2016中国伪基站短信研究报告

2016-04-28 575167人围观 ,发现 15 个不明物体 安全报告网络安全

综述

2016年3月,360手机卫士共为全国用户拦截各类伪基站短信1.1亿条,平均每天拦截伪基站短信约354.8万条。

伪基站短信中,冒充95555的伪基站短信数量最多,766万条;其次是冒充95588、10086、95533和95599等号码的短信。

在所有收到伪基站短信的手机用户中,89.4%为中国移动用户,9.5%为中国联通用户,近1.1%为中国电信用户。造成这种分布不平衡的主要原因是运营商所使用的手机通信制式有所不同,而且最容易收到伪基站短信的GSM(2G)系统,目前主要是中国移动仍在使用。

内容分类

从伪基站短信类型看,广告推销类短信数量最多,占比高达41.3%;其次为违法信息类短信33.8%;诈骗短信24.0%。

在所有广告推销类伪基站短信中,金融服务广告占到47.5%,居于首位;其次为实体店广告(28.5%)、房地产广告(12.9%)、电商网站广告(3.0%)、教育培训广告(1.1%)。

在违法类伪基站短信中,代开发票类短信占比最高,高达64.4%,其次是赌博信息28.8%,办证刻章类3.5%,谣言类1.1%。

在诈骗类伪基站短信中,身份冒充类伪基站短信占到了绝大部分,占比为93.8%,打款诈骗(1.7%)、电商网站欺诈(0.7%)位列其后。

时间特征

从一周七天看,周二到周四通常是伪基站短信量最多的两天,分别占360手机卫士一周拦截总量的16.7%、16.3%和16.3%,而周五则是伪基站短信量最少的一天,仅占总拦截量的11.6%。

从一天24小时的情况来看,9点至19点为伪基站短信频发时段,约占全天总拦截量的86.0%。上午11时为一日之内的最高峰,这一小时内伪基站短信数量占全天总量的8.8%。

针对一天24小时的分布分析发现,色情服务类变化趋势明显不同于其他类型,它在18点以后明显上升,活跃时间一直到凌晨2点左右,而其他时段则几乎为0。

地域特征

从地域来看,伪基站短信最为集中的省级行政区是河南、四川,比例均超过10%,其次是北京、山东、辽宁、广东、吉林、重庆等占比也超过5%。

对广告推销类伪基站短信分析发现,河南省的占比为19.3%,占据首位;而辽宁、山东分别以12.4%和12.3%位居其后。

对违法类伪基站短信分析发现,北京市占比为18.3%,居首位;而河南、四川分别以14.8%和13.6%位居其后。

对诈骗类伪基站短信分析发现,广东省占比为11.5%,居首位,而上海、河南分别以9.2%和7.5%位居其后。

赌博类短信主要集中在四川24.7%、重庆16.6%等地,二者之和达到四成;色情类短信主要盘踞北京61.5%、上海21.3%,二者之和超过八成;谣言类短信主要分布在广东43.5%、河南24.8%等地,二者之和将近七成;房地产推广类短信中山东省的占比27.6%,占首位,而河南、河北分别以19.2%和11.8%位居其后,三者之和接近六成。

从城市看,伪基站短信最多的Top10城市为北京、郑州、成都、重庆、大连、长春、深圳、上海和沈阳、青岛。特别值得一体的是,大连和长春的伪基站短信拦截量排名甚至高于深圳和上海等IT发达地区。

城市特征

2016年3月,360手机卫士共为北京用户拦截各类伪基站短信966万条,平均每天拦截伪基站短信约32.2万条。

从伪基站冒充的手机号码的情况来看,2016年3月北京用户收到冒充95555的伪基站短信59万条,冒充10086和95588的短信数分别是53万和15万条,值得一提的是,与全国情况相比,北京市冒充号码数出现较多的手机号码。

从伪基站类型的角度来看,北京市伪基站短信最主要的类型是违法信息类,占比高达71.8%,诈骗(14.3%)和广告推销(13.8%)位列其后。这与全国其他地区的伪基站短信中,广告推销类普遍占比最高的情况有明显的差异。

郑州市3月份共截获伪基站短信817.3万条;最主要的类型是违法信息类,占比高达56.9%,广告推销(26.6%)和诈骗(16.4%)位列其后。

成都市3月份伪基站短信总量为720.5万条;主要是广告推销(45.7%)和违法信息(42.7%)两类,诈骗类型占比(11.5%)明显低于全国平均水平(22.8%)。

重庆市3月份伪基站短信总量为720.5万条;各类型短信分布较平均,其中违法信息(40.9%)占比最高,其次为广告推销(37.1%)和诈骗(22.0%)。

大连市3月份伪基站短信共635.7万条;最主要的类型是广告推销类,占比高达77.7%,其次是诈骗(15.4%)和违法信息(6.8%)。

研究背景

伪基站是相对于基础电信运营商架设的正常基站而言,由不法分子临时搭建,用于实施电信诈骗或扩散垃圾信息的无线电收发设备。伪基站是网络诈骗和非法营销的重要技术工具。它能够搜取以其为中心、一定半径内范围内的手机信号,之后使用任意号码,如冒充公共服务号码,强行向其影响范围内的手机发送短信息,普通用户往往难辨真伪。

