首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >2014年腾讯雷霆行动网络黑色产业链年度报告(下)

2014年腾讯雷霆行动网络黑色产业链年度报告(下)

作者头像
腾讯研究院
发布2018-02-05 16:42:52
2.8K0
发布2018-02-05 16:42:52
举报

二、网络黑产数据研究与分析

1. 疯狂病毒:日均54万手机中毒,支付病毒猛增

数据来源:腾讯手机管家、腾讯电脑管家

 2014年腾讯管家安全软件在PC端上发现超过1.3亿个新增病毒,移动端上发现超过100万个新增病毒包,与2012年相比大幅上升(2012年全年PC端新增病毒9000万个,移动端新增病毒16万个)。2014年移动端共有1.97亿用户感染病毒,平均每天有接近54万部手机中毒,是2013年的1.8倍、2012年的5.7倍。

数据来源:腾讯手机管家、腾讯电脑管家

 值得注意的是,绝大多数的病毒都是针对安卓系统进行攻击。由于安卓是一个以Linux为基础的开源移动设备操作系统,开放性较高,让网络黑产人员有了可乘之机。

数据来源:腾讯手机管家、腾讯电脑管家

  全国十大手机中毒用户重灾区为:广东、河南、浙江、江苏、河北、北京、山东、四川、湖南和广西,占了全国中毒移动设备用户总数的近六成。病毒类型以资费消耗(占54.46%)、隐私获取(16.81%)、恶意扣费(10.47%)、流氓行为(6.92%)和诱骗欺诈(5.87%)为主。

数据来源:腾讯手机管家、腾讯电脑管家

 2014年移动端新增支付病毒包为13.7万个,是2013年的三倍。共有1562万个移动设备被感染,也就说每天有4.27万个移动设备被支付类病毒感染。显示通过支付类病毒感染用户移动设备,获取用户个人信息,进而控制手机、拦截短信验证码,以盗取财产,已成为网络黑产的新趋势。

数据来源:腾讯手机管家、腾讯电脑管家

 电子市场和手机论坛依然是支付病毒的主要传播渠道,占比分别达到21%、20%,而软件捆绑、ROM内置、二维码、手机资源站分别占支付病毒传播渠道的12-16%不等。

  2014年移动端支付类病毒最大特征是表现为“偷短信”,即静默删除短信、静默发送短信,再通过社工库及社工类欺诈骗取用户的银行卡号、身份证、手机号等,把用户设备变成“肉鸡”,悄无声息地盗走用户网银或第三方支付账号的资金。

 相关案例:腾讯雷霆行动联合徐州网安破获手机木马病毒案,涉案金额2000余万元。

数据来源:腾讯手机管家、腾讯电脑管家

2. 社工欺诈:广东举报最多,男性及90后最好骗

 社工类欺诈是目前网络黑产的主要形式,所谓社工类欺诈,就是指利用受害者的信任、好奇心和贪婪等心理弱点,以冒充熟人或博取同情等社会工程学的方式进行网络诈骗和敲诈。随着网络技术的发展以及网民安全意识的提高,社工欺诈手法越趋高明和更具迷惑性。

数据来源:腾讯安全中心

2014年,腾讯“雷霆行动“110.qq.com举报平台共收到250万条举报数据。经分析,2014年网络社工类欺诈举报主要可分为两大类:通过钓鱼链接盗取社交聊天帐号,以及盗号后冒充好友实施诈骗,两项举报合计超过四成。此外,通过发布虚假的兼职招聘、游戏代练、道具装备倒卖等信息实施网络诈骗,也成为2014高发的诈骗类型,两者举报量合计接近四成。涉及各类网络帐号、个人信息和资料的倒卖,以及出售假冒商品等的网络欺诈约占18%。

数据来源:腾讯安全中心

从2014年雷霆行动的举报数据来看,广东、江苏、浙江三省举报总量占比达三成,其中广东的举报数据量最大。这也从一定程度上反映,广东等经济较为发达的地区遭受的网络诈骗较多,网络黑产和诈骗分子更倾向于对这些地区的网民进行欺诈。

