盘点:2016 年十大电信诈骗
信息安全公益宣传,信息安全知识启蒙。
加微信群回复公众号:微信群;QQ群:16004488
2016 年,互联网安全威胁频发,以病毒木马、手机病毒、电信网络诈骗三大类为主。以下就是去年别人踩过的坑,希望今年你不会踩到,雷锋网祝你好运。
一、五大木马病毒:盗取聊天记录、敲诈勒索
1. 黑暗幽灵木马可窃取聊天记录等各种隐私信息
该木马主要因为网络不安全导致的。一台无任何系统漏洞的机器只要连接到这些网络后,在一段时间后会感染木马,经分析发现木马主要通过在网络上劫持替换大量软件的自动更新程序进而感染电脑。当安装在电脑上的软件进行自动更新时,更新包被替换成木马,导致电脑被入侵。
黑暗幽灵木马的主要特点:
①收集情报。木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控 Gmail、截取屏幕、监控麦克风和摄像头等。
②对抗安全软件。木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。
③中毒用户无感知。木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。
防范方法:
用户下载更新程序尽量使用 https 等安全加密的通讯协议,对下载回来的文件在加载运行前一定要做签名校验。尽量不要使用安全性未知的网络上网,如公共 WIFI、酒店网络等。此外安装安全软件可在一定程度上防御此类攻击,目前电脑管家已率先查杀该木马及其变种。
2. 苏克拉木马通过 Ghost 盗版系统传播
刚重装的系统就中毒了,这是很多网友常常遇到的事,这很可能是你安装的系统自带了木马。一个名为 " 苏拉克 " 的木马通过 ghost 系统镜像下载植入到大量用户计算机中,一旦用户使用相关镜像进行重装系统,系统安装完毕,木马就开始运行。
苏克拉木马的主要特点:
①通过 ghost 系统传播。腾讯安全反病毒实验室通过对网民常用的 ghost 系统下载网站进行大面积地下载安装并进行分析,发现大量 ghost 系统已被 " 苏拉克 " 木马污染。木马在此类网站投入了大量推广费,普通用户通过搜索引擎找到的前 10 个系统下载站几乎全是带木马的,其中涵盖了 " 雨林木风 "、" 深度技术 "、" 电脑公司 "、" 萝卜家园 "、" 番茄花园 " 等主流 ghost 系统。
②限制安全软件功能。由于 " 苏拉克 " 木马早在用户安装安全软件之前就已经进入系统,先入为主,对随后安装的安全软件做了大量的功能限制,如安全防护无法开启、信任列表被恶意操作等,使其难以检测和清除木马。
③锁定浏览器主页,自动下载其他木马。" 苏拉克 " 木马不仅可以锁定浏览器主页获利,还会实时连接云端下载其它木马,就像是率先打入安全城堡的内应,不但控制了护院的安全软件,还从里面为病毒群敞开大门,其危害性可想而知。此外,该木马还会破坏 Windows 系统自身的安全机制,大大降低系统的安全性。
腾讯安全反病毒实验室对通过国内各大搜索引擎找 "ghost"、"ghost xp"、"ghost win7" 等关键词排名前 10 的 ghost 镜像全部进行下载安装分析,发现 90% 以上的 ghost 镜像都是带有木马的。安全专家建议用户选择正规渠道购买、安装正版操作系统,通过下载 ghost 镜像安装系统虽然快速省事,但其安全性,确实很令人担忧。
3. 暗云Ⅱ Bootkit 木马让电脑瞬间变 " 肉鸡 "
" 暗云 " 木马在 2016 年上半年大规模爆发,全国数十万用户电脑被感染。新发现的 " 暗云 " 木马在模块分工、技术对抗等方面与老暗云相比有着明显的晋级特征,在强化原本的隐蔽性、兼容性和云控外,木马运行更趋稳定,并且难以清除。因此本次爆发的木马被命名为 " 暗云Ⅱ "。
" 暗云Ⅱ " 的主要特点:
①代码放云端实时更新。" 暗云Ⅱ " 将主要代码存储在云端,可实时动态更新。
②锁定浏览器主页。该木马目前主要有下载推广恶意木马、锁定浏览器主页、篡改推广导航页 id 等恶意行为。