为了保护手机用户免遭伪基站短信的侵害, 2013年10月,360手机卫士结合短信内容智能识别,通信环境智能检测,以及云拦截和大数据等多种先进技术方法,在全国率先推出了伪基站短信的识别与拦截功能。截至2016年3月,360手机卫士已经累计为全国用户识别和拦截伪基站短信近60亿条。

但是,面对伪基站短信的严重危害,仅仅是在移动终端上进行拦截和防护是远远不够的,更应该从源头上进行打击和治理。为了进一步深入打击伪基站犯罪,2014年,360互联网安全中心就建立起了国内首套覆盖全国所有地区的伪基站实时定位追踪系统,并以该系统为基础,协助多地公安机关展开了伪基站的打击工作,并取得了卓有成效的战果。伴随着各地公安机关的严厉打击,自2014年以来,伪基站短信的数量在全国各地都已经呈现出逐年下降的明显趋势。

不过,进入2015年以来,各地伪基站犯罪团伙又开始采用了很多新的技术手段和作案方法进行自我隐藏和自我伪装,如:有的犯罪分子会使用技术手段来隐藏或不断变换伪基站设备信息;有的犯罪分子会在伪基站移动过程中,不定期的打开或关闭设备以躲避追踪;更有犯罪分子会每天不断改变自己的出行路线,增加公安机关的抓捕难度。伪基站团伙不断升级的犯罪手段给定位、跟踪和抓捕伪基站提出了新的挑战。

为了保持对伪基站犯罪分子的持续高压打击态势。2015年底,360手机卫士联合360天眼实验室,共同研发了新一代的360伪基站追踪系统。该系统将360手机卫士的海量实时监测数据与360天眼的大数据分析技术相结合,不仅可以对定位单个伪基站的活动位置,同时还可以根据海量历史数据自动分析伪基站的内容特征、行为特征和局部地域特征等,并且在系统中增加了大量的实用分析工具,大幅提升了伪基站追踪分析能力和分析效率,同时大幅降低了公安机关分析定位伪基站的技术难度。

凭借新一代的360伪基站追踪系统的技术优势,仅2016年1-3月,360互联网安全中心就已经协助北京市公安局网络安全保卫总队破获多起在京活动的重大伪基站犯罪团伙案,捕获犯罪嫌疑人160余名,缴获伪基站设备100余套。

本次报告,基于新一代的360伪基站追踪系统的技术分析,以360互联网安全中心2016年3月截获的伪基站短信样本为基础,对全国的伪基站短信态势进行了综合分析,希望能够对各地公安机关打击伪基站,打击网络诈骗提供有益的参考和帮助!

第一章 伪基站短信综述

2016年3月,360手机卫士共为全国用户拦截各类伪基站短信1.1亿条,平均每天拦截伪基站短信约354.8万条。下图给出了2016年3月份,360手机卫士每天拦截伪基站短信的数量统计。

Clipboard Image.png

伪基站通常会伪装成某些特殊的客服号码对用户实施骚扰和欺诈。统计显示,在20163月我们截获的伪基站短信中,冒充95555的伪基站短信多达766万条,排名第一;其次是冒充95588(工行)、10086(中国移动)、95533(建行)和95599(农行)等号码的短信,数量也分别达到了694万、541万、485万和82万条。

Clipboard Image.png

特别值得一提的是,在伪基站仿冒号码ToP10的榜单上,仅有一个157开头的普通手机号码。统计显示,20163月期间,各地伪基站至少使用该157号码向全国手机用户发送伪基站短信22万条,且这些伪基站短信绝大多数分布在重庆地区。

我们对收到伪基站短信用户所属的运营商情况也进行了抽样分析。结果显示,在所有收到伪基站短信的手机用户中,89.4%为中国移动用户,9.5%为中国联通用户,近1.1%为中国电信用户。造成这种分布不平衡的主要原因是运营商所使用的手机通信制式有所不同,而且最容易收到伪基站短信的GSM2G)系统,目前主要是中国移动仍在使用。

Clipboard Image.png

第二章 伪基站短信内容分类

统计显示,在2016年3月,360互联网安全中心截获的所有伪基站短信中,广告推销类短信数量最多,占比高达41.3%;其次为违法信息类短信33.8%;诈骗短信24.0%,具体见分布下图:

Clipboard Image.png

在所有广告推销类伪基站短信中,金融服务广告占到47.3%,居于首位;其次为实体店广告(28.5%)、房地产广告(12.9%)、电商网站广告(3.0%)、教育培训广告1.1%

