移动平台新型诈骗解析

 

诈骗形式的演化

随着各种骗局被新闻媒体报道、公开,人们的防诈骗意识也在不断提高,但诈骗事件仍时有发生。随着科技的发展,电话,手机等通讯设备以及互联网的出现和普及,诈骗手段也从早期人与人之间的传统诈骗发展到利用电话,网络的电信网络诈骗。骗子的骗术在不断更新升级。

一、传统诈骗

传统诈骗活动主要依赖人与人的直接接触,其影响范围较为局限。传统诈骗常见的诈骗方式如图-1所示,而生活中的诈骗方式远不限于此。

图-1 传统诈骗

二、电信网络诈骗

电信网络诈骗是指犯罪分子通过电话、网络和短信等方式,编造虚假信息,设置骗局对用户实施远程、非接触式诈骗,诱使用户给犯罪分子转账的犯罪行为。随着移动智能设备的迅猛发展,电信网络诈骗出现了利用安卓木马,将木马植入用户手机,使得诈骗者即使没有成功诱导用户完成转账,也能依靠植入的安卓木马,在用户不知情的情况下完成远程转账。

图-2 电信网络诈骗

三、移动平台新型诈骗

进入2018年,360烽火实验室陆续收到各种与诈骗相关的反馈事件,特别是2018年下半年开始此类反馈陡然增多。通过分析整理发现此类事件存在共同特点:诈骗者借助“金融理财”,“网络彩票”等类型软件设置骗局,获取得用户信任,实施诈骗。这种诈骗的新形式引起了360烽火实验室的高度重视,随即对这类诈骗事件及相关软件进行了持续跟踪与分析,并对此类软件进行了全面剖析及总结。

四、新型诈骗事件举例

套路贷——伪贷

2018年8月21日,常州市武进区发布一则消息:市民程先生接到自称某贷款公司的电话,自称贷款流程简单放款迅速,程先生恰逢急需用钱。程先生与该公司的“客服”人员互加微信好友,随后点击了“客服”发送的链接下载一个名为“XX贷”的软件,并通过“客服”提供的二维码先后缴纳了各种费用(手续费、担保金、账户解冻费等),然后程先生发现无法登录“XX贷”软件,此时“客服”已将程先生拉入黑名单。至此,程先生损失共计8000余元。

迷幻陷阱——投资理财

2018年3月家住嘉善县的袁先生通过某微信群加了一个自称投资理财规划师的好友,该好友向袁先生推荐了一款投资理财软件,可在上面直接交易投资。通过一次次的准时返现和高额回报,袁先生深陷其中,陆续共投资23万多元。然而就在投资额不断变大之时,返现突然中断,此时袁先生发现投资理财软件已无法打开,投资理财规划师也已将袁先生拉黑。

游戏软件里的大赌场——赌博

2018年9月黄岩警方打掉一个以玩“小游戏”为幌子,实为特大赌博的软件平台。该犯罪团伙以“超级大玩家”的游戏平台涉嫌开设赌场,游戏平台里架设捕鱼、老虎机、财神来了、僵尸先生等有数倍到数十倍甚至数百倍赔率的涉赌小游戏,玩家通过下载“超级大玩家”软件进行游戏,并通过银商充值游戏币在该游戏平台里赌博,玩家兑换游戏币银商要收取一定的手续费,而游戏币全部由平台负责卖给银商,从中抽头获利巨大。虽然涉赌游戏按中奖给予不同的赔率,标榜着赔率有几倍、几十倍、甚至几百倍,但是游戏玩家中奖率是非常低的,全部都是软件后台设计好的,而且随时可以更改中奖率。

看不见的钓杆——私彩

2018年10月中旬,白云警方捣毁一个实施网络诈骗的犯罪团伙,该诈骗团伙有着明确的分工和职业化的诈骗步骤。首先,团伙组织者“老板”提供可以购买“彩票”的的违法网站,与正规彩票网站不同的是该网站可不定时无限次轮番开奖;实施犯罪的第二步是拉人头,并在诈骗“台本”教程指导下将潜在投注人一步步引诱至骗局;该团伙声称“除本金外还有30%-50%的额外回报”,团伙其他成员随投注人一起下注制造出网站的假象;投注人“按规矩”将钱预先充值到投注账号后便静待开奖,然而网站上所谓的“随机中奖号码”实际上是“老板”根据投注情况后台操纵确定的。就这样在“黑庄家”的控制下投注人根本就没有赢钱的可能。投注人前期的“小赢一把”都是诈骗团伙抛下的诱饵,诱使投注人下更大的注、输更多的钱。

