freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一大波含“税”APP来袭,就等你上钩
2019-01-14 08:00:18

2018年,有一件关乎我们切身利益的大事!税改!

个税起征提高到5000!

按月征收改为按年征收!

实施六大专项扣除!

这意味着,进入我们荷包的钱要变多啦,不过掐指一算,还真是有点复杂!让数学是体育老师教的我可咋整。

于是相关部门贴心的为我们推出了个税APP,帮助大家计算个税。

氮素,从1号正式实施税改以来,个税APP却因为各种问题频上热搜。

个税APP的热搜

隐私泄露、木马病毒、“被就业”......看来在热点下,黑产也在伺机而动,有流量的地方就有利益。而这也不例外,那么黑产们制造如此多的山寨APP,看中的或许远不只有隐私......

下了个假的个税APP

于是我打开了应用商店,一搜就有7、80个相关产品,陷入了迷茫......

个人所得税计算器

全国个税计算器

全国个税查询

个人所得税

个税小帮手

个税助手

个税在线

个税管家

......

一时间,眼花缭乱。难怪上面出现这么多新闻,或许只是因为下了个假软件!

李鬼APP的事情之前我们也有略微聊过(之前李鬼微信链接),最核心的套路就是“模仿伪装”,以达到混淆视听的目的。

傻傻分不清楚

第一步伪装,假冒APP从名称、简介、logo等“看起来”就像官方出品,并且在整个APP store 排名有时比官方APP还要靠前。

排名

我们以关键词“个税”进行搜索时,出来的第一个并非国家税务局官方出品的APP。

而只有准确搜索“个人所得税-国家税务总局”时,出来第一个才是国家税务总局发布的官方APP。

再从开发者信息来对比,国家税务局的开发APP目前只有“个人所得税”一款,但是其他不知名企业的开发信息中除了个税类还有记账、财务咨询类等产品。

更有甚者,还存在不少贷款类产品,这不禁让人担心是不是想做“产业一条龙”......

引导下载

在成功的混淆视听,让用户分不清该下载哪一个之后。这些李鬼APP不仅在应用商店的排名上下功夫,还加上了一些引导手段,使用户更加容易掉入陷阱。

元旦放假在家的小赵收到了一条自称是公司财务的短信,要求他下载一个个税APP,并且登记个信息为后面的申报和享受新个税优惠政策做好准备工作。因为处于放假期间,小赵就没有找财务人员进行确认,准备点击链接自己下载先看看。结果在下载注册之后就感觉不太对劲了,重新去应用商店搜索之后,就发现这并不是国家税务总局开发的官方APP。之后找财务同事确认之后,就明白这只是钓鱼链接。

像小赵这样受害的不在少数,黑产们借用社会工程学手段进行软件的市场推广,诱导用户下载,和之前的“钓鱼网站”类似,他们和官方网站内容、结构相似,但后台接入口却是个人,不法个人便利用属于自己的后台接入口,以“山寨”APP或病毒等方式,让使用者下载注册,引发一系列信息泄露、木马病毒等危险。

带“税”APP图个啥

隐私泄露

首当其冲的是隐私泄露。这次税改之后,很多的申报环节涉及到住房、养老等信息,所以申报时填写的信息从身份证号码、学历、住址到工作信息、房贷、医疗等等都需要被记录。有人对于官方APP的风控能力有所担忧,但是可以确定的是在假冒APP上这些信息天上必定存在非常大的信息泄露风险。

就比如上面提到的有些类似的公司前脚开发个税APP,后脚就带上网贷产品,如果信息直接互通,泄露风险非常之大。还有一些不知名公司开发的产品,获取信息之后直接转卖各种营销公司、社工库渠道。

木马病毒

在这些APP上,带有很多来路不明的木马病毒,有些高危病毒一旦沾染会引发严重后果。硬件损伤、软件损坏、还可能感染其他软件程序。如果通过网络、存储媒介传播,也会导致更大范围的危害。

蹭热点放广告

还有部分软件下载阶段可能并没有携带病毒,但蹭一时热点开发相关产品,也是为了后期引入广告收入,监管少广告链接的安全性也难以保障。

乱吸流量乱扣费

根据《2017年我国互联网网络安全态势综述》报告来看,近年来移动互联网恶意程序中恶意扣费占比高达34.3%,这些假冒APP通过虚假链接等方式进行恶意扣费、吸取流量等方式牟取大量利益,给用户带来大量损失。

请认准官方出品

回过头看,其实假冒APP并非首次出现,从银行假冒APP到警察官方举报APP遭仿冒,黑产在“李鬼”这件事情上从来没停步过。基本上哪里有热度就跑去哪里,所以总体来说还是伪造+诱导这样的模式。

作为APP Store 需要对软件审核更加严格,对官方出品的APP加以“官方”等标识,尽可能的为用户带去方便与安全,还需要建立完备的举报惩戒机制,对于仿冒APP给予严厉打击;

而平台方对于仿冒APP也需要加强监测和举报,保障自身和用户的利益;

最后作为用户的我们,能做的就是多加甄别,不要下载来路不明的软件,相信官方渠道给出的链接,下载时查看开发者信息,以免错入黑产圈套。

参考来源:

《2017 年我国互联网网络安全态势综述》——网信办

《假个税APP蹭热点窃信息 税务总局提醒下载正版》——北京青年报

*本文作者:GEETEST极验,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 木马病毒 # 个税APP
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