Clipboard Image.png

在违法类伪基站短信中,代开发票类短信占比最高,高达64.4%,其次是赌博信息28.8%,办证刻章3.5%,谣言1.1%

Clipboard Image.png

诈骗类伪基站短信中,身份冒充类伪基站短信占到了绝大部分,占比为93.8%,打款诈骗(1.7%)、电商网站欺诈(0.7%)位列其后。

Clipboard Image.png

第三章 伪基站活跃时间特征

一、整体情况

综合2016年3月伪基站短信拦截数据分析:周二到周四通常是伪基站短信量最多的两天,分别占360手机卫士一周拦截总量的16.7%、16.3%和16.3%,而周五则是伪基站短信量最少的一天,仅占总拦截量的11.6%。

Clipboard Image.png

从一天24小时的情况来看,9点至19点为伪基站短信频发时段,约占全天总拦截量的86.0%。上午11为一日之内的最高峰这一小时内伪基站短信数量占全天总量的8.8%。而每天凌晨15点是伪基站短信数量最少的时段,其中凌晨3点为全天最低点,伪基站短信数量只占全天总量的0.04%

Clipboard Image.png

二、按类型分析

对伪基站短信主要类型在一周的时间分布分析发现,无论是广告推销、违法信息还是诈骗都有着相似的变化趋势,周二到周四比例较高,而周五的比例相对较低。

Clipboard Image.png

对伪基站短信主要类型在一天24小时的分布分析发现,各个类型在9-18点都是发送高峰期。但是我们仔细对比发现,诈骗短信从业者相对开工晚,10点左右才开始快速攀升,但收工很利落,18点之后很快降到谷底。诈骗短信者无疑是同行兄弟中最幸福的,找到了一个可以起得晚、下班早的“好工作”。

Clipboard Image.png

三、典型子类型分析

伪基站短信中金融服务、打款诈骗、赌博、色情服务等细分类型在一周七天数据分析发现,打款诈骗类短信表现最为抢眼:在周五、周六明显下降,从周日开始增加,周二达到顶峰。

Clipboard Image.png

对伪基站短信细分类型在一天24小时的分布分析发现,金融服务、打款欺诈和赌博信息的变化趋势和分类大类型相似,但是色情服务类变化趋势则明显不同,它在18点以后明显上升,活跃时间一直到凌晨2点左右,而其他时段则几乎为0

Clipboard Image.png

第四章 伪基站短信地域特征

一、地域分析综述

伪基站短信在全国具有很强的地域特征。

一方面伪基站短信在个别省区如河南、四川、北京等地区数量巨大,这三个省区的伪基站短信占全国总量的1/3以上。

另一方面,不同类型的伪基站短信也存在明显的地域差异,“垃圾推广”类短信主要骚扰河南、山东等地区,尤其是房地产类推广短信在山东、河南、河北最多,而色情类短信主要盘踞北京、上海,赌博类短信主要集中在四川、重庆等地,而金融类伪基站短信则集中爆发于辽宁、吉林等地区。

Clipboard Image.png

二、省级地域分布

(一) 整体情况

从全国看, 360手机卫士在河南地区拦截的伪基站短信数量最多,占到全国总量的15.0%,其次为四川,占比为10.0%北京排名第三,占比8.8%,这三个省区的伪基站短信占全国总量的1/3以上。

Clipboard Image.png

(二) 广告推销类

通过对广告推销类伪基站短信分析发现,河南省的占比为19.3%,占据首位;而辽宁、山东分别以12.4%12.3%位居其后。

Clipboard Image.png

在广告推销类伪基站短信中,我们对金融服务类短信作进一步分析发现,辽宁省的占比为16.8%,占首位,而四川、吉林分别以15.8%15.0%位居其后。

Clipboard Image.png

此外,在广告推销类伪基站短信中,我们对房地产推广类短信作进一步分析发现,山东省的占比为27.6%,占首位,而河南、河北分别以19.2%11.8%位居其后。开发商在山东、河南、河北等地大量的推广短信,可能跟当地房地产开发的状况密切相关。

Clipboard Image.png

(三) 违法类

通过对违法类伪基站短信类型的分析发现,北京市的占比为18.3%,居首位;而河南、四川分别以14.8%13.6%位居其后。

Clipboard Image.png

在违法类伪基站短信中,我们首先对赌博类短信作进一步分析发现,四川省的占比为24.7%,居首位,而广东、重庆分别以22.8%16.6%位居其后,而其他地区则明显较少。

Clipboard Image.png

其次,我们对违法短信中的谣言类短信,作进一步分析发现,广东省的占比为43.5%,居首位,而河南、湖北分别以24.8%10.6%位居其后。其他地区则明显较少。

Clipboard Image.png

再其次,我们对违法短信中的色情类短信,作进一步分析发现,居于首位的是北京,占比为61.5%,而上海、广东则分别以21.3%5.9%位居其后。可见,北京、上海有大量的色情服务信息是通过伪基站短信传播的,而这种现象在其他地区不太明显,也包括广东。