 

新型诈骗软件概览

一、软件数量激增

截至2018年12月,360烽火实验室根据用户的举报和反馈统计诈骗类相关软件共计18多万个,经过进一步关联发现此类软件的数量竟高达300多万。此类诈骗软件作为诈骗活动的载体,单从软件功能角度看,并无恶意行为。从诈骗案例和套路角度看,该类软件则起到迷惑用户,获取用户信任的功能。与传统安全检测不同,此类事件需要其他辅助检测手段,新的检测手段体现更多的是人与人之间的较量。

图-3为自2014年来诈骗类软件的数量变化趋势,其中2018年之前此类软件增长态势较缓,进入2018年平稳态势则被打破,仅2018年的数量与2014年至2017年四年之和持平,2018年诈骗类软件的猛烈增势表现了这一年来移动平台诈骗活动愈加活跃的程度,年内P2P的繁荣、虚拟货币的火热等事件备受瞩目,与此相关的软件便如雨后春笋般疯狂增长。

图-3移动平台诈骗软件数量统计

二、软件分类

下图为诈骗类软件名称的热词权重图,结合软件用途及图-4我们将移动平台诈骗类软件大致分为金融与博彩两大类。

图-4 诈骗类软件名称热词权重图

下图为2018年移动平台诈骗类软件分类及对应占比,其中金融类占比远大于博彩类。

图-5 2018年移动平台诈骗类软件分类及占比

下图为18年移动平台诈骗类软件分类趋势图,上半年金融类与博彩类涨势较缓,直到18年 6月金融类诈骗软件呈现出猛增之势;反观博彩类则无明显增长,这与我国严厉打击赌博整治赌博违法犯罪的政策行动不无关系。

图-6 2018年移动平台诈骗类软件分类趋势图

新型诈骗软件分析

一、金融类

2013年被称为“互联网金融元年”,各种宝宝类理财、P2P、第三方支付、众筹、网赚等纷纷出现。“互联网金融”发展至今,已逐渐具备“门槛低、速度快、手续简单”等特点,在方便用户的同时也被诈骗者用于诈骗活动。从软件的应用场景出发可将金融诈骗类软件粗略分为:借贷类、投资理财类、网赚类及其他类,见下图。

图-7 2018年移动平台金融类诈骗数据统计

借贷类

借贷类诈骗软件在金融类诈骗软件中占比58.51%,足以看出这类诈骗活动造成的恶劣影响已不容小觑。银行贷款是指银行根据国家政策以一定的利率将资金贷放给资金需要者,并约定期限归还的一种经济行为。正规的银行借贷是需要经过严格繁复的资料及资质审核,此时打着“速度快、流程简单”的伪借贷产品便应运而生,这类产品主要针对急需资金周转的用户。

360烽火实验室通过对该类反馈的梳理及分析,整理出如下图所示的伪借贷活动的运作流程。

图-8 伪借贷的运作流程

诈骗者通过多渠道传播伪借贷信息,待资金需求者进入陷阱,此时便通过社交软件与用户产生粘性关系,并通过社交软件以各种名目诱骗用户钱财,同时引导用户安装伪借贷软件并提示用户进行借贷信息填写;伪借贷软件的主要作用是迷惑用户,并以用户填写的信息对用户进行下一步的费用诈骗,例如以用户的征信问题为由收取用户的信用保证金等相关费用。总览整个伪借贷的运作流程,可发现其由四个主要部分构成,见下图。

图-9 伪借贷的主要组成部分

下图为用户反馈中涉及的伪借贷软件截图,截图中包含这样几个关键词:1分钟(简单申请)、循环额度(极速到账)、30秒(火速审批),再加上可观的贷款额度,这些宣传点直击用户急需资金的心理,更利于诈骗活动的顺利进行。