③让电脑变 " 肉鸡 "。腾讯安全反病毒实验室检测到 " 暗云Ⅱ " 正着力扩散某木马,以进行网络攻击。一旦中招,用户电脑便会沦为 " 肉鸡 ",无条件接受黑客的指令,攻击指定网站服务器等。目前通过监控发现,被攻击的服务器类型主要是网游私服。
目前腾讯电脑管家可查杀 " 暗云Ⅱ " 木马。普通用户也可通过以下办法来检测自己电脑是否感染 " 暗云 " 系列木马:
一是发现安全软件报毒,清除文件后重启,电脑再次报毒;
二是打开导航、购物等网站,网址被强加推广 id;
三是发现电脑出现父进程非 serviCES.exe 的 svchost.exe 进程。
上述任意一种情形,都是 " 暗云 " 系列木马的中毒表现,建议用户立即使用电脑管家专杀版进行体检杀毒。
4. Peyta 敲诈木马加密文件索要金钱
有企业 HR 反映,在收到求职邮件并打开其中附件后,电脑被迫重启,重启后发现文件被加密。若想电脑恢复正常,就要交付 " 电脑赎金 "。H R 收到的求职简历中,实际携带了一种新型敲诈类木马 "Petya"。
Peyta 敲诈木马的主要特点:
①通过 HR 部门邮件传播。 该木马定向企业 HR 部门邮箱,伪装成求职者简历文件,诱使 HR 打开文件后,给文件加密,达到敲诈获利的目的。
②诱骗用户重启电脑。受害用户打开携带病毒的邮件附件,木马即开始运行,首先修改磁盘引导扇区,接管电脑启动流程。然后,木马强制重启电脑并显示一个虚假提示,让受害者以为系统正在进行磁盘扫描修复,实际上该过程正是木马对磁盘文件进行加密。
③加密电脑索要赎金。加密完成后,用户无法进入系统,无法打开文件。这时候木马会显示敲诈信息,要求受害者根据指示支付赎金,以换取密码解密磁盘。
建议企业 HR 部门工作人员谨慎打开不明求职简历邮件,不要从邮件中下载科执行文件。目前,腾讯电脑管家和哈勃分析系统已经可以对该木马进行检测和查杀。
5." 萝莉 " 蠕虫主要感染《魔兽》
腾讯电脑管家发现一个可疑脚本被创建为启动项,通过分析和搜索相关信息,发现大量《魔兽》玩家也反馈,从网上下载了魔兽地图后,在玩游戏的时候不知不觉电脑就被装了其他应用,还会在玩游戏时跳出广告。其实,这是被萝莉 " 蠕虫病毒感染了。
" 萝莉 " 蠕虫的主要特点:
①通过魔兽地图传播。蠕虫作者上传带蠕虫的魔兽地图,并以该地图创建房间吸引其他玩家进入房间游戏;玩家进入房间后,就会自动下载该地图,并进行游戏后,触发魔兽地图里恶意脚本。
②感染魔兽目录下的所有正常地图。当玩家重启电脑后,Loil.bat 获得执行,通过脚本下载 loli.exe 执行;Loli.exe 把玩家魔兽目录下的正常地图文件全部感染植入蠕虫。玩家在不知情的情况下,会使用这些被感染的地图创建游戏,感染更多玩家;
③在魔兽游戏中乱弹广告。感染了魔兽地图后,会在玩家玩游戏的时候,弹出广告推广软件牟利,很可能导致电脑安装其他木马病毒。
建议不要从非官方下载魔兽地图。腾讯电脑管家已经首发了专杀工具,如果发现被感染,可以下载专杀工具查杀。
这五大 PC 木马通过不安全网络、热门游戏、盗版操作系统等方式进行传播,所以提醒广大网民一定要选择安全网络,不要在论坛、网站上随意下载应用,尽可能不要使用盗版操作系统。
二、五大手机病毒:窃取短信、锁死手机
1." 粗口木马 " —— 偷走你的短信
" 粗口木马 " 是上半年变种最多、流传最广、影响最恶劣的木马病毒之一。
" 粗口木马 " 主要特点:
① " 粗口木马 " 是一种支付类手机病毒,依附于某应用程序中。
②通过伪基站 钓鱼网址传播。犯罪分子往往通过伪基站,伪装为运营商或银行等客服号码,向用户发送带有钓鱼网址的短信,如:" 我是 XX,市里刚下的紧急文件速看,m.ccbj**.com"。一旦用户点开链接下载程序,就会立即激活 " 粗口木马 "。
③窃取所有短信。该木马可以在用户无感知的情况下截获包括验证码在内的所有短信,并将读取的短信内容发送到指定邮箱,例如:we**p@21cn.com,便于诈骗团伙实施用户隐私盗取和银行卡盗刷等犯罪行为。