Clipboard Image.png

(四) 诈骗类

通过对诈骗类伪基站短信类型分析发现,广东省的占比为11.5%,居首位,而上海、河南分别以9.2%7.5%位居其后。

Clipboard Image.png

三、伪基站短信城市排行

(一) 主要类型Top10城市分析

从城市分布来看,在360手机卫士20163月拦截的伪基站短信中,北京966排名第一,其次为郑州817.3和成都720.5。在排名Top10的城市中,西部地区有两个,分别是成都和重庆;东北地区有三个,分别是大连、长春和沈阳。特别值得一体的是,大连和长春的伪基站短信拦截量排名甚至高于深圳和上海等IT发达地区。

Clipboard Image.png

从广告推销类伪基站短信数量看,20163月成都以321.8排名第一,其次为大连318.5、重庆231.7、长春226.8与郑州221.8

Clipboard Image.png

从违法信息类伪基站短信数量看,20163月北京以680.4排名第一,其次为郑州443.1、成都289.2、重庆260.3与珠海179.3。廊坊地区地处北京周边,违法信息类短信也较多,可能受到北京外溢效应影响。

Clipboard Image.png

从诈骗类伪基站短信数量看,20163月上海以242.9排名第一,其次为重庆145.2、北京142.6、郑州113.4与深圳110.9。诈骗类伪基站短信前三名都是直辖市,说明利用伪基站的骗子瞄准的主要目标是高收入人群较多的城市。

Clipboard Image.png

(二) 子类行Top10城市分析

360手机卫士20163月拦截的金融服务类伪基站短信中,成都以248.1排名第一,其次为大连208.4和重庆176.2。在排名Top10的城市中,二线城市的省会城市居多,可见在这些城市中,潜藏着大量的金融服务需求。

Clipboard Image.png

360手机卫士20163月拦截的房地产类伪基站短信中,青岛以83.5排名第一,第二名北京短信数量为48.8万条,第三名长春为29.5万条。 青岛3月份迎来的房产新政,从而激发了更多房产广告;北京房产市场依然热度不减,特别的还带动了环北京经济圈的廊坊和保定,使其也进入top10行列。

Clipboard Image.png

360手机卫士20163月拦截的赌博类伪基站短信中,珠海以178.2排名第一,其次为重庆177.8和成都94.0。珠海与重庆在赌博类的短信中,明显高于其他城市,甚至是深圳等城市的5倍以上。

Clipboard Image.png

360手机卫士20163月拦截的谣言类伪基站短信中,焦作以6.9排名第一,明显高于第二名武汉的3.9万条。 

Clipboard Image.png

360手机卫士20163月拦截的色情类伪基站短信中,北京以22.9排名第一,是第二名上海(7.9万条)的3倍、第三名广州的(1.3万条)17倍,可见北京的色情短信更加泛滥。在top10城市中,北上广深一线城市分列前4名,可见经济发达地区,是色情行业主要分布的区域。

Clipboard Image.png

(三) 各子类行Top10城市汇总

20163月典型伪基站短信子类型拦截量最多的Top10城市汇总见下表:

Top 赌博类 房地产类 金融广告类 色情类 谣言类
城市 条数 城市 条数 城市 条数 城市 条数 城市 条数
1 珠海 1782483 青岛 835124 成都 2481287 北京 228657 焦作 69384
2 重庆 1777501 北京 487684 大连 2083956 上海 79193 武汉 38664
3 成都 939988 长春 294545 重庆 1762048 广州 12647 汕头 29171
4 深圳 312573 新乡 252181 长春 1445706 深圳 7636 广州 24337
5 贵阳 244015 廊坊 248466 吉林 1065975 大连 5970 北京 22494
6 绵阳 201695 郑州 243602 沈阳 1003358 沈阳 5130 郑州 17423
7 武汉 179451 大连 169516 郑州 991993 武汉 3272 肇庆 17025
8 内江 163856 周口 139578 武汉 577710 娄底 3184 茂名 16672
9 北京 160229 保定 132901 洛阳 528271 郑州 2889 深圳 16067
10 南充 156220 临沂 120946 深圳 499910 濮阳 2241 佛山 14888

表 20163月典型伪基站短信子类型拦截量城市排行

第五章 伪基站短信城市特征

本章针对部分伪基站短信较多城市进行进一步分析,并以北京为例深入分析。

一、 典型城市——北京

Clipboard Image.png

(一) 拦截量及类型

20163月,360手机卫士共为北京用户拦截各类伪基站短信966条,平均每天拦截伪基站短信约32.2万条。

从伪基站冒充的手机号码的情况来看,20163月北京用户收到冒充95555的伪基站短信59万条,冒充1008695588的短信数分别是53万和15万条,值得一提的是,与全国情况相比,北京市冒充号码数出现较多的手机号码。

