報告｜安天移動安全2017年Q1移動終端釣魚網站分析報告

前言

隨著移動互聯網的快速發展，智能手機、平板電腦等移動終端用戶數量呈爆髮式增長，移動智能終端安全問題愈發凸顯。大量手機病毒、偽基站橫行，不法分子利用釣魚簡訊、虛假網站進行電信欺詐的惡意活動也愈演愈烈，嚴重影響了廣大用戶的日常生活。

本報告數據來源於安天移動安全旗下的URL安全檢測系統，該系統通過識別釣魚、色情、博彩以及惡意應用下載等惡意網址，為用戶提供URL安全防護功能和服務。本報告重點分析了2017年第一季度（Q1）移動終端釣魚網站整體情況，幫助用戶全面了解移動釣魚網站特性，提高用戶安全防範意識，進一步保障用戶隱私、資金安全。

2017年Q1移動終端惡意URL整體分佈

據安天URL安全檢測系統檢測數據顯示，2017年Q1移動終端傳播的惡意URL中，色情博彩等不良信息類URL由於其能夠快速獲利並抓住了人們的好奇心理等特點，成為主要惡意URL威脅，佔比高達62.80%；其次是釣魚類URL和惡意下載類URL，分別佔比35.26%和1.94%。

圖1 2017年Q1惡意URL類型分佈

各類惡意URL釋義：

在以上三類惡意URL中，儘管釣魚類URL在整體惡意URL中的佔比居於第二位，但其惡意性最強，往往偽裝成知名網站，對用戶的重要個人信息進行竊取，以達到進一步的攻擊目的，用戶一旦受騙，將有可能遭受較大的資金損失。

本報告將重點分析2017年Q1釣魚類URL（釣魚網站）在移動終端上的情況，幫助用戶更好抵禦此類攻擊，保障數據和資金安全。

2017年Q1移動終端釣魚網站分析

2.1 釣魚網站佔比分析

2017年Q1， 安天URL安全檢測系統檢測到移動終端釣魚網站攻擊事件數占所有惡意URL事件數的3.27%。其中每月的釣魚網站佔比變化情況如下圖所示：

圖2 2017年Q1釣魚網站攻擊事件數佔比變化趨勢

從上圖可以看出，2月份的釣魚網站攻擊事件數佔比相比1月份有一定跌幅；但在3月份有了較大的反彈，釣魚網站佔比猛增至7.14%，是Q1整體佔比的2倍多。可見春節期間，釣魚網站活躍度有所下降，但在年後又進入了活躍期。

2.2 釣魚網站仿冒對象分析

釣魚網站主要通過仿冒各類知名網站以騙取用戶信任，繼而實施界面釣魚、賬號欺詐等惡意行為以達到竊取隱私、騙取錢財等目的。

2017年Q1釣魚網站仿冒對象中，涉及用戶重要財產賬戶信息的銀行業務網站成為最常見的釣魚仿冒對象，其佔比高達73.54%。其次是仿冒運營商的欺詐網站，佔比10.48%；賬號類、電商類、獲獎類等類型的仿冒分居第3、4、5位，具體情況見下圖：

圖3 2017年Q1釣魚網站仿冒對象類型分佈

2.3 釣魚網站攻擊地域分析

2017年Q1釣魚網站攻擊的地區中，廣東省出現的攻擊事件數佔比達14.29%，超過第二位的河北省（7.62%）接近一倍，為第一季度國內釣魚網站攻擊情況最嚴重的省份。四川、陝西、山東分列第3~5位，具體分佈見下圖：

圖4 2017年Q1釣魚網站攻擊地域Top10

通過統計釣魚網站攻擊時段我們發現，惡意攻擊從早8點開始活躍，持續到下午5點。8：00~17：00這個時間段是釣魚網站攻擊的「黃金時間」，後續活躍度逐漸下降。可見釣魚網站的活躍時間基本與正常人的工作、學習時間保持一致，十分規律，初步推測這是為了儘可能提高其惡意攻擊的成功率，需要用戶提高警惕、注意防範。

2017年Q1釣魚網站頂級域名分析

2017年Q1移動終端釣魚網站域名中涉及的頂級域名共48個，其中頂級域名為.cc的佔比48.22%，其次是.com佔比36.97%，該兩類域名是釣魚網站中出現頻度最高的兩類域名。

