如何快速发现诈骗类钓鱼网站

匿名者  509天前

作者:Any0ne@白帽汇安全研究院

一、概述

近年来,电信诈骗类钓鱼网站逐渐演变出隐匿性高、存活周期短、成批量,团伙化发展的特点。因此,如何在钓鱼行骗前的第一时间内找出和打击这些钓鱼网站成为当下打击诈骗犯罪行为迫切需要解决的问题。

本文以白帽汇安全研究院长期配合监管单位进行钓鱼网站识别工作中积累的相关经验,对当下电信诈骗类钓鱼网站源码样本的分析,总结了近年来诈骗类钓鱼网站的演变趋势、规避检测手段和我们快速发现诈骗钓鱼网站的方法,同时欢迎各位与白帽汇安全研究院交流合作,共同为国内的反网络诈骗事业做出贡献。

注:本文中的钓鱼网站是指面向国内的包括但不限于钓鱼、欺诈、仿冒等以获取用户信息、骗取用户钱财为目的的电信诈骗网站。

二、钓鱼网站演变趋势及主流的诈骗手段

1.钓鱼网站的演变趋势

(1)钓鱼网站数量增长趋势快

根据近十年来CNCERT/CC发布的《中国互联网网络安全报告》中的数据来看,2020年共监测到220648个钓鱼网站,相较于2012年监测到的22308个钓鱼网站,在8年期间仿冒我国境内的钓鱼网站的数量增长了9.89倍。

(2)钓鱼顶级域名变的越加小众

在2012年前,钓鱼网站主要以.cn和.com做为域名使用,在2012年之后,钓鱼网站逐渐开始以.xyz、.top、.bond、.buzz、.icu等次主流和小众域名为主。

(3)仿冒目标逐渐以可信度较高的网站为主

在2016年以前,钓鱼网站主要是以银行官方,互联网支付和电视节目类的诈骗页面。在2016年之后,钓鱼网站逐渐以政府、组织、金融信贷等民众可信度较高的诈骗页面为主。

2. 钓鱼网站过去的诈骗手段

在过去的诈骗行为中,电信诈骗类钓鱼网站主要以虚假中奖、模仿支付网站和积分兑换现金三种诈骗手段骗取用户信息和财产。

(1)虚假中奖类

诈骗分子会搭建假冒电视节目组委会、体彩等知名单位的抽奖网站,发布虚假中奖或免费赠品信息骗取网民钱财,此类网络诈骗的主要特征是以短信、邮箱通知中奖为诱饵,欺骗网民登录钓鱼网站填写身份信息、银行账户等。

image.png

图2-2-1-1

(2)模仿支付网站类

诈骗分子一般会模仿淘宝、银行等在线支付网页,网民进行在线支付时转向假冒的银行或支付宝页面,诱导用户提供敏感信息,如银行卡号,密码,身份证号码等。

image.png

图2-2-2-1

(3)积分现金兑换类

诈骗分子会模仿银行、通信运营商的官方网站,诱导受害者打开钓鱼网站,输入手机号码查询是否可以领取积分兑换现金。当受害者输入自己的信息后就会将数据提交到网站的后台,受害者的信息就会被盗取。受害者输入完信息后,一般还会提示受害者,下载客户端才能激活领取现金,客户端就是用来拦截受害者的交易验证短信的病毒软件。

image.png

图2-2-3-1

image.png

图2-2-3-2

3.钓鱼网站目前的诈骗手段

根据白帽汇安全研究院和FO-OCTRA(明索)平台已掌握的电信诈骗类钓鱼网站特征以及对比FOFA(网络空间测绘引擎)上的991万条存活的涉案数据来看,电信诈骗类钓鱼网站主要以用户认证、APP下载、客服对话、投资理财、电商钓鱼这五类手法为主。其中用户认证类型的钓鱼网站占比为27.74%,APP下载类型的钓鱼网站占比为22.8%,客服对话类型的钓鱼网站占比为29.37%,投资理财类型的钓鱼网站占比为8.75%,电商钓鱼类型的钓鱼网站占比为8.02%,其他类型的钓鱼网站占比为3.32%。

image.png

图2-3-0-1

image.png

图2-3-0-2

(1)账户认证类型

诈骗分子会搭建一个与官方平台极为相似的钓鱼网站,将带有钓鱼网站链接的短信发功给受害者,由于钓鱼网站页面与官方网站的相似性,受害者往往会放松警惕,按照操作指引依次填写身份证号、银行卡号、验证码等个人隐私信息。诈骗分子会在后台同步获取信息,一旦受害者输入手机验证码,个人的财产信息就会全部泄漏,随后卡内的钱就会被转账汇款。

