电信诈骗黑灰产业链现状(一)信息泄露成精准定向诈骗的主要帮凶
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
经济的快速发展和信息网络的广泛普及,使得大众对于互联网的依赖性越来越强,个人信息不断在互联网留下痕迹,于此同时,个人信息经济价值的日益显著,导致侵犯公民个人信息的犯罪屡打不绝,且成为滋生电信网络诈骗、敲诈勒索等下游违法犯罪的源头,社会危害日益突出并多发。
一、
移动互联网的普及,移动终端的激增,满足大众日常使用所需的应用类别不断扩增,一些 APP 会通过借助操作系统向用户申请开启权限来收集相应的个人信息,过度索取权限已成为了行业的 ” 潜规则 “。反观用户角度,大多数人在面对 APP 的权限授权提示时,并未深究其授权目的,也较难判断必要权限与过度索取权限,导致个人信息被过度收集,于此同时,部分企业安全意识、安全建设能力、登录校验机制薄弱,冒充登录、数据库被 ” 脱库 ” 事件频发,个人信息安全难以保障。
二、 黑灰产业中窃取个人信息技术手段日趋成熟
短信嗅探技术、免杀木马技术、应用伪装技术,悄无声息实现信息窃取。目前市面上的 APP,在进行用户登录校验时,多使用短信验证码的方式,即账号与设备绑定,验设备不验人,故当前不法分子可通过短信嗅探技术截获短信验证码,登录受害人账户进行资料修改、转账等操作。同时由于安卓市场的多样性,用户可通过多种渠道获得应用安装包,不法分子逐渐脱离常见的应用商店,通过如下图展示的分发平台传播 ” 免杀 ” 的、界面伪装的恶意程序诱导受害人安装,截获受害人手机中的个人信息,借此盗刷资金或进行敲诈勒索。
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
图 1 分发平台界面
三、 精准的个人信息成诈骗人员定向诈骗的利器
受害人之所以相信骗子,源于对方准确的说出了其身份、购物、资产等信息,因此在庞大的地下黑灰产隐私窃取行业中,网络诈骗的信息窃取显得更加有针对性,不再是早期盲从的 ” 脱库 “,而是进行例如同生活圈、同朋友圈等社会工程学挖掘,试图完整的掌握特定人员的生活习惯与轨迹,完成画像分析,再使用定制的剧本进行精准的定向诈骗。
电信诈骗黑灰产业链现状(二):境外号码替代境内号码,成诈骗电话、诈骗短信传播主力
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
近年来,随着我国经济社会的快速发展,犯罪结构发生了根本性变化,传统犯罪持续下降,以电信网络诈骗为代表的新型犯罪快速上升并成为主流,面对严峻的电信网络诈骗现状,公安部陆续开展了 ” 断卡 “、” 打猫 ” 等专项打击行动,黑产在国内的生存空间遭到压缩。无卡可用后,一部分黑产选择通过技术手段进行断卡攻对抗,一部分黑产开始向境外引流产业转移,使用境外号码,拨打诈骗电话,发送诈骗短信。
依托 360 安全大脑海量的网络安全威胁情报、360 手机卫士的用户举报数据,我们发现在 2021 年高发的诈骗案件中,境外电话、境外短信已成为诈骗团伙重要的引流工具,且数量远高于传统的境内号码。同时,在研判的过程中,我们发现境外诈骗窝点有存在使用号码防封技术的现象。
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
图 2 2021 年诈骗渠道类型发布
一、 境外短信推广渠道及发送方式
2021 年高发的杀猪盘、虚假兼职、身份冒充等诈骗场景中,均出现国际通道短信的身影,例如诈骗短信 “0060**:你好,你岀 1OO,埩 1OOO,1 岄 5OOO,伽 /:1**”。目前一部分诈骗窝点自己搭建卡池,一部分使用第三方的国际短信渠道,在分析中发现境外社交软件群相较于其他渠道推广态度更加明确,国际短信渠道商在推广过程中,大多都直接表明可为直播(ZB)、网贷 ( WD ) 、股票 ( GP ) 、网赚 ( WZ ) 等内容提供短信服务,为提高短信到达率,降低欺诈短信被拦截几率,甚至还可提供短信攻防内容模板。鉴于运营商、手机厂商、网络安全厂商各家拦截策略不同,不同类型诈骗短信,黑产会使用不同的短信渠道商、不同的国际渠道进行短信传播。
