分子无短信可嗅探,从根源解决短信嗅探的风险。同时,也大大简化用户操作流程,用户体验更加顺畅,有效提高转化率,帮助银行金融机构优化认证流程,助力拉新、留存、促活。
而对于银行用户,提升隐私安全意识,就能抵御超过一半的安全风险:《2019年数据泄露成本报告》中有一组数据,49%的数据泄露是人为错误和系统故障造成的,而这都让他们成为 *** 钓鱼攻击的牺牲品。
幸运的是,短信 *** 钓鱼攻击相对容易防御。你会发现,只要什么都不做,通常可以确保自己的安全。所以当遭遇疑似钓鱼短信的时候,不妨冷静下来思考三个问题:
当然,如果遭遇短信嗅探,则要迅速做出响应,例如:
作为银行用户,提高对移动安全事件的关注度和敏感度,对与个人关联的事件进行紧急响应,做好事后止损的工作。一旦遭遇以上情况,提高警惕,必要时可采取关机、启动飞行模式等应对措施应对。
可以预见,在之后数年,移动 *** 安全依然不容乐观。隐私泄露和移动攻击的泛滥和融合还会进一步加深,并导致 *** 攻击威胁泛滥进一步加深。对抗还将继续,不论是企业还是消费者,唯有不断强化安全意识,提升自身对抗风险能力,并做到及时排除风险隐患,才是不变的真理,从而让自己远离风险。
警方揭秘 *** 诈骗黑产链,你都知道哪些 *** 诈骗的套路呢?
警方揭秘 *** 诈骗黑产链,你都知道哪些 *** 诈骗的套路呢?
近日警方揭秘 *** 诈骗黑产业链让很多人都瞠目结舌,在我们的科技不断进步的今天,骗子的骗术也在不断进步着,他们通过一些科技手段将受害者引入一个又一个的陷阱之中,着实让人防不胜防。在互联网飞速发展的今天, *** 诈骗也迎来了一个新的 *** ,一些不法分子通过 *** 无孔不入实施诈骗,导致当下网民上当受骗的几率越来越大,被骗金额越来越多。今天就让我们来一起揭晓一下载当下比较火热的 *** 诈骗的套路。
首先就是一些短信 *** 诈骗,在当下由于我们的个人信息在一些网站填写泄漏之后,就成为了很多不法分子的诈骗对象,在了解我们的个人信息之后,以一个奖励或者是某某企业的名义向我们发送信息或者打 *** 的形式来告知我们,很多人因为对方讲述的信息非常详细而一下子就慌了神,掉入了对方的圈套之中,被 *** 幕后的黑手无形的推着走,最终落得一个人财两空的局面。这种骗术在当下是非常盛行的,以至于每年有很多人因此受骗。
第二种就是以 *** 售卖产品的手段来进行 *** 诈骗,这种骗术主要针对的是一些未成年人和老年人群体。由于当下 *** 游戏发展盛行,而 *** 游戏的大部分玩家是未成年人,由于游戏里面的付费道具对于一些游戏玩家非常吸引,这也就成为了骗子的切入点,他们通过低廉的价格向游戏玩家吹嘘能够进行充值,很多人因为自身的原因而耐不住诱惑上当受骗。同样遭受这样方式诈骗的人还有老年人,由于当下老年人对于一些保健品十分热衷,而骗子正是看到了这一点,便向他们兜售大量昂贵的产品,实则没有任何功效,很多老年人因此上当受骗。
当下还有一种比较高科技的诈骗手段,就是木马植入,通过了解局域网名来进行电脑入侵,从而能够掌握受害者的一举一动,实施精准诈骗,这种方式也是当下效率更高的方式,但由于里面技术要求比较高只被少部分人掌握,只在少部分地区有实施。
当下 *** 世界光怪陆离,我们需要提高自身警惕,保护好个人隐私,以减少 *** 上当受骗的威胁。
如何评价2020年天猫双十一总成交额达4982亿元?