不要在非安全电子市场下载应用,不要随意打开短信中的网址链接。安装腾讯手机管家可以拦截伪基站发来的恶意短信和钓鱼网址链接,并可查杀该木马。
2. Android 锁屏勒索类病毒 —— 不给钱?别解锁!
手机屏幕即被锁定,用户无法正常使用手机, 中毒以后病毒还会向用户勒索钱财,有些用户因为无法联系上作者而选择刷机,导致用户数据丢失。其实手机感染了锁屏勒索类病毒。
锁屏勒索型病毒主要特点:
①通过伪装游戏外挂等应用传播。锁机勒索型病毒主要通过伪装成游戏外挂,刷钻等人气应用,通过 QQ 群进行传播,也会利用百度贴吧等渠道进行传播。
②锁屏后敲诈勒索。一旦中毒了,手机屏幕即被锁定,用户无法正常使用手机, 中毒以后病毒还会向用户勒索钱财,有些用户因为无法联系上作者而选择刷机,导致用户数据丢失 .。
③日感染用户 8 万。进入 2016 年以后,日感染用户数在 8 万人左右,该灰色产业的日规模可能超百万元。
不要在 QQ 群、百度贴吧等处下载外挂、破解,刷钻等应用。安装腾讯手机管家可防范此类病毒。
3. 开学通知书 —— 骗子给你上上课
刚一开学,家长就收到一个 " 学校 " 发来的开学通知书,并附带网址,点开后银行资金便被盗刷。这就是知名的开学通知书病毒。
开学通知书病毒主要特点:
①诈骗短信 钓鱼网址传播。开学通知书病毒通过冒充 " 学校 " 发送的含钓鱼链接的 " 开学通知书和课程 " 诈骗短信,攻击家长用户的手机。
②窃取短信中的隐私信息。" 开学通知书 " 短信中的链接实际上是木马病毒,该病毒启动后将拦截用户短信,并将短信转发给指定号码,泄漏短信中的账户或密码,比如,用于支付的短信验证码。
这类专门为学生家长 " 量身定制 " 的诈骗手段还有 " 学生成绩单 "、" 体检报告 "、" 检查寒假作业 "、" 返还学杂费 "、" 帮班主任投票 " 等含有链接的短信,家长不要点击任何带有网址链接的不明短信。同时,安装腾讯电脑管家可以拦截伪基站发来的恶意短信和钓鱼网址链接,并可查杀该木马。
4. 手机实名认证 —— 去登记?小心病毒!
手机收到一个手机实名认证的短信,点开里面的网址后,手机就中毒了,这就是手机实名认证病毒。
病毒主要特点:
①通过伪基站模仿运营商官方号码。病毒短信通过伪基站模仿运营商官方号码,在短信正文中告知用户 " 您好 ! 根据国家实名制规定,你尾号 261 的号码需要更新实名登记,未登记将暂停主叫。点击 t.cn/Rc***kV 完成补登记,退订回 T"。诱骗用户点击链接安装手机支付病毒。
②拦截并转发短信,盗刷资金。该病毒启动后可拦截用户短信,并将短信转发给指定号码,泄漏用户短信中的账户或密码,给手机安全造成威胁。
防范办法:
除了手机号码的实名登记,诈骗分子还会依托银行机构或支付平台,向用户发送含有病毒链接的实名认证类短信,用户一旦点击便可能泄露个人信息,甚至遭受经济损失。
用户不要点击任何带有网址链接的不明短信。同时,安装腾讯手机管家可以拦截伪基站发来的恶意短信和钓鱼网址链接,并可查杀各类手机支付病毒。
5. 刷单助手?——刷的不是单,是卡!