短信通道商提供短信管理后台和 API 接口 2 种短信发送方式,此些短信管理后台,其界面和功能大同小异,主要包含短信批量发送和模板设定功能。这里以某国际短信通道管理后台为例,使用短信通道商提供的账号登录短信通道平台后,在模板设定功能,填写需要发送的短信内容,批量上传短信接收方号码,选择菲律宾、土耳其等短信频道,即可使用此些国际号码发送指定短信内容给指定的收件人。
为提高短信的到达率,黑产人员除在短信内容上,使用黑话、简繁体字做拦截攻防外,还针对接收短信的号码进行了地址过滤,主动屏蔽例如北京、云南、内蒙古、重庆、新疆、江苏、山东等骚扰短信治理比较好的地方。
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
图 3 境外短信渠道发送的 ETC 诈骗短信
二、 境外诈骗电话呼出原理
在对诈骗案件分析的过程中,我们发现诈骗案件中的受害人,其接到的境外诈骗电话,存在多归属地的特点,即同一个诈骗团伙会使用不同国家的电话号码,向同一个受害人拨打电话,说明同一个窝点的诈骗团伙手里掌控大量不同国家的手机号码,在号码归属地国家搭建呼叫系统或使用号码漫游的方式控制此些号码。
这里就产生了一个问题,同一个诈骗窝点,是如何掌握不同国家的号码呢?这里以安卓端 W 应用为例进行原理解读。W 应用是一款网络电话 APP,使用手机号 + 短信 / 语音验证或邮箱账号完成注册后,如下图展示,即可按照国家、省份 / 州、区号等筛选条件,购买不同国家的电话号码,在服务有效期内,使用 W 软件拨打、接听电话。同时,由于 W 应用不安装手机卡也可以使用,注册成功后还赠送一部分话费,黑产从业人员在接码平台、一次性邮箱平台助力下,可批量注册免费境外号码和购买收费号码,拥有了海量的境外号码资源,在云控平台的支撑下,甚至可以实现批量外呼。
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
图 4 网络电话 APP 购买网络电话号码节目
三、 境内黑产号码防封手段
于此同时,黑产使用号码魔方、防封 APP,提高拨打诈骗电话成功率、降低号码被封率。号码魔方是一款涵盖全国号码库资源,可以指定地区按指定格式或号码段生成号码的软件,即将号码按地区、指定规则、运营商、号码去重等进行分类处理的号码组合筛选。结合空号检测、号码组合、某信检测等功能,快速实现组合并筛选出有效号码,降低群呼号码失效率。
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
图 5 号码魔方 ” 清洗 ” 号码界面
通过防封产业 ” 流出 ” 的技术解读,目前 ” 运营商 ” 主要通过高频电话、号码投诉等方式收集号码并进行冻结处理。鉴于此种封号策略,市场旺盛的外呼行业,针对性的演变出了呼叫转移、AXB、回拨防封手段。
呼叫转移防封指的是通过软件呼叫转移功能把自己手机号来电转接默认设置为每一个外呼的客户手机号,来实现拨打自己的手机号转接到客户那里。即 ” 自己给自己拨打多次电话,并不会触发运营商的高频封号,从而实现降低封卡风险 “。例如,A 通过防封 APP/ 手机设置,将 A 手机号呼叫转移至客户 B 手机号。A 手机号向 A 手机号拨打电话,即可实现 A 号码与 B 号码通话,此时 B 收到的来电号码是 A。由于是 APP 自动设置呼叫转移,通话结束后自动解除呼叫转移,不会影响号码的日常使用。