Clipboard Image.png

伪基站类型的角度来看,北京市伪基站短信最主要的类型是违法信息类,占比高达71.8%,诈骗(14.3%)和广告推销(13.8%)位列其后。这与全国其他地区的伪基站短信中,广告推销类普遍占比最高的情况有明显的差异。

Clipboard Image.png

在违法类伪基站短信中,代开发票类短信占比最高,高达92.8%,其次是色情服务类(3.2%)、赌博类(2.5%)、办证刻章1.1%)。

Clipboard Image.png

推广类伪基站短信中,房地产推广类短信占比37.2%,其次是实体商店类(23.7%)、金融服务类(16.5%)。

Clipboard Image.png

诈骗类伪基站短信中,身份冒充类短信占比最高,高达95.4%,其次是打款诈骗类(0.4%)、电商网站欺诈类(0.4%)。

Clipboard Image.png

(二) 地域分布

从行政区划的角度来看,北京市伪基站短信最为集中的地区是朝阳区、通州区与海淀区,占比分别为42.9%12.9%10.1%。前五名还包括丰台区9.1%、东城区6.5%

Clipboard Image.png

下图给出了,朝阳、通州、海淀、丰台和东城的伪基站短信类型占比的对比情况,从图中可以看到各区的占比基本相似,只是通州区的违法信息占比较大,而诈骗信息相对较少。

Clipboard Image.png

(三) 时间分析

从一天24小时的情况来看,8点至18点为北京地区伪基站短信频发时段,约占全天总拦截量的81.75%。上午10为一日之内的最高峰这一小时内伪基站短信数量占全天总量的9.7%。而每天凌晨15点是伪基站短信数量最少的时段,其中凌晨34为全天最低点。

Clipboard Image.png

北京市伪基站短信主要类型在一天24小时的分布分析发现,广告推销类稍微分布比较平缓,而诈骗类短信从早上8点开始上升到下午4点左右开始下降。违法类短信在6点开始上升到9点左右达到峰值,在17-18点之间再次出现波峰,两次峰值和早、晚交通的人流量高峰有明显的相似之处,甚至是高度重合。

Clipboard Image.png

北京市伪基站短信典型子类型在一天24小时的分布分析发现,谣言类短信在早上10点左右达到一次小高峰,而全天最高峰值出现在下午18点到19点。另外,色情服务类短信在晚上20点到22点达到峰值,一直到凌晨2点降到波谷。

Clipboard Image.png

从北京各区县伪基站短信的时间分布上来看,一天24小时中,北京市中心城区伪基站短信开始上升的时间要晚于郊区,尤其是通州区的伪基站短信从早上6点钟就开始飙升,一直持续到21点。相比而言,中心城区的东城区则“开工时间”较晚,大概在8点左右;但“收工时间”也比其他区域延长近两个小时,一直工作到23点。

Clipboard Image.png

二、 部分城市伪基站短信分析

(一) 郑州

Clipboard Image.png

郑州市3月份共截获伪基站短信817.3类型的角度来看,郑州市伪基站短信最主要的类型是违法信息类,占比56.9%,广告推销(26.6%)和诈骗(16.4%)位列其后。这与全国其他地区的伪基站短信中,广告推销类普遍占比相对较高的情况有一定差异。

Clipboard Image.png

郑州市违法类伪基站短信中,代开发票类短信占比最高,高达95.2%,其次是赌博类(2.8%)、办证刻章1.4%)。

Clipboard Image.png

郑州市广告推销类伪基站短信中,数量最多的金融服务类占比47.8%,其次是实体商店类(26.5%)、房地产推广类短信(11.8%)。

Clipboard Image.png

郑州市诈骗类伪基站短信中,身份冒充类短信占比最高,高达82.5%,其次是电商网站欺诈类(1.4%)、打款诈骗类(0.6%)。

Clipboard Image.png

(二) 成都

Clipboard Image.png

成都市3月份伪基站短信总量为720.5,主要是广告推销(45.7%)和违法信息(42.7%)两类,诈骗类型占比11.5%明显低于全国平均水平(22.8%)。

Clipboard Image.png

在成都市的广告推销类短信细分类型分布中,金融服务比例异常高,达到80.5%。其次为实体商店(11.6%)、房地产(1.9%)、教育培训(1.6%)和电商网站(1.2%)。

Clipboard Image.png

在违法信息大类中,我们发现代开发票依然以60.6%占据主要地位,其次是赌博(32.5%)和办证刻章(4.4%)。

Clipboard Image.png

从诈骗角度细分类型看,身份冒充(79.6%)位居首位,电商网站(0.4%)和打款诈骗(0.5%)占比较小。

Clipboard Image.png

(三) 重庆

Clipboard Image.png

重庆市3月份伪基站短信总量为720.5万条。从伪基站短信类型来看,各类型分布较平均,其中违法信息(40.9%)占比最高,其次为广告推销(37.1%)和诈骗(22.0%)。

