实战 | 网络钓鱼诈骗事件的处置和防范

文 / 广东省农村信用社联合社 姚俊先 冯晓茵

2021年2月以来，非法犯罪团伙实施了多起针对国内银行的网络钓鱼诈骗事件，不法分子以“手机银行即将失效”或“身份验证过期”为诈骗短信内容，附上仿冒网上银行、手机银行域名的链接，向大量客户群发送钓鱼短信。一旦客户点击钓鱼链接，钓鱼网站则会诱导其输入银行卡号、密码、手机号、短信验证码等个人信息，而后不法分子通过窃取的客户信息冒用客户身份登录手机银行，盗取客户资金。

国家高度重视打击治理电信网络诈骗犯罪。2021年4月9日，习近平总书记对打击治理电信网络诈骗犯罪工作作出重要指示，强调坚持以人民为中心，全面落实打防管控措施，坚决遏制电信网络诈骗犯罪多发高发态势。习总书记的重要指示为做好当前和今后一个时期的工作指明了方向，提供了根本遵循。

银行作为金融服务提供者，对频发的网络钓鱼诈骗事件，应该逐步从被动响应向主动防范转变，切实保障金融消费者的资金交易安全。本文通过一起仿冒手机银行APP的短信网络钓鱼诈骗事件，分析了诈骗手法和过程，总结了处置经验及防范方法，为银行业防范工作提供参考思路。

网络钓鱼事件发现

“网络钓鱼”是一种网络欺诈行为，是指不法分子利用各种手段，仿冒真实网站地址及页面内容，骗取用户银行账号、密码、身份证号等私人资料。钓鱼网站通常伪装成银行网站，窃取访问者提交的账号和密码信息，主要通过电子邮件、短信等网络方式传播链接。

本次网络钓鱼事件中，不法分子制作了仿冒手机银行的钓鱼网站，同时向客户发送内容为“尊敬的客户您好：您的手机银行于X月X日失效，登录96xx.net验证，给您带来不便敬请谅解【XX银行】”的钓鱼诈骗短信。短信内容中包含有钓鱼网站链接，客户被诱骗点击钓鱼链接并输入个人登录账号、登录密码、交易密码、短信验证码等信息。

针对银行的网络钓鱼事件，一般可以通过客户上报、钓鱼网站监测、外部威胁情报等方式及时发现。

网络钓鱼手法分析

分析网络钓鱼短信内容，钓鱼网站的欺诈方式和功能实现如下。

第一步：不法分子诱骗客户点击钓鱼网站链接并输入手机银行登录账号和登录密码，同时界面提示正在登录，让用户等待。如图1、图2。

钓鱼网站登录页

提示正在登录

第二步：不法分子获得以上信息后，第一时间进行登录尝试，验证账号和密码。因其更换了设备进行登录，手机银行要求使用者输入短信验证码进行身份验证。此时钓鱼网站弹出让用户输入验证码的提示界面，获得验证码，绕过陌生设备首次登录的短信验证机制，同时界面提示账户正在激活，让用户继续等待。如图3、图4。

骗取验证码验证身份  

提示账户正在激活中

第三步：不法分子通过手机银行登录受骗用户账号，发起转账交易，同时在钓鱼网站上弹出身份验证成功提示，诱骗用户输入交易密码和转账交易短信验证码，盗取户资金。如图5。

骗取交易密码及验证码

另外，诈骗团伙还制作了一些后备获得客户信息的钓鱼诈骗页面，如图6、图7。

骗取客户信息页面一

骗取客户信息页面二

钓鱼网站后台可记录客户的所有输入信息，并进行自动化登录尝试操作。如图8、图9。

钓鱼网站后台

后台记录受骗客户信息

网络钓鱼诈骗事件处置经验

在分析不法分子钓鱼诈骗手法的基础上，我们制定了钓鱼诈骗事件处置方法，采取“快速阻断、防范损失”的原则，从钓鱼行为对抗、客户宣传提示、加强安全措施等三个维度进行处置和对抗。具体对抗措施如下。

1.对抗思路

一是钓鱼网站关闭处置。为控制事件影响范围，我们对已收集到的钓鱼网站进行持续监测，并联系服务商进行关闭处置。但本次钓鱼事件中，诈骗团伙频繁变换钓鱼网站地址及域名，给实时封堵黑产登录IP带来较大难度。