这意味着,双十一的消费意识形态,由商家引导逐渐向理性消费的转变过程。消费结构,也在不断的升级。消费者从“好便宜啊我都想要”,逐渐向“这个东西看起来,好像性价比很高的样子”过渡。作为 *** 方一直以来坚持的“双十一的东西更便宜”,也在向“过了双十一依然便宜”这个方向发展。在这背后,是无数系统升级的努力。生产商想尽一切 *** 提升性价比,从而获得长期稳定的消费群体。平台方帮助商家降低仓储物流成本,从大数据层面,指导产量,更趋向于精准和理性的判断。消费者有了更长的购买周期和选择余地,一定程度上降低了快递站和物流压力。这一切,都是从“狂欢式购买”到“合理性消费”的必然发展历程。以往爆发式增长的消费是一时之计,消耗掉了冗余产量,但是也必然会造成消费者层面的后悔。
双11成交狂欢季
公安部部署开展“断号”行动, *** 黑产该如何从根源上制止?
对于 *** 黑产的行为,个人觉得要从根源上制止这些人利用 *** 的虚拟化和现实化的差距,所以进行一些非法操作应该要对这些人进行严厉的惩罚,同时从根源上销毁这些不法分子的行为,从而提高市民上网意识。
对于这些 *** 的非法行为,一定要进行严厉制止。近几年 *** 诈骗 *** 入侵的行为是越来越严重,如果不进行加强管理,很有可能会使这些非法行为越来越严重。
一、严厉惩罚 *** 不良行为
对于 *** 不良行为,个人觉得应该要严厉的惩罚,因为严厉惩罚才是对这些非法分子作出的最公正的判定,如果疏忽对这些不法分子的惩罚,只会让这些事情越来越多,最后会让这些人越来越放肆 *** 提供的一些场景是区别于现实,所以说很多人愿意在 *** 上进行这些非法行为的表现。
二、提高市民上网意识
当然作为市民应该要有更好的上网意识,可能有些人对上网历史不是很清晰,总觉得网上的东西都是真的,所以很多市民都容易进入到 *** 诈骗或者 *** 入侵当中,但是大家一定要想清楚,上网是要有风险的,只要大家能够提高意识,有些东西不要去碰,按照正确的上网形式去上网就可以,不要中了 *** 分子圈套。
三、从根源上销毁不法分子行为
其实大家也要注意,必须从根源上去销毁这些不法分子行为,公安部门如果出手去对这些行为进行严厉打击,那就必须要做好相关的行动,特别是从根源上去销毁不法分子的行为,因为不从根源上解决,只会使相关的事情变得越来越多,到最后会有越来越多的人陷入这样的圈套,只能够从根源上去解决,才是更好。
黑产什么意思?
黑产是“黑色产业”的简称。以前讲某户人家有钱有势,势力讲的是当官,朝廷里有人;这里“有钱”可不是单纯的有金有银,讲的是“有产业”。站着房子躺着地,这是“产业”。
即使改朝换代,金银能被乱兵、土匪抢走,可房子和地不会跑,是可以传给子孙后代的产业,是铁杆的庄稼。
黑色产业,讲的是通过黑色手段能巧取豪夺的“产业”,例如,租个仓库,买一万台手机薅羊毛,这就是被黑色行业称道的“产业”。这产业挣钱吗?当然挣钱。一万台苹果六(或者5s),就算一千块钱一台,一万台就是一千万。这些基本能在一年内回本,碰到冤大头更可能在几个月内回本(例如近期某某巨头要做外卖,某某巨头要做打车,脑门上都刻了冤大头三个大字)
广义上讲,跟黑产交易相关的东西,也可以被叫做黑产。例如,去偏远山区买一麻袋身份证,拿着这证去骗取手机卡、银行卡,再拿手机卡去养微信号(一个养足月的微信号能卖60元以上,一个百人微信群也能卖30-50元)、头条号(一个开了商品广告功能的头条号据说高峰期能卖两千元),这都是“黑产”的一部分。