Clipboard Image.png

在广告推销子类中,金融服务依然占比最高,为74.2%。其次为实体商店(15.9%)、电商网站(5.7%)、房地产(1.2%)和教育培训(0.1%)。

Clipboard Image.png

在违法信息类中,赌博类(68.4%)远超代开发票类(28.5%),这两个子类是伪基站违法信息短信的主要来源,而办证刻章所占比例只有0.8%

Clipboard Image.png

在诈骗类细分类型中,重庆市也延续了全国的传统,身份冒充(91.4%)高居首位,其次为打款诈骗(1.7%)和电商网站欺诈(0.3%)。

Clipboard Image.png

(四) 大连

Clipboard Image.png

大连市3月份伪基站短信635.7万条。短信类型看,最主要的类型是广告推销类,占比高达77.7%,诈骗(15.4%)和违法信息(6.8%)位列其后。

Clipboard Image.png

大连市违法信息类伪基站短信中,代开发票类短信占比最高,占比为59.7%,其次是赌博类(28.1%)、办证刻章7.0%)。

Clipboard Image.png

大连市广告推销类伪基站短信中,数量最多的金融服务类占比68.3%超过全部广告推销类短信的一半;其次是实体商店推广类(15.1%)、房地产推广类短信(5.6%)。

Clipboard Image.png

大连市诈骗类伪基站短信中,身份冒充类短信占比最高,高达72.2%,其次是打款诈骗类(1.7%)、电商网站欺诈类(0.4%)。

Clipboard Image.png

第六章 伪基站诈骗案例

案例回放1

2015年12月30日,北京的刘先生收到一条由95555发来的短信,短信告知:“尊敬的客户:您的手机银行将于次日失效,请登录我行手机网wap.cbmnhina.com进行认证,逾期失效,敬请留意!【招商银行】”

诈骗分子利用伪基站冒充95555发送的短信,并提供一个网址也极其相似的网站(官方网站为cmbchina.com),来迷惑受害者,刘先生并没有过多的怀疑,就用手机打开了网址。页面要求填写姓名、身份证号、银行卡卡号、交易密码、预留手机号信息。点击确认后,又需要填写一个验证码,点击后,确实收到了银行发送的验证码信息,填写进去,但没过多久,银行卡里的钱就被转走,一共被盗刷了49999元。

Clipboard Image.png

专家解读

这是一起典型的“伪基站+钓鱼网站”的网络诈骗。诈骗分子首先用伪基站伪装成95555,向受害者发送了带有钓鱼链接的诈骗短信,诱使受害者在钓鱼网页上输入身份证、银行卡等一系列个人敏感信息,在受害者填写完后,后台的诈骗分子便得到了所有信息,登录受害者网银,开始后台转账。但转账中,还需要有手机验证码,于是又通过钓鱼网站假冒需要获得验证码,骗取受害者点击。实际上,受害者点击后并没有任何作用,此后收到的验证码实际是转账时银行真实发送的验证码,但此刻的很多人不会注意,就把验证码填到钓鱼网站页面中,骗子获取验证码后,就轻松的将钱赚走了。本案中,诈骗分子转走了当日网银转账上限的金额49999元(转账限额50000元),也可见其贪婪的本性。

案例回放2

201546日,北京的杨先生收到一条由10086发来的积分兑换短信,内容如下:“尊敬的用户您好:您的话费积分3160即将过期,请手机登陆web-10086.com/bank激活领取现金礼包。中国移动”

见到短信是由10086发送的,网址中也带有10086,杨先生并没有过多的怀疑,就用手机打开了网址。进入的也是一个标题为“掌上营业厅”的页面,页面要求填写姓名、身份证号、信用卡卡号、交易密码、预留手机和卡背后三位等信息。

Clipboard Image.pngClipboard Image.png

杨先生按照要求填写了相关信息后,点击下一步,又进入了一个标题为“全国银联信用卡提额专用”的页面。继续填写信息后就被要求下载一个安全控件(实际上是木马程序)。

Clipboard Image.pngClipboard Image.png

当王先生一切都按照页面提示提交信息后,页面就进入了一直等待的状态。不久后,王先生就收到多笔消费短信,提示自己的信用卡被消费了7739元。

专家解读

这是一起典型的“伪基站+钓鱼网站+手机木马”的网络诈骗。骗子首先用伪基站伪装成10086,向受害者发送了带有钓鱼链接的诈骗短信,诱使受害者在钓鱼网页上输入包括身份证、信用卡等一系列个人敏感信息,最后又在钓鱼网页上以信用卡安全控件的名义,诱骗受害者在手机上下载了一个木马。检测显示,这个木马的主要作用就是劫持用户手机收到的银行发送的验证短信。骗子利用同时骗到手的信用卡账号、密码、卡背后三位(信用卡背后的三位密码,很多银行的信用卡,提供这三位信息后就可以进行消费)和手机验证码,就可以成功的利用网上银行或手机银行来盗刷受害者的信用卡。