网店的日单数通常是店铺升级的重要标准。刷单助手可以让卖家根据需要设置宝贝搜索,如关键字、浏览器、掌柜 ID 等,以及浏览时间、货比三家等。实际上,该软件 " 强大 " 功能背后,包含 "a.gray.plugingame.f" 病毒,属于外挂类软件。
①借助双 11 等热点传播。双 11 网购节,很多店家都想刷单提高店铺销量、评价和信誉,这也让犯罪分子看到了商机。
②不断弹窗影响手机使用。病毒启动后会申请手机 root 权限,不断弹出影响手机使用,还可能窃取隐私。
不要被 " 刷单 "" 超优惠 "" 一折够 " 等字眼迷惑,不要下载此类软件。这五大手机病毒基本都是通过伪基站发送短信,在短信中植入恶意网址,通过恶意网址下载病毒的方式感染手机。所以广大手机用户千万不要轻易点开手机短信中的网址链接,最好安装腾讯手机管家进行拦截和查杀。
三、十大电信诈骗:最高骗走 1760 万
1. 假冒银行发送手机银行更新短信,女子被骗 20 万
2016 年 2 月,戴小姐收到一条 "95588" 发来的短信,提醒她进行手机银行更新。戴小姐点击短信内链接,跳转的页面也和真的工商银行网银页面十分相似。戴小姐随即按照要求输入卡号、密码还有验证码,最终卡内近 20 万余额被分三次转走。
安全解读:钓鱼网站是骗子最常用的诈骗手段之一,诈骗分子通常通过在短信内嵌入钓鱼链接的形式,诱导用户进行点击。这类网站一般会仿冒银行网站、通信网站等,其外观与正版网站极为相似,迷惑性极高,因此率也极高。
2. 女子回复 " 退订 " 短信,所有财产全被骗走
2016 年 4 月,一女子收到一条 1065800 发来的短信杂志,女子在回复退订短信后,损失了全部财产。
安全解读:在此案例中,受害者的个人信息事先通过各种渠道被泄漏,掌握信息的骗子通过登录机主的网上营业厅提交订阅申请,之后利用机主着急退订的心理,紧接着发来钓鱼短信,诱使机主回复 " 取消 验证码 ",套取了系统下发给用户的真实的验证码。之后又申请了换卡,进而确认验证码换卡,而后再发生更为严重的网银资产的盗取。
3. 黄晓明遭遇短信诈骗,机智回应制服骗子
2016 年 5 月 18 日晚,演员黄晓明在微博晒图,自曝收到诈骗短信。" 黄晓明家长,您小孩参加联盟运动会比赛中精彩的照片,附链接校通讯(实为恶意 apk)",引起广泛讨论。
安全解读:这类诈骗案例中,骗子通过冒充学校或学生的名义给家长发送短信 , 利用家长对孩子的关心诱导安装恶意 apk。部分恶意 apk 在手机安装后,自动拦截短信窃取手机验证码,进而通过验证码窃取用户资金,隐蔽性极强,因此率也极高。此类诈骗通常针对的目标比较明确,极有可能是校讯通之类的家长用 APP 泄露了信息给黑产团伙。
4. 山东临沂女孩徐玉玉被骗光学费 郁结于心离世
2016 年 8 月份,一则令人心痛的消息传来,山东临沂女学生徐玉玉因学费被骗心情郁结,导致心脏骤停去世。
安全解读:开学期已逐渐形成一个周期性的诈骗高峰期,诈骗分子通过假扮成教育部门工作人员给被害者打电话,并告知有助学金、奖学金发放,要求被害者到 ATM 进行相关操作取钱,在 ATM 操作过程中,诈骗分子通过下达一系列复杂指示,让受害者误操作并向诈骗分子银行账户汇钱,最终导致财产损失。
5. 襄阳女子连接公共 WiFi,被骗 23.5 万
襄阳一女子因随手登录了手机搜索到的一个公共 WIFI,并用第三方快捷支付平台购买了一张彩票而损失近 23.5 万元。
安全解读:风险 WiFi 主要存在于人流密集的公共场所,黑客通过无线路由、网卡设置发射 WiFi 热点,设置共享网络,用户在连接 WiFi 后,黑客通过诱导用户访问钓鱼网站、窃取用户网络等方式获得用户的个人隐私信息(包括身份信息、网银账号密码等),最终造成损失。