image.png

图2-3-1-1

image.png

图2-3-1-2

(2)下载APP类型

虚假网贷诈骗中,犯罪嫌疑人一般通过网络、电话、短信等方式发布办理贷款的广告信息,在被害人下载安装网贷App后,冒充银行、贷款公司工作人员联系被害人,以收取手续费、缴纳年息、保证金、税款、代办费等为由,诱骗被害人转账汇款。

image.png

图2-3-2-1

image.png

图2-3-2-2

(3)客服窗口类型

诈骗分子通常会冒充某些平台客服工作人员,以影响个人征信为由,告知受害人需要注销贷款账户。以虚假“征信安全系数”检测为由,获取受害人信任后,诱骗受害人在各类借贷平台贷款,再以“安全验证”为由,要求受害人将贷到的钱全部转账汇款到指定账户,进而实施诈骗。

image.png

图2-3-3-1

(4)投资理财类型

诈骗分子一般会在社交平台诱导用户进入投资理财类型的钓鱼网站,当被害人在投资理财类钓鱼网站进行投资,取得大额盈利、想要提现时,对方就要求被害人缴纳“保证金”,只有缴纳了这些费用,资金才能够一并提现,而且如果不缴纳的话,平台内的资金就会全部损失,使得很多被害人盲目相信对方继续进行多次转账,导致财产损失。

image.png

图2-3-4-1

image.png

图2-3-4-2

(5)电商钓鱼类型

诈骗分子利用消费者贪小便宜的心理,搭建一些低价商品钓鱼网站欺骗受害人,当受害人在钓鱼平台填写信息和下单后,诈骗分子在后台就会获取受害人的姓名、手机号、居住地址信息,用于后续电话诈骗以及用户付款转账成功后卷钱跑路。

image.png

图2-3-5-1

三、钓鱼网站常见的对抗检测的技术手段

诈骗分子为了延长钓鱼网站的存活性,通常会使用某些技术手段逃避反钓鱼系统和安全人员的检测。

1、钓鱼网站前端页面对抗检测手段

(1) 防止查看源码

(2) 规避内容检测

(3) 规避PC端检测

(1)防止查看源码

诈骗分子为了防止用户查看源码信息,会采用ja vasc ript技术控制右键和快捷键,防止用户查看源码信息。

image.png

图3-1-1-1

图3-1-1-1中的代码获取了用户的按键操作,然后将其中打开控制台的按键接管并不返回任何内容导致用户浏览器快捷键失效。

代码分析:

keyCode123代表了用户按下了F12按键,keyCode73表示i键,ctrlKey表示Ctrl键,shiftKey表示Shift键,keyCode121表示F10键。

锁定打开控制台快捷键(F12,Ctrl+Shift+i):if(e.keyCode==123){return false;} 锁定F12快捷键,else if((e.ctrlKey)&&(e.shiftKey)&&(e.keyCode==73)){return false;} 锁定Ctrl+Shift+i键。

锁定上下文菜单(单击鼠标右键,Shift+F10):if((e.shiftKey)&&(e.keyCode==121)){return false;}};锁定Shift+F10键,document.on contextmenu = function(){return false;}} 锁定鼠标右键。

检测思路:

当浏览器快捷键被JS控制后无法查看网页源码时,可以在浏览器设置中关闭ja vasc ript功能或在网址前加上view-source:来查看网页源码,也可以不禁用JS,在浏览器界面打开选项-更多工具-开发者工具用来调试页面。

(2)规避内容检测

钓鱼网站为了快速批量部署站点以及逃避网络空间测绘系统或传统搜索引擎的关键词排查,通常会使用Dom渲染技术生成钓鱼页面。

图3-1-2-1是钓鱼网站渲染前的代码:

image.png

图3-1-2-1

图3-1-2-2是钓鱼网站渲染后的代码:

image.png

图3-1-2-2

检测思路1:

对于这种使用DOM渲染类的钓鱼页面,根据渲染前的某些关键字段信息在网络空间测绘系统(FOFA)上查询出相关的网站,再以钓鱼网站检测系统具体排查这些网站是否为钓鱼网站。

检测思路2:

有些钓鱼网站会在前端页面加时渲染页面躲避反钓鱼系统的内容检测。对于这类的钓鱼网站,可以使用浏览器驱动(ChromeDriver)技术设置渲染时长,当页面渲染完成后再具体排查这些网站是否为钓鱼网站。

(3)规避PC端检测

钓鱼网站通常会检测浏览器的User-Agent和界面尺寸大小,当检测到非手机端User-Agent或JS获取的系统平台为非手机端时则会禁止访问或跳转到官方网站,用以规避检测。

User-Agent检测:

使用PC端的UA访问钓鱼网站时,页面并没有加载,如图3-1-3-1

image.png

图3-1-3-1


如图3-1-3-2使用安卓端的UA访问钓鱼网站时,页面则会加载。

image.png

图3-1-3-2

钓鱼网站使用了JS检测浏览器所在的系统平台,图3-1-3-3的代码中判断了JS获取的系统平台为PC端时,则会跳转到其他网站。

image.png

图3-1-3-3

检测思路:

1、将浏览器的请求中的UA修改成手机端的UA。

2、使用浏览器插件或其他工具将响应包中的JS平台检测代码删除。

3、禁用JS功能。

2、钓鱼网站域名对抗检测手段

(1) 域名批量注册

(2) 泛解析域名

(3) 特殊编码域名

(1)域名批量注册

目前国内的安全防护软件厂商都在其产品中集成了反钓鱼网站的功能,安全防护软件拦截钓鱼网站的方法主要是以对比库中的钓鱼网址来实现的。由于诈骗分子设立新域名的成本极为低廉,而且通过软件可以自动更换URL地址。因此诈骗分子在申请域名时一般会批量申请域名,再将这些域名批量解析到多个IP中。当某个域名或IP被禁封掉后,将绑定的域名或IP快速解析到其他的域名或IP上。

图3-2-2-1中可以看出两个钓鱼网站的域名解析的是同一个IP。

image.png

图3-2-1-1

检测思路1:

当我们获取到一个钓鱼网站的域名时,可以查询该域名解析的IP,再通过查询该IP解析的域名,以此来检测到更多的钓鱼网站,同时也可以查询失效的钓鱼网站域名的历史解析IP,很有可能域名已经失效了,但IP还可以访问到钓鱼网站。

检测思路2:

有些钓鱼网站会使用诈骗或仿冒官方某些业务的中文首字母缩写作为域名。如某某银行则会使用mmyh.com、某某金融则会使用mmjr.com作为域名用以欺骗用户。

如图3-2-1-2中钓鱼网站某某基金域名使用中文首字母缩写,则就是是mmjj+数字的形式。

image.png

图3-2-1-2

依据这个域名规律特征,我们可以在网络空间测绘引擎(FOFA)中使用host语法来查询这些钓鱼网站,如某某基金,查询语法为host=”mmjj”,以此检测到更多的钓鱼网站。

image.png

图3-2-1-3

检测思路3:

在检测思路2(域名使用中文首字母简写)中提到钓鱼网站一般会采用字母+数字的形式作为钓鱼域名。在这类域名中还有一个特征,钓鱼网站在域名中的数字部分一般会采用数字递增的形式,如xxjj001.com递增到xxjj999.com这种形式。

图3-2-4-1中是我们之前监测到的部分钓鱼网站,可以看出在数字部分是递增的且递增区间为1-9。

这些域名有个特点是这类钓鱼网站的域名数字中一般不会使用4这个数字。

image.png

图3-2-1-4

根据这种特征规律,当我们获取到一个钓鱼网站域名时,如xxdy2.com,则就可以尝试xxdy1-9数字区间的域名,极大可能检测到更多的钓鱼网站。

检测思路4:

由于钓鱼网站的存活时间较短,钓鱼域名被禁封的速度较快的特点,诈骗分子一般会大批量购买低价的小众顶级域名用作钓鱼网站的域名。

经过白帽汇安全研究院长期的跟踪与监测,总结了钓鱼网站目前常见的顶级域名如下:

.app .bond .buzz .club .cn .com .icu .site .store .tech .top .xyz

我们可以对这些常用的钓鱼网站域名进行每日新增监控,以此检测出更多的钓鱼网站。

(2)泛解析域名

钓鱼网站一般会采用域名泛解析技术和二级域名访问不到钓鱼页面的思路来规避检测,即直接访问phishingdemo.com获取不到钓鱼页面,而访问任何前缀xxx.phishingdemo.com的网站都能访问到同一个钓鱼页面。

注:泛解析是把*.domain.com的A记录解析到某个IP 地址上,通过任意的前缀.domain.com访问都能访问到解析的站点上。

图3-2-2-1,任意的子域名都可以访问到同一个钓鱼页面。

image.png

图3-2-2-1

image.png

图3-2-2-2

检测思路:

对于使用了域名泛解析技术且二级域名访问不到钓鱼页面的网站,可以在网络空间测绘引擎(FOFA)中先查询到这些钓鱼网站的主站,然后在加上随机的子域名去访问这些钓鱼网站。

(3)特殊编码域名

图3-2-3-1钓鱼网站为了获取用户的信任达到更好的诈骗效果,会采用中文域名搭建钓鱼网站。

image.png

图3-2-3-1

检测思路:

根据这种特征规律,我们可以在一些域名监控网站中输入中文关键字来查找这些钓鱼网站的域名数据。

image.png

图3-2-3-2

3、钓鱼网站访问路径及IP的对抗检测手段

(1) 网站子目录规避检测

(2) IP批量注册

(3) CDN规避真实IP封堵

(1)网站子目录规避检测

有些钓鱼网站为了规避检测,一般会将网站的首页伪装成其他正常网站页面或首页为空页面,只有访问特定的URL才会显示钓鱼页面。

下方两图中,当直接访问域名时,会跳到如图3-3-1-1的非钓鱼页面,而当访问了特定的URI时,则会跳到如图3-3-1-2的钓鱼页面。

image.png

图3-3-1-1

image.png

图3-3-1-2

如下图3-3-1-3所示,当我们访问固定URI时,则会加载钓鱼页面;当直接访问默认页面时,则会跳转到百度页面。

图3-3-1-3

检测思路1:

当我们获取到一个钓鱼网站时,可以首先访问它的网站首页,获取首页的指纹信息,在网络空间测绘引擎(FOFA)上查询相同指纹的网站,然后尝试访问这些网站的的钓鱼URI路径,从而检测出更多的钓鱼网站。

检测思路2:

同一个钓鱼网站中可能存在多个仿冒目标的钓鱼页面。

如下图3-3-1-4所示,在同一个钓鱼网站中,我们尝试多个URI时会加载多个不同的仿冒钓鱼页面。

钓鱼网站路径/xms/index.html#/中的ms是民生的缩写,即代表仿冒的是中国民生银行。

经某些钓鱼网站测试,民生银行ms、浦发银行pf、平安银行pa、光大银行gd、建设银行js、工商银行gs、交通银行jt、华夏银行hx、邮政银行yz、农业银行ny、兴业银行xy、中信银行zx、广发银行gf、中国银行zg、银联yl,这些页面都有被仿冒成钓鱼页面。

图3-3-1-4

当我们获取到一个钓鱼网站时,分析网页URI中的规律,看是否有中文首字母缩写以及其他的路径命名规律,根据这些规律尝试访问这些网站的的钓鱼URI路径,从而检测出同一钓鱼网站中不同的钓鱼页面。

(2)IP批量注册

很多诈骗分子为了钓鱼网站的存活效果,一般会购买大量的IP用来做钓鱼网站,再将大批的域名解析到这些IP上搭建钓鱼网站。由于搭建的钓鱼网站都是相同的源码,因此可以根据源码的某些特征(具体方法可参考3.1章节)对这些批量建站的IP进行钓鱼网站发现,下图3-3-2-2和图3-3-2-3是我们基于相关方法进行钓鱼网站发现的结果。

图3-3-2-2

图3-3-2-3

诈骗分子在批量购买IP时,一般会买下IP的C段,可以利用这一特点去做网站发现,下图3-3-2-4是我们某一时期对几个IP的C段做定期监控的部分结果,可以看出同一C段可能存在大量的钓鱼网站。

image.png

图3-3-2-4

检测思路:

当有多个钓鱼网站的IP在同一个C段或相近的C段时,可以检测测该IP所在的C段,从而检测出更多的钓鱼网站。

(3)CDN规避真实IP封堵

钓鱼网站为了规避监管封堵IP,会使用CDN技术规避真实IP的检测,实现诈骗利益的最大化。根据白帽汇安全研究院以及FO-OCTRA(明索)平台长期对钓鱼网站的监测发现,目前电信诈骗类钓鱼网站常使用的CDN服务商为Greypanel、Alibaba US Technology、CLOUDFLARENET、RAMNODE、Amazon Cloudfront、Azure Front Door。

image.png

图3-3-3-1

检测思路:

电信诈骗类钓鱼网站主要是针对国内的目标进行诈骗行为,购买的CDN加速区域范围一般以国内为主,所以可以通过寻找小众、冷门的海外DNS查询,看是否能获得真实IP 。关于更多CDN绕过获取真实IP的技术具体可以参考文章:https://www.freebuf.com/news/265016.html

四、总结

本文以电信诈骗类钓鱼网站为主,分析了近年来钓鱼网站诈骗的形式及技术方案演变趋势和常见的钓鱼网站对抗检测的手段同时给出了相应的解决方案,但打击电信诈骗类钓鱼网站是一个相互对抗、不断升级的态势。

在与电信网络诈骗的斗争中,面对钓鱼网站的规避检测技术,需要不断升级检测方案,加大打击力度,白帽汇安全研究院欢迎大家提供钓鱼网站线索(包括不限于域名、IP、源码和APK等),共同维护安全可信的公共网络环境。

线索提供方式:FOFA数据奖励计划

提交地址:https://fofa.info/userInfo/dataAward

联系邮箱:service@baimaohui.net

最新评论

昵称
邮箱
提交评论