二是钓鱼网站干扰对抗。因实时封堵黑产登录IP的难度较大，我们尝试对钓鱼网站进行干扰。首先采取DOS拒绝服务的反制措施，消耗钓鱼网站应用资源，让正常客户无法访问，但钓鱼网站数量多且无法实时获取最新数据。其次，编写自动化脚本向钓鱼网站写入大量脏数据，干扰诈骗团伙对网站后台数据的验证。

三是钓鱼诈骗手法分析。为分析诈骗团伙的钓鱼手法，我们向钓鱼网站提交了验证性数据，并在流量监控设备上监测到了相关登录日志，说明诈骗团伙正在实时监控客户在钓鱼网站上输入的信息并进行登录尝试。

四是关联分析设备ID并封阻IP。我们对提交的验证性数据进行关联分析，得到了诈骗团伙的登录IP和登录设备ID。分析发现，登录IP归属地集中于云南省和缅甸，于是重点监测流量，持续监控并封堵相关IP。采取此措施后，攻击流量大大减少，但诈骗团伙仍尝试以更换代理IP的方式继续进行登录。

五是建立黑名单机制并限制黑产账户。根据下属机构上报的受骗用户转账记录以及外部情报信息，我们分析并筛选出黑产收款账户，通过大数据风控系统建立黑名单，对黑产收款账户进行转账拦截，防止其他受骗客户继续转账。

六是限制已泄露账户的登录和转账。我们对诈骗团伙的登录设备ID进行关联分析，统计出已泄露的用户信息，并持续监测有无新增泄露账户。如果发现诈骗团伙进行登录尝试，则在手机银行通过输错6次密码的方式将相关账户锁定1小时；对已泄露的账户，则通过大数据风控系统进行拦截，限制转账，客服人员或机构核实客户真实身份后再放开。

七是手机银行增强安全认证。诈骗团伙通过诱骗客户输入短信验证码、交易密码等关键认证信息达到盗取资金的目的。如在更换设备进行手机银行登录时增加人脸认证，则能有效阻断其诈骗行为。我们联合单位各部门召开紧急会议，共同确定在手机银行中增加“非常用设备登录需人脸识别验证”的功能，成功阻断了诈骗团伙对其他客户实施进一步钓鱼诈骗。

八是安全意识宣传与指导。在钓鱼诈骗事件处置过程中，要注意加强对客户的宣传以及对下属机构的指导。在更换设备、转账等环节的短信模板上进一步明确提示，提醒客户注意防范钓鱼诈骗；在微信公众号等官方渠道发布相关提示；通知下属机构向客户发送防钓鱼诈骗短信提示；密切关注客户和下属机构反馈信息，指引受骗客户报警，做好客户安抚工作。

九是对钓鱼诈骗网站开展反制工作。联合外部安全厂商开展反制工作，成功获得部分钓鱼网站管理后台系统和数据作为证据，为公安部门提供了有力线索。

十是潜在损失风险排查。对诈骗团伙登录尝试时的设备ID、登录IP、转账交易等记录和流量进行分析，进一步统计出其他受骗用户或已泄露的用户信息。

图10 对抗思路

2.事件处置经验

一是响应及时，持续对抗。我单位收到下属机构上报的钓鱼诈骗事件后，第一时间协调各条线派员参与事件处置工作，建立处置组沟通群，并着手收集客户反馈信息和外部安全情报，持续监测黑产动向。

二是措施有效，多管齐下。以“快速阻断、减少损失”为原则，我们从技术对抗、业务优化、宣传提醒等层面采取了多种处置措施。对钓鱼者采取“关网站、干扰反制、限IP、限转账”的措施；对客户进行安全知识宣传，提醒客户修改密码，提高识骗防骗意识；在手机银行增加身份验证措施，在相关渠道增加风控措施。

三是协同一致，分工合理。此次针对银行客户的网络钓鱼诈骗事件不同于传统的电信诈骗，诈骗团伙有较强的技术能力并做了充分准备。我单位各部门高度重视，各司其职，以客户第一为宗旨，尽全力减少客户损失。

网络钓鱼的本质是欺诈，诈骗分子利用人的信任、贪婪、防范意识低等特质，以“人”这一最薄弱的环节为突破，侵犯用户的隐私及财产安全。对待网络钓鱼事件，银行需要从被动处置逐步向主动防御、积极对抗转变，提高安全防护与监测能力，做到防患于未然；需要加强安全事件的应急处置能力，积累处置经验，第一时间控制影响范围，减少客户损失，保护客户合法权益；需要做好安全知识宣传，提高金融消费者防骗意识，内外联手，让不法分子无可乘之机。

（栏目编辑：郑岩）