安天移动安全2017年Q1移动终端钓鱼网站分析报告

前言

随着移动互联网的快速发展，智能手机、平板电脑等移动终端用户数量呈爆发式增长，移动智能终端安全问题愈发凸显。大量手机病毒、伪基站横行，不法分子利用钓鱼短信、虚假网站进行电信欺诈的恶意活动也愈演愈烈，严重影响了广大用户的日常生活。

本报告数据来源于安天移动安全旗下的URL安全检测系统，该系统通过识别钓鱼、色情、博彩以及恶意应用下载等恶意网址，为用户提供URL安全防护功能和服务。本报告重点分析了2017年第一季度（Q1）移动终端钓鱼网站整体情况，帮助用户全面了解移动钓鱼网站特性，提高用户安全防范意识，进一步保障用户隐私、资金安全。

1、2017年Q1移动终端恶意URL整体分布

据安天URL安全检测系统检测数据显示，2017年Q1移动终端传播的恶意URL中，色情博彩等不良信息类URL由于其能够快速获利并抓住了人们的好奇心理等特点，成为主要恶意URL威胁，占比高达62.80%；其次是钓鱼类URL和恶意下载类URL，分别占比35.26%和1.94%。

图1 2017年Q1恶意URL类型分布

各类恶意URL释义：

 

 

 

 

在以上三类恶意URL中，尽管钓鱼类URL在整体恶意URL中的占比居于第二位，但其恶意性最强，往往伪装成知名网站，对用户的重要个人信息进行窃取，以达到进一步的攻击目的，用户一旦受骗，将有可能遭受较大的资金损失。

本报告将重点分析2017年Q1钓鱼类URL（钓鱼网站）在移动终端上的情况，帮助用户更好抵御此类攻击，保障数据和资金安全。

2、2017年Q1移动终端钓鱼网站分析

2.1 钓鱼网站占比分析

2017年Q1， 安天URL安全检测系统检测到移动终端钓鱼网站攻击事件数占所有恶意URL事件数的3.27%。其中每月的钓鱼网站占比变化情况如下图所示：

 

 

 

 

 

 

 

 

 

 

图2 2017年Q1钓鱼网站攻击事件数占比变化趋势

从上图可以看出，2月份的钓鱼网站攻击事件数占比相比1月份有一定跌幅；但在3月份有了较大的反弹，钓鱼网站占比猛增至7.14%，是Q1整体占比的2倍多。可见春节期间，钓鱼网站活跃度有所下降，但在年后又进入了活跃期。

2.2 钓鱼网站仿冒对象分析

钓鱼网站主要通过仿冒各类知名网站以骗取用户信任，继而实施界面钓鱼、账号欺诈等恶意行为以达到窃取隐私、骗取钱财等目的。

2017年Q1钓鱼网站仿冒对象中，涉及用户重要财产账户信息的银行业务网站成为最常见的钓鱼仿冒对象，其占比高达73.54%。其次是仿冒运营商的欺诈网站，占比10.48%；账号类、电商类、获奖类等类型的仿冒分居第3、4、5位，具体情况见下图：

 

 

 

 

 

 

 

 

 

 

图3 2017年Q1钓鱼网站仿冒对象类型分布

2.3 钓鱼网站攻击地域分析

2017年Q1钓鱼网站攻击的地区中，广东省出现的攻击事件数占比达14.29%，超过第二位的河北省（7.62%）接近一倍，为第一季度国内钓鱼网站攻击情况最严重的省份。四川、陕西、山东分列第3~5位，具体分布见下图：

 

 

 

 

 

 

 

 

 

 

 

图4 2017年Q1钓鱼网站攻击地域Top10

2.4 钓鱼网站攻击时段分析

通过统计钓鱼网站攻击时段我们发现，恶意攻击从早8点开始活跃，持续到下午5点。8：00~17：00这个时间段是钓鱼网站攻击的“黄金时间”，后续活跃度逐渐下降。可见钓鱼网站的活跃时间基本与正常人的工作、学习时间保持一致，十分规律，初步推测这是为了尽可能提高其恶意攻击的成功率，需要用户提高警惕、注意防范。

 

 

 

 

 

 

 

 

 

 