不要看我说的这么轻松,好像挣大钱指日可待,这些东西都是犯法的。买卖50套个人身份信息,就构成犯罪,如果被用来诈骗,还可能涉及传授犯罪 *** 、提供犯罪工具。
2020年7种更大的 *** 安全威胁
在整个2019年, *** 安全一直是一个主要问题,随着组织开始越来越依赖IT,这仍然是一个严重的问题。尽管大多数公司现在已经意识到 *** 安全的重要性,但许多公司仍未采取必要的措施来充分保护它们。在本文中,我们将探讨2020年可能遇到的安全威胁。
1、缺乏 *** 安全教育
对任何企业而言,更大的 *** 威胁可能是公司内部对 *** 安全的知识和了解不足。如今,数字革命正在影响大小公司中员工的工作习惯。随着越来越多的员工在日常工作中使用互联技术,比以往任何时候都重要的是确保所有员工都知道他们面临的 *** 安全风险以及如何以增强安全性的方式开展工作。
2、数据泄露的威胁
个人数据是黑客的主要攻击目标,数据泄露的威胁将继续是企业在未来几年中将面临的更大问题之一。这意味着公司需要确保端到端的个人数据安全,从发送到个人数据到安全处理的整个过程。SSL证书,加密数据存储,逻辑访问,密码管理以及Web应用程序的快速修补和更新在此领域至关重要。
3、技能短缺
*** 安全的复杂性意味着越来越多的组织正在使用高技能的安全专家提供服务。不幸的是,由于这些专业人员短缺,许多公司在需求更大时就存在相当大的技能缺口。
作为响应,许多公司现在正在实现使用智能,自动化安全工具的使用,这些工具使用先进的技术来扫描和阻止企图入侵,感染或其他形式的攻击,例如DDoS。这些服务通常可以由您的服务商提供。
4、 云的威胁
大多数企业至少将云用于其IT解决方案的一部分,并且作为存储数据和运行操作流程的场所,云正变得越来越流行。但是,它的受欢迎程度并未被 *** 犯罪分子保密,并且基于云的威胁的数量持续增加。
2020年,公司将需要维护关键数据的安全性,并确保已具备实时威胁情报,以更大程度地降低数据泄露或关键操作下线的风险。
5、 移动设备风险
对于许多员工而言,智能手机现在已成为必不可少的工作工具,不仅用于访问公司系统,还用于存储重要数据。这使组织面临安全保护连接不良,移动恶意软件和设备盗窃的风险。因此,至关重要的是,必须确保所有可用于访问组织系统的移动设备的安全。一种解决方案是确保通过安全的Web应用程序进行访问。
6、 物联网漏洞
移动设备并不是唯一容易受到攻击的远程设备。物联网设备可能会面临更大的风险,在过去几年中,物联网设备的使用激增,许多组织越来越依赖该设备。它们提供了组织需要保护的许多潜在漏洞,例如不安全的wi-fi连接,硬编码的凭据,未验证的固件和未加密的数据。此外,受到威胁的路由器或 *** 连接的存储服务器会向攻击者提供对数据的访问权限,并可作为发起更多攻击的平台。在2020年,使用IoT的组织将需要仔细研究如何确保防止这些漏洞。
7、智能恶意软件
*** 犯罪分子和 *** 安全团队之间的战争不再仅仅由人工来进行。这两个阵营现在都使用人工智能(AI)和机器学习作为工具。不幸的是,这意味着 *** 犯罪分子现在能够创建极其复杂的恶意软件和攻击 *** ,并且其速度与 *** 安全公司所面临的挑战相当。这些隐秘攻击之一具有破坏性作用只是时间问题。
结论
2020年, *** 安全将继续挑战各种规模的组织。我们将看到诸如数据泄露之类的持续风险仍然是每个人的首要任务,而新技术的发展带来了新的威胁,例如智能恶意软件和IoT漏洞。随着公司扩大对IT的使用,我们还需要保护云和移动设备,同时确保有高技能的IT专家来制定安全策略并教育其他人如何保持安全。
0条大神的评论