特别值得注意的是,这个案例中,骗子所使用的钓鱼网站“web-10086.com/bank”中含有“10086”字样很具有迷惑性。

实际上,积分兑换只是伪基站短信诈骗最常见的一种形式,其它常见的形式还有银行U盾升级、银行卡积分兑换等。

防骗提示

1) 由于有伪基站技术的存在,因此,即便是自己熟悉的客服号码发来的短信,也不能轻易相信。特别是当短信中有网址链接时,一定要谨慎打开。最好是向服务商的官方客服渠道核实之后再查看。

2) 不论是银行还是电信运营商发送的活动短信,通常只会要求用户填写账号、密码,或手机号,不会要求用户填写身份证号这种非常敏感的信息,更不可能要求用户填写信用卡信息。

3) 所有类似的手机银行到期、U盾升级,银行电子密钥升级、积分兑换的短信基本上都是由伪基站发送的诈骗短信。

4) 手机收到验证码一定要仔细查看完整的短信内容,以便了解此验证码的作用,防止被诱导填写。任何验证码绝不能告诉所谓的客服等第三方人员。

5) 最后,建议在手机上安装360手机卫士安全软件,可以有效识别拦截伪基站短信。

附录伪基站短信举例

类型 短信内容
刻章办证 办理名种学历资格职称车证身份及刻章等.等,货到付款,手机(微信)15011870742,Q838887886
你好,电话,18624348528办理职称,资格,房本,牌照等各种证件,请保留,备急用!
我市长期办理毕业证·身份证、驾驶证、工程师证、房产证、发票及银行流水,如有需要请联系15576372788王薇(微信同号)
打款欺诈 你好,我是房东,现在在外地,请将这期租金交我爱人的建行帐户上:6210810730013161170户名:闫涵。办好请短信通知
还没去汇吧,我那卡不能用了,重新发个卡号给你,农行62284.81198.47749.3077李梅香
还是把款打到这个帐号吧 6217 8580 0005 0461 109 石炳全  中国银行
代开发票 你好,本公司代开正规机打发票,有国地税增值抵扣税,酒店住宿,五金电器,广告运输销售,房屋租赁费等,13333717269。
你好;打扰您了;谅解;我公司长年代开各行业正规机打发票;可验后付款;用心为您服务010-56022832
本公司代开各种正规发票;工程款,建筑材料,五金机电,机械设备,广告运输,餐饮住宿,房屋租赁,技术咨询等13203851299王丽
商业推广 品格体育聚阳正门商服;阿迪达斯耐克春季新款服装,鞋陆续上市,大众休闲服装,各种潮牌鞋穿出个性,优惠,新品八折,还有部分特价商品狂甩,欢迎新老
龙摄影春季外景开拍啦! 海景 马场外景婚纱照开拍啦  宝宝照 艺术写真 妈咪照 《全部半价》生活照一元起拍。免费接送; 5388111
叫外卖,上饿了么!叫外卖,上饿了么!0元起送,0配送费,首单一元吃饱,全城覆盖!广饶服务电话微信15865982552。饿了么,网上订餐!
赌博 澳门欢迎您!威尼斯人www.335979.com开通网上最大娱乐平台,真人百家乐,体育投注,电子游戏即时现金返水2%无上限,取款即时到帐
【澳门银河赌场】已开通网投!真人百家乐-牌九-彩票等;返水1.6,出入款火速到账,大额无忧,注册送58元,平台首先www.y013.cc
黑马国际 www.hm33.cc 真人百家乐,轮盘,时时彩,足球首充300送300,千万提款火速到账,月赚百万
房产广告 富强城最后一栋!清盘特惠,现金直减8888北新道大八方旁,45-70平紧凑一居,准现房,全落地窗,首付2万起,自住投资都超值!3713111
好消息!坐拥市中心成熟配套,沃尔玛万达,名校学区房为您的孩子保驾护航。均价6600元,置业热线:0316-5120371.
【丰泽万象】新年钜惠,零首付,一马路最佳地段,实景现房3280/平,来访抽苹果6s。咨询热线:7787777/7789999
教育培训 铁路接触网工、航空票务,就业班招生!此工种要求17-28岁,初中以上文化,岗前培训3个月。100%就业。详询7514542惠民西城博瀚教育
3D打印工程师精英班招生;全国首家由一线工程师亲自授课并真实参与项目实践。培训费由基金资助,入学就等于就业。孟老师17181089958
射箭,室内射箭俱乐部,专业教练指导,专业器材场地,休闲娱乐茶座,各式快乐体验,团队培训,学生拓展,射箭马术CS篮球等项目,咨询2111492
抵押贷款 白金信用卡办理10-20万能办4家无前期,只要有房贷,即可办理无抵押贷款3-30万,三分钟拿钱。电话 041162667480
专业办理银行有抵押无抵押贷款,利息5厘起。详询;15542195162 如有打扰敬请谅解。
中国银行携成都信贷推出无抵押无担保信用贷款,额度高,放款快,手机刷卡器实时到帐,电话:028-66294021
色情服务 北京国内外美女【学妹白领少妇,二三线明星,日韩】酒店公寓上门服务。诚信热线:17710879989【无需定金满意付款】短信不回,打扰见谅!
你好会所提供美女上门服务 清纯学生 性感少妇 高端白领 模特 日本 韩国 欧美女孩 服务热线13341690870 打扰请见谅,短信不回
店服务提供国内外美女/少妇/白领/学妹/模特/空姐/有意者电联13341190302满意付款,打扰见谅
冒充客服诈骗 尊敬的用户:您的积分已满可兑换现金礼包99_4999元请登陆 vipjfgh.com 及时兑换,逾期作费[工商银行]
【58同城】我司于58收到您的简历,本司工资当天结算欢迎您加入,详细了解工作流程请加人事部QQ:193126004 咨询
尊敬的用户,你在我行账户积分己满一万分,可兑换500元现金礼包,请登陆 wap.gsjfdf.com 查询兑换,逾期清零[工商银行]