6. 深圳 78 岁独居老人 " 涉嫌走私 ",被骗 1156 万
今年 8 月,深圳一位 78 岁独居老人接到电话得知其 " 名下有一个包裹涉嫌走私 ",随即另一个诈骗电话自称 " 上海市公安局 " 与受害人取得联系,通知受害人立即将其名下的银行卡开通网银转账,接受安全检查,老人随后在诈骗分子的 " 帮助 " 下被骗 1156 万元。
安全解读:独居老人是诈骗分子重点侵害对象,诈骗分子通常利用其对外信息不通畅和 " 不安、恐惧 " 的心理实施诈骗。受害者出于恐慌不安的心理,以及缺乏对信息真实性的判断力而极易被骗。
7. 清华大学老师遭 " 公检法 " 诈骗 1760 万
2016 年 8 月 29 日,中关村派出所 110 接报,海淀区蓝旗营小区清华大学一老师,被冒充公检法人员电信诈骗人民币 1760 万元。
安全解读:假冒公检法是诈骗分子常用的手段之一,通过冒充公安机关、检察机关等单位工作人员,告知其涉嫌走私、洗钱、贩毒等犯罪为由,要求受害人将个人银行账户中的现金转至其他银行账户接受检查,并以此获利。清华大学老师被骗一案中,骗子假冒警察,称他漏缴各种税款等等,各种恐吓威逼,并最终顺利得逞。
8. 女孩网购遇退货骗局,一小时损失 16.5 万
2016 年 11 月,女孩小林在亚马逊官网购买了一根数据线。但随后一个自称亚马逊客服的电话却说她的订单被退货了,加上之前接到快递的电话,说有快递没有送达,因此相信了客服,并最终被骗 16.5 万。
安全解读:在网购迅速发展趋势下,骗子也紧跟热点,利用网购退款、网购系统升级和降价低价甩卖等说辞进行诈骗,通过发送含有钓鱼网站链接的短信诱使受害者点击钓鱼链接,又或者通过打电话诱导受害者到 ATM 进行转账,进而造成受害者的财产损失。
9. ETC 卡隔空被盗刷,交通部要求停发此类联名卡
今年 12 月,一男子用便携式 POS 机在一辆装有 ETC 的车前盗刷付款。男子首先在一辆装有 ETC 的车前挡风玻璃处一贴——付款 100 元,然后在装有 ETC 装置的汽车挡风玻璃前面轻轻一刷,点击确认,随即付款,不需要支付密码和本人签名。
安全解读: ETC 卡是市场上流通的 ETC 卡中的一种,为交通行业与银行联合发行二合一的卡片,如有 " 闪付 " 功能且开通了 " 小额免密免签 " 功能,联名卡的银行账户则极有可能存在此风险。为解决这一安全隐患,包括交通运输部已着手对今后 ETC 卡发行和存量联名卡做出安排。通知要求在与银行合作发行 ETC 卡的工作中,要推进使用与银行卡账户关联却分离的联名卡,暂停或取消发行 " 二合一 " 的 ETC 联名卡。经认真研究确有必要发行的,应要求合作银行默认关闭 " 闪付 " 功能和 " 小额免密面签 " 服务。
10. 男子冒充领导,骗取 7 万元
日前,厦门一男子就通过冒充领导发送短信,谎称自己手机换号,取得受害者信任后,随即编造理由诈骗了 7 万元。
安全解读:" 换号诈骗 " 作为一种新型电信诈骗手段呈现迅速蔓延趋势,这类诈骗电信通过冒充熟人手机换号进行诈骗。骗子利用这种形式,冒充用户亲朋好友,并以换号的名义发送短信,同时也会利用呼叫转移等方式骗取用户信任并进行诈骗。在取得信任后,骗子会进一步编造谎言如遇到困难需要周转资金等让用户进行汇款,进而造成财产损失。
从这十大电信诈骗案件来看,诈骗分子充分结合当前时事热点设计诈骗骗术,让受害人更轻易的上套。同时,社会工程学原理的熟练运用也让受害人难以辨别真伪。而在这些案件的源头都存在用户信息泄露,导致了精准诈骗的发生。
因此,大家电信诈骗需要警方、银行、用户、安全企业全方位的协作配合。腾讯推出的伪基站地图、鹰眼盒子都可以帮助警方通过技术手段锁定伪基站位置,发现和拦截诈骗电话,提高破案效率,防范于未然。
▼ 点击阅读原文,查看更多精彩文章。