图-10 软件截图——借贷诈骗类

投资理财类

互联网金融的火热促使各类投资理财产品的出现,并且成了用户投资的新热点。相继就出现了大量资理财类软件,其中不乏违规的软件,这类软件主要针对有投资理财需求的用户,利用虚假信息注册营业执照、网站许可证等资质文件,仿冒正规理财软件、发布高收益率的投资项目吸引用户注册投资,最后以平台升级或企业整改等理由关闭提现通道、冻结用户资产,致使用户资产蒙受损失。下图为投资理财诈骗类软件的界面截图:

图-11 软件截图——投资理财诈骗类软件

此类诈骗软件数量巨大,诈骗伎俩层出不穷,并在宣传上都有以下共同特点:

图-12投资理财类软件的特征

赚钱类

互联网的便捷与包容,使用户可轻松获取海量资讯的同时也酝酿出更多的商机,其中就包含赚钱类软件,而赚钱类软件中又藏匿着欺诈。兼职赚钱与薅羊毛网赚类产品在金融类诈骗软件中占比为2.56%,图-13为该类软件截图。

图-13 兼职赚钱类软件截图

图-14 赚钱类软件对比

上面两类都是利用了廉价流量来达到获取钱财的目的。互联网的快速发展使得流量不断廉价,此类软件变化迭起,导致其呈现出愈加明显的产业化特征。

、博彩类

2018年年初公安部召开会议,部署全国公安机关进一步深化打击整治赌博违法犯罪活动,此举迅速查出一批赌博犯罪大要案件,打击并依法惩治了一批犯罪团伙及涉赌犯罪分子,有效扼制此类违法犯罪势头。国家对于藏匿互联网的赌博违法活动的打击力度及规模更是不断加大。此类活跃于PC平台的赌博违法犯罪活动逐渐将阵地转移到移动平台,利用移动平台的便捷性、及时性以及精准性等特性,依赖移动平台的庞大流量,并以高回报低风险等噱头引诱网民参加此类博彩活动。

我们将与此类违法犯罪相关的软件划分为两类:赌博与私彩。图-15为2018年移动平台博彩类诈骗数据统计。

图-15 2018年移动平台博彩类诈骗数据统计

赌博类

赌博类软件多采用将服务器、技术与客服团队分散在境外,提高隐蔽性,增加取证难度;同时在境内招收代理推广的模式盈利,组织结构如图。

图-16 赌博组织结构

赌博活动花样频出且屡禁不止,传统的赌博形式有如纸牌、麻将及推牌九押注等形式;而现今赌博多以互联网软件为载体,并以各种样式呈现,如下图所示。

图-17 赌博类软件图标及软件名称展示

用户在使用此类软件时,软件后台会实时监控数据,通过调整赌博游戏的各种数据及赢率等参数,确保庄家只赚不赔,而赌博参与者却损失惨重。

这类软件在运营方面存在三个特征:

图-18赌博类软件的运营特点

  • 组织严密:设有专门的推广、代理以及服务器维护等团队,各团队协作完成诈骗活动。
  • 技术精良:赌博相关的网站及软件制作相当精良,其中包含可随时拨打的官方电话,同时提供视频的同步播放等。
  • 宣传诱导:以各种优惠活动、高额返现等策略诱惑用户,例如“存1000返500”等。

私彩类

彩票是国家统一管理、取用为民,是公益事业。然而一些不法分子铤而走险打擦边球,违规设立私彩网站及制作私彩软件以谋取暴利。图-15中私彩类软件占比高达81%,这个数据说明私彩现象已十分严峻。

互联网彩票的正常流程应该是彩民在网站投注,网站将彩民的订单汇总到彩票中心,开奖后彩票中心向网站返还彩民中奖金额,网站将中奖金额返回彩民账号。然而,就在2015年彩票全面停止互联网销售之后,在移动平台却陆续出现各种私彩类软件,声称所售的彩票与实体店一样,用户支付成功后,会将用户的彩票方案送往官方投注站点以完成出票。下图为私彩类软件的界面截图,其中展示了其所提供的私彩项目及服务。

图-19 软件截图——私彩类

私彩软件背后的猫腻就是非法截留彩金,以保证自己稳赚不赔。如果彩民中了小奖,则私彩软件拿出截留的彩金兑奖以吸引彩民;如果彩民中了大奖,私彩软件则关门跑路,随后换一个软件名称和网站继续运营。