相對於.com等頂級域名，.cc類頂級域名註冊成本較低，同時.cc域名與.com域名視覺上相似度較高，例如：www.icbc.com/wap和www.icbc.cc/wap，較易引起混淆，是黑產較偏愛的域名。同時統計.cc類域名下的釣魚網站屬性我們發現，94.8%的.cc類釣魚網站都仿冒成了銀行類網站。

.cn類頂級域名由於域名實名制工作的嚴格執行和不斷完善，其數量保持在相對較低的比例。

.top、.win、.xyz等非大眾化域名下的釣魚網站數量佔比同樣較小，推測是由於該類域名較為少見，易引起用戶警惕。具體分佈情況見下圖：

圖6 2017年Q1釣魚網站頂級域名分佈

2017年Q1移動終端熱門釣魚網站分析

2017年Q1安天URL安全檢測系統檢測到的釣魚網站Top10如下所示：

從上表可以看出，釣魚網站Top10中較多仿冒成了電子商務類的釣魚網站，同時還有仿冒成運營商類和銀行類的釣魚網站。除了這三種類別之外，2017年Q1安天移動安全還捕獲了其他典型的釣魚網站，現將這些釣魚網站的相關截圖和典型欺詐形式展示出來，希望增強移動終端用戶對釣魚網站的識別能力。

4.1 仿冒電商類釣魚網站

該類釣魚網站主要通過仿冒知名品牌商品搶購活動， 以極低的價格吸引用戶購買，而當用戶輸入姓名、電話號碼、家庭住址等個人信息，通過在線支付或貨到付款的方式完成交易后，最後收到的卻是仿冒商品或更為廉價的商品模型，該類釣魚網站訪問界面示例如下：

4.2 仿冒銀行類釣魚網站

該類釣魚網站通過偽基站發送欺詐簡訊，假託積分兌換、身份核實、手機網銀失效等理由，誘導用戶進入釣魚網站並在其頁面中輸入銀行卡號、密碼、電話號碼、身份證號等隱私信息；接著，黑產則通過社工手段進行欺詐或植入簡訊攔截木馬以進一步獲取簡訊驗證碼等信息，從而實現盜取用戶資金的目的。該類釣魚網站訪問界面示例如下：

4.3 仿冒iCloud賬號釣魚網站

用戶接收到仿冒「蘋果官方」的郵件或簡訊，被引誘進入模仿iCloud賬號登錄的釣魚網站界面，並輸入iCloud賬號及密碼。當用戶的賬號被盜取后，若其被盜取賬戶密碼與郵箱密碼一致，黑產便能很輕易將受害者的設備鎖上，被鎖后通常需聯繫蘋果客服出示購買證明才可能將設備解鎖還原，否則就只能向黑產繳納贖金，換取設備的解鎖口令。該類釣魚網站訪問界面示例如下：

該類釣魚網站通過仿冒知名衛視熱門節目的抽獎活動，以豐厚的獎金、獎品誘惑用戶填寫姓名、電話、住址、銀行賬號等個人信息，隨後詐騙分子通過電話向用戶索要「領獎保證金」；如被懷疑或拒絕，詐騙分子則會以 「你已簽署協議，放棄領獎將被起訴」為由恐嚇、敲詐用戶。該類釣魚網站具體界面示例如下：

防範建議

針對移動終端傳播的釣魚網站，安天移動安全合作方產品已經實現全面查殺。安天移動安全團隊提醒您：

• 釣魚網站和真實網站有極大的相似處，易導致視覺混淆，例如釣魚網站通常將英文字母「I」替換為數字「1」，將頂級域名「.com」變為「.cc」，因此建議不要點擊可疑簡訊中附帶的網址鏈接。

• 增強主動防範意識，不要輕信「積分兌換、領取高額獎品、商品限時搶購、網銀信息核實或修改」等信息，如需查證，請盡量採用多種渠道進行確認，比如使用手機撥打官方電話進行確認。

• 請使用手機系統管家（安全中心）或第三方安全軟體的相關安全功能，防範釣魚網站、手機病毒等惡意攻擊，全面保障資金和隱私安全。