AXB 模式防封指的是利用透传技术,将给不同的客户打电话,改为给一个固定的号码拨打电话,即中间号。例如:用户 A、B 通过 X 号码 1 对 1 绑定,A 呼叫 B(X 号码介入防封处理转接到 B),B 手机来电显示为 A 用户号码。此种方式从运营商业务上看,是给同一个号码拨打电话,并未产生频繁外呼多个号码的情况,未触发风控封号场景。
回拨电话防封指的是使用第三方回拨电话,即中间号码给双方拨打电话,外呼人员从呼叫方转变成接听方,因为是接听,所以也不会被监测判定为营销行为而封号。
电信诈骗黑灰产业链现状(三): 免签、代收、代付技术成诈骗主流洗钱方式
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
虚假网赚、虚假投资等诈骗场景中,受害人之所以轻易相信对方,缘于骗局早期,能够获得骗子返回的任务佣金。但短期向不同人员过于频繁进行多笔小额资金支付,轻则引起支付平台的风控警觉,重则遭遇冻卡、断卡风险,那诈骗窝点是如何解决支付难题的呢。于此同时,由于个人无法开通某信、某宝接口,黑产又是如何快速将平台收款与支付订单进行匹配的呢。
一、 免签支付成黑产支付接口短缺 ” 救星 “
由于个人无法申请某信和某宝接口,若涉诈平台使用个人二维码进行收款,当充值订单较多时,无法及时匹配订单,故黑产人员使用免签技术进行支付回调。主要方式是利用 APP,监听某信、某宝的收款通知栏的通知 , 做支付回调通知,与支付订单相匹配,实现支付接口的效果。目前免签技术已十分成熟,互联网黑市随处可见免签支付搭建教程与源码。
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
免签支付流程
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
免签支付 APP 界面
二、 代收型、USDT 手段成跑分洗钱重要方式
以高额兼职返利为诱饵,吸引并发展大量正常用户为其提供支付账号,从而将涉诈资金流水隐匿与正常用户的资金流水中,逃避追溯,这便是跑分平台经典的操作方式。根据支付产业的不同,其分为代收型跑分、代付型跑分;根据跑分抵押物的不同,分为人民币跑分、虚拟货币跑分。
代收型跑分指的是吸引用户为其提供收款服务,早期黑产为解决赌博平台收款渠道短缺,银行卡短缺、个人收款账户易风控,企业收款账户黑市价格高等问题,使用兼职众包的形式,通过抵押人民币的方式,吸收大量跑分客的个人某宝、某信收款账户,租借给 BO 彩平台做收款账户。随着虚拟货币的兴起,稳定币的出现,抵押物由人民币转为虚拟货币。这里以赌博平台使用虚拟货币跑分为例,当赌客在赌博平台上有充值需求,赌博平台会将该需求发送到对应的 ” 跑分 ” 平台上,” 跑分 ” 平台根据充值金额的需求生成订单并挂单至 App 前端供 ” 跑分客 ” 抢单,随后 ” 跑分客 ” 抵押数字货币进行抢单,抢单成功后 上传其本人的收款二维码,” 跑分客 ” 二维码通过反向链路传输到赌客端,赌客进行付款,” 跑分 ” 平台确认赌客已支付,订单完成,并将等额的 ” 跑分客 ” 数字货币押金划拨、扣除。
以代收方式相对的是代付,代付型跑分指的是以高额兼职返利为诱饵,吸引用户为其提供其支付账号,从而转租给下游的诈骗团伙,提供小额付款服务。
【研究】电信诈骗黑灰产业链现状(一)(二)(三)
跑分流程
由于某宝、某信风控等原因,黑产使用的某宝、某信收款账户易被冻结,如何能让受害人扫码转账的时候,资金是直接流转至银行账号,而不是第三方支付账户呢?为此黑产演变出了码转卡产业,即扫码支付二维码后,由原先跳转到 ” 转至某宝账户 “,变成跳转至 ” 转账至银行卡界面 “,包括某宝转银行卡 / 飞行模式转卡 / 某宝 H5/ 某宝飞行转卡四种方式。于此同时,为提升资金流转效率,黑产使用代付 APP,模拟人工操作网银 APP 进行自动化转账操作。