图-20 空手套白狼

私彩软件的运营主要涉及两个重要环节:用户的获取及留存。

  • 获取用户:多渠道推广,例如搜索引擎的关键词推广、论坛贴吧、短信投放以及通过第三平台广告等以获取大量用户;
  • 留存用户:对已获取的用户进行转化,例如提供给免费试玩、买赠等服务,以此举提高用户的留存率,从而有力确保盈利。

互联网销售彩票存在诸多问题, 2015年我国已禁止互联网销售彩票。但仍有私彩运营者铤而走险转入暗地,打着代购代销的旗号继续私售彩票。由于网络购彩十分便利,同时又有大量热衷彩票的网民有购彩需求,导致私彩市场屡禁不止,这种伪装私彩的诈骗案件因此频繁发生。

新型诈骗软件的产业分析

一、产业化制作

相似的软件界面

诈骗类软件从界面设计到操作模式都十分相似,图-21为不同软件界面的对比图,除软件名称其他内容别无二致。

图-21诈骗类软件的界面展示

单一的软件功能

图-22代码结构对比

诈骗类软件的代码结构极为简单且功能单一,软件的功能仅为加载可任意变化的网址,网址对应固定的web页面,且该web页面为软件的全部内容,所以软件正常显示界面需要在联网状态下,否则手机会显示图-24的界面。

图-23 诈骗类软件的核心代码

图-24 诈骗类软件在断网情况下的界面显示

相同的网络访问

在对软件“助力贷”进行抓包分析时发现如下的网络访问,该网络访问最终的界面显示如下图所示。

图-25 软件“助力贷”的网络访问

通过进一步分析我们发现大量软件存在相似的网络访问,图-26为截取的部分内容;图-27为不同软件通过不同的“网络访问”参数发出请求后,得到的“返回内容”在手机浏览器中的具体显示,可看出不同的“返回内容”所展示的内容相同。

图-26 诈骗类软件的请求和返回数据

图-27 不同网址返回相同的界面

服务平台被滥用

通过查询发现“bmob.cn”为一个提供后端服务的平台,该平台为云服务提供商,提供APP源码、数据库、短信验证码服务。

诈骗者利用该平台获取诈骗类软件界面,最终展现给用户。例如,当网络访问参数为“时实贷”时,该服务平台返回的结果为“http://jaz55.cn”,当将参数替换为“玖富快贷”则返回“http://zfu2.cn”。

图-28 “bmob.com”平台截图

服务平台被滥用不仅使诈骗者制作软件的成本进一步降低,同时诈骗类软件的变化更难以控制,给监管工作带来更大压力。

对此类软件进行代码分析及实机测试,发现软件界面及功能高度相似,可推测这类软件的来源具备某种指向性。在电商平台根据关键字搜索可发现大量如此相关的商品,售价区间为500元到7000元;图-29为某电商平台在售的与“投资理财”相关网站及软件的源码,同时提供技术支持服务,加上低廉的售价,这足以使贪图不义之财的人趋之若鹜。

图-29 某网站在售的网站及软件的制作工具

图-30 咨询内容

、多渠道传播

从诈骗信息的传播途径来看,电话、短信及网络成为传播诈骗信息的主要传播途径。

  • 电话

我国的电信产业的发展十分迅猛,目前手机及固定电话用户数量已超10亿。但是,电信产业的迅猛发展的同时,利用通讯技术进行的各类诈骗日益猖獗,其中电话诈骗尤为严重。诈骗者通常采用异地作案,使用各种诈骗由头对用户进行诈骗,甚至使用多个号码互相掩护。例如电话推广贷款项目,并配有专业的客服人员进行后续跟进,对于急需资金的用户则很难防备。

  • 短信

短信推广基本是通过短信平台及伪基站进行发送,并且短信内容配以“快贷”、“中奖”、“免费”等词汇诱惑用户上钩。具体产品的推广形式已悄然发生变化,早期可通过短信提供的链接直接访问产品对应的网站或软件,而现在推广短信中不再直接提供此类链接,转为提供客服联系方式,用户通过客服才可获取具体的产品网站或软件,这样的方式在一定程度上对抗了安全检测;从产品的推广分发角度来看,现在多使用具有企业备案的第三方平台进行分发,如此一来用户便更加迷惑,尤其是利用虚假信息注册营业执照、网站许可证等资质文件的金融类产品。