360手机卫士拦截伪基站短信功能介绍

“伪基站”实际上是一种非法“小电台”,搭建极其简单,一台笔记本电脑,一台伪基站设备放在汽车上,就可以覆盖掉移动或电信的正常信号,违法发送广告或诈骗短信。2014年4月份,广西南宁还查获全国首例背包式伪基站。成本低廉、流动性强的伪基站诈骗无处不在。

伪基站于2012年的9月份在国内出现并大量兴起,使用伪基站最大的危害在于群发短信。群发的垃圾短信不但对运营商的利益造成影响,对手机用户也是一种伤害。此外,短信内容不受监管,很多非法信息,比如招嫖,欺诈内容都会采用伪基站批量生产。手机被伪基站吸入后,会造成手机8~12秒的脱网,而这期间大量手机频繁切换网络也会导致正常网络繁忙,影响正常通信。

2013年10月,360手机卫士结合短信内容智能识别,通信环境智能检测,以及云拦截和大数据等多种先进技术方法,在全国率先推出了伪基站短信的识别与拦截功能。截至2016年3月,360手机卫士已经累计为全国用户识别和拦截伪基站短信近60亿条。

下面两图为360手机卫士拦截伪基站短信的实例截图。

Clipboard Image.pngClipboard Image.png

为了进一步从源头上打击伪基站犯罪,2014年,360互联网安全中心依据360手机卫士海量数据,建立起了国内首套覆盖全国所有地区的伪基站实时定位追踪系统,并以该系统为基础,协助多地公安机关展开了伪基站的打击工作,并取得了卓有成效的战果。伴随着各地公安机关的严厉打击,自2014年以来,伪基站短信的数量在全国各地都已经呈现出逐年下降的明显趋势。

下面两图为360第一代伪基站实时定位追踪系统界面截图

Clipboard Image.png

Clipboard Image.png

2015年底,360手机卫士联合360天眼实验室,共同研发了新一代的360伪基站追踪系统。该系统将360手机卫士的海量实时监测数据与360天眼的大数据分析技术相结合,不仅可以对定位单个伪基站的活动位置,同时还可以根据海量历史数据自动分析伪基站的内容特征、行为特征和局部地域特征等,并且在系统中增加了大量的实用分析工具,大幅提升了伪基站追踪分析能力和分析效率,同时大幅降低了公安机关分析定位伪基站的技术难度。

凭借新一代的360伪基站追踪系统的技术优势,仅20161-3月,360互联网安全中心就已经协助北京市公安局网络安全保卫总队破获多起在京活动的重大伪基站犯罪团伙案,捕获犯罪嫌疑人160余名,缴获伪基站设备100余套。

下面几图为360新一代伪基站追踪系统对部分城市伪基站短信的分析界面截图。

Clipboard Image.png

Clipboard Image.png

* 作者:360天眼实验室(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关推荐

这些评论亮了

  • SDSADA 回复
    難道只有我看出來,360是在竊取大家短信嗎?
    )11( 亮了
  • 周鸿祎 回复
    看看我手下这帮废物多牛逼
    )11( 亮了
  • 腾讯手机管家 回复
    360可完美防御伪基站诈骗短信,保护您的安全
    )10( 亮了
  • 这报告逻辑好混乱,冗余和重复的地方太多,差评!
    )8( 亮了
  • Poti微笑 回复
    一楼说的在理
    )7( 亮了
发表评论

已有 15 条评论

取消
Loading...
奇安信威胁情报中心

中国网络安全领导厂商奇安信旗下的威胁情报社交媒体

167 文章数 4 评论数 24 关注者

特别推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php