图5 2017年Q1钓鱼网站攻击活动时间分布

3、2017年Q1钓鱼网站顶级域名分析

2017年Q1移动终端钓鱼网站域名中涉及的顶级域名共48个，其中顶级域名为.cc的占比48.22%，其次是.com占比36.97%，该两类域名是钓鱼网站中出现频度最高的两类域名。

相对于.com等顶级域名，.cc类顶级域名注册成本较低，同时.cc域名与.com域名视觉上相似度较高，例如：www.icbc.com/wap和www.icbc.cc/wap，较易引起混淆，是黑产较偏爱的域名。同时统计.cc类域名下的钓鱼网站属性我们发现，94.8%的.cc类钓鱼网站都仿冒成了银行类网站。

.cn类顶级域名由于域名实名制工作的严格执行和不断完善，其数量保持在相对较低的比例。

.top、.win、.xyz等非大众化域名下的钓鱼网站数量占比同样较小，推测是由于该类域名较为少见，易引起用户警惕。具体分布情况见下图：

 

 

 

 

 

 

 

 

 

 

图6 2017年Q1钓鱼网站顶级域名分布

 

4、2017年Q1移动终端热门钓鱼网站分析

2017年Q1安天URL安全检测系统检测到的钓鱼网站Top10如下所示：

 

 

 

 

 

 

 

从上表可以看出，钓鱼网站Top10中较多仿冒成了电子商务类的钓鱼网站，同时还有仿冒成运营商类和银行类的钓鱼网站。除了这三种类别之外，2017年Q1安天移动安全还捕获了其他典型的钓鱼网站，现将这些钓鱼网站的相关截图和典型欺诈形式展示出来，希望增强移动终端用户对钓鱼网站的识别能力。

4.1 仿冒电商类钓鱼网站

该类钓鱼网站主要通过仿冒知名品牌商品抢购活动， 以极低的价格吸引用户购买，而当用户输入姓名、电话号码、家庭住址等个人信息，通过在线支付或货到付款的方式完成交易后，最后收到的却是仿冒商品或更为廉价的商品模型，该类钓鱼网站访问界面示例如下：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4.2 仿冒银行类钓鱼网站

该类钓鱼网站通过伪基站发送欺诈短信，假托积分兑换、身份核实、手机网银失效等理由，诱导用户进入钓鱼网站并在其页面中输入银行卡号、密码、电话号码、身份证号等隐私信息；接着，黑产则通过社工手段进行欺诈或植入短信拦截木马以进一步获取短信验证码等信息，从而实现盗取用户资金的目的。该类钓鱼网站访问界面示例如下：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4.3 仿冒iCloud账号钓鱼网站

用户接收到仿冒“苹果官方”的邮件或短信，被引诱进入模仿iCloud账号登录的钓鱼网站界面，并输入iCloud账号及密码。当用户的账号被盗取后，若其被盗取账户密码与邮箱密码一致，黑产便能很轻易将受害者的设备锁上，被锁后通常需联系苹果客服出示购买证明才可能将设备解锁还原，否则就只能向黑产缴纳赎金，换取设备的解锁口令。该类钓鱼网站访问界面示例如下：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4.4 仿冒节目类钓鱼网站

该类钓鱼网站通过仿冒知名卫视热门节目的抽奖活动，以丰厚的奖金、奖品诱惑用户填写姓名、电话、住址、银行账号等个人信息，随后诈骗分子通过电话向用户索要“领奖保证金”；如被怀疑或拒绝，诈骗分子则会以 “你已签署协议，放弃领奖将被起诉”为由恐吓、敲诈用户。该类钓鱼网站具体界面示例如下：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5、防范建议

针对移动终端传播的钓鱼网站，安天移动安全合作方产品已经实现全面查杀。安天移动安全团队提醒您：

• 钓鱼网站和真实网站有极大的相似处，易导致视觉混淆，例如钓鱼网站通常将英文字母“I”替换为数字“1”，将顶级域名“.com”变为“.cc”，因此建议不要点击可疑短信中附带的网址链接。
• 增强主动防范意识，不要轻信“积分兑换、领取高额奖品、商品限时抢购、网银信息核实或修改”等信息，如需查证，请尽量采用多种渠道进行确认，比如使用手机拨打官方电话进行确认。
• 请使用手机系统管家（安全中心）或第三方安全软件的相关安全功能，防范钓鱼网站、手机病毒等恶意攻击，全面保障资金和隐私安全。

本文作者：安天移动安全

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/58400.html