图-31 短信推广方式对比

图-32 短信推广内容对比

  • 网络

互联网的不断发展催生了各种网络营销服务,而有些服务却被诈骗者用来进行诈骗信息的推广。诈骗者通过发布具有针对性的诈骗信息吸引有特定需求的用户,如贷款、兼职等;用户可通过网页提供的联系方式联系到诈骗者,此时用户已落入诈骗者的陷阱之中。

实际中的诈骗案例所涉及的传播途径却不限于以上三点,且往往是多渠道综合利用。伴随互联网的持续发展,诈骗活动愈发隐蔽,例如诈骗者通过电话、短信或网站推广等方式联系用户,以特定话术将用户引诱至微信、QQ等社交软件后,通过社交软件向用户提供具体的诈骗类软件,并以各种名目骗取用户的个人信息及钱财。

图-34用户被骗经历自述(部分)

、受骗人群画像

  • 受骗人群多集中在80后

下图展示了2018年移动平台诈骗类软件受骗人群性别及年龄段统计数据。其中感染用户中男性占比突出;从年龄段来看,25-34岁为受骗人较为集中的年龄段,占总体的4成。这类人群集中在80后到90初,一方面对于移动互联网上的新事物新思想接受较快;另一方面他们已经有一定的经济能力,但在事业家庭上又处于上升期,因此对于财富的增长需求比较强烈。

图-35 2018年移动平台诈骗类软件受骗人群性别及年龄段分布

  • 二三四线城市是重灾区

从受骗人群所在的城市等级划分上来看,33%常驻在二线城市,成为重灾区,三四线城市感染占比均超20%,而一线城市仅占9%。

图-36 2018年移动平台诈骗类软件受骗人群所在城市等级分布

  • 诈骗类软件地域感染分布

从地域分布来看,广东省受诈骗类软件危害程度最为严重,山东、浙江以及江苏等沿海省份次之。

图-37 2018年移动平台诈骗类软件地域感染分布

全民行动 打击电信网络诈骗

2016年8月19日,山东省临沂市罗庄高考录取新生徐玉玉遭电信诈骗被骗9900元。案发后,徐玉玉与父亲到公安机关报案,回家途中心脏骤停,经抢救无效死亡。8月26日,公安部发布A级通缉令,全力追捕涉案人员。8月底,7名犯罪嫌疑人先后落网。而2016年8月底清华教授被骗房款事件再次冲击了人们的痛点与怒点。

针对电信网络新型违法犯罪日益猖獗的情况,国务院部际联系会议部署专项行动进行打击整治。公安部会同工信部,中国人民银行等六部门联合发布《防范和打击电信网络诈骗犯罪的通告》。最高检、最高法、公安部联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》。

图-38 打击电信诈骗的国家行动及成果

国家对电信网络诈骗的打击力度不断加大,然而电信网络诈骗形势依旧严峻。特别是移动平台上诈骗案件的频繁发生,诈骗类软件数量暴增,诈骗形式不断变化。从早期利用木马软件直接骗取用户钱财,到现今利用“无害软件”取得用户信任,实施诈骗操作。同时随着软件制作技术的不断普及以及制作门槛的持续降低,诈骗的低成本、高收益的特点愈加突出,导致移动平台上的诈骗软件呈现更加明显的产业化特征,并已成泛滥之势。

面对不断专业化、智能化的犯罪手段,国家从未停止打击,作为我国第一大互联网安全企业,360在维护网络安全、联合警方打击网络犯罪更是责无旁贷。净化网络环境,整治电信网络诈骗毒瘤需要一个漫长过程,对于危害用户安全的一举一动都是我们的致力方向。

电信网络诈骗具有跨地域性、隐蔽性、高时效性以及取证难等特性,这使得每个处于网络中的用户成为潜在的受骗人群。所以打击电信网络诈骗不仅需要“国家行动”来决定战斗方向,需要企业进行打击助力,更需要普通用户将打击电信网络诈骗作为己任,将这场全民战进行到底。

(完)