数据来源:腾讯安全中心

腾讯雷霆行动的大数据分析显示,超过八成的社工类欺诈发生在移动端;受骗的男性用户群体是女性的两倍,显示女性用户在面对诈骗信息时更冷静。

数据来源:腾讯安全中心

  从上图可以看出,15-25岁的90后用户群体是社工类欺诈的主要受骗人群,占比超过45%;80后用户群体的受骗比率达23.3%,70后紧随其后。

  综上所述,2014年网络社工欺诈呈现以下四个特征:

1. 多发生在移动端,占比达八成

2. 男人比女人更好骗

3. 90后上当受骗的比率最高

4. 骗子紧盯三大人群:财务人员、海外用户、游戏用户

数据来源:腾讯安全中心

大量分布在二三线城市的网络黑产人员其实是以制作和传播木马病毒、钓鱼链接、社工类及人肉型欺诈为主。他们通过网络社交群或地缘组织成几十、几百、甚至上千人的犯罪团伙,有组织、分工明确地进行黑产犯罪行为,已有一套相当成熟的流水线作业模式。

广西和广东团伙主要通过使用购买的钓鱼网站或钓鱼邮件模版,由诈骗团伙进行有针对性的盗号,受害人群大多为财务人员及留学生。犯罪团伙在盗号后会通过聊天漫游记录、备注名等社工用户的隐私信息,截取用户视频影像,再冒充好友聊天。建立信任关系后,常以有急事为由,诱骗受害人进行银行转账,涉案金额巨大,单笔一般在数万元到数百万元不等。

海南团伙主要从黑市购买被盗的社交帐号,以购买点卡、给对方打钱为由大量发送诈骗信息,通过直接骗取点卡或盗取银行卡、手机验证码绑定快捷支付来获利,单笔获利从几百至几千元不等。

福建团伙诈骗手法多为冒充官方客服及公检法等国家机关,以近期有活动需缴纳保证金或强制执行为理由,诱骗卖家直接向指定帐户打款;或以店铺存在异常为由,通过钓鱼网站盗取卖家支付密码、手机验证码后,自行操作转走卖家卡内余额。

相关案例:腾讯雷霆行动联合广西南宁警方捣毁“村长”钓鱼案。

3. 色情陷阱:四成恶意网站为涉黄网站

数据来源:腾讯安全中心

腾讯“安全云库”2014年新增1.1亿条恶意网站链接,比去年同期增加了近一倍。

数据来源:腾讯安全中心

2014年新增的恶意网站中,恶意色情网站及色情欺诈类网站占比超过四成,显示大量恶意网站都打着色情的幌子、实则对用户个人信息和金融财产进行侵害。此外,虚假博彩网站占比两成,虚假销售网站及恶意木马网站合共占比两成。

三、 让光明驱散黑暗,腾讯“雷霆”在行动

2014年,腾讯对网络黑色产业链进行重拳打击,不断丰富各个平台和产品的打击策略,运用大数据手段与警方、合作伙伴进行协作,逐步建立起一个综合对抗的打黑体系。

1. 与警方、合作伙伴建立全方位联动机制

举报与刑事打击共同发力

2014年1月,腾讯设立110.qq.com反诈骗举报平台、并向社会公众提供1000万元扫黑举报奖金。去年共收到超过250万条举报信息,向230人发放举报奖励300余万元。2014年至今,“雷霆行动”配合深圳、北京、江苏、重庆、上海、广西等多地警方侦破网络欺诈案件200余起,抓获犯罪团伙嫌疑人700余人,涉案金额5000余万人民币;在打击网络招嫖方面,推动苏州、南通两地公安抓获涉黄嫌疑人近60人。

  • 2014年度五大案件

江苏徐州“神马”网络盗窃案

3月19日,腾讯雷霆行动联合江苏徐州警方成功捣毁了一个以下订单为名,通过向多个网店店主的手机植入木马、拦截网银短信进行网络盗窃的犯罪团伙,在14省抓获涉案犯罪嫌疑人37名,瓦解了一个完整的“写马-免杀-种马-洗钱-分赃”黑产犯罪链条。经调查,该案受害人达261名,涉案金额2000余万元。

重庆短信拦截木马盗窃案

5月27日,腾讯雷霆行动联合重庆警方成功破获了一起利用短信拦截木马实施网络盗窃、并将赃款通过电商平台以购物、充话费、购买彩票等方式套现的案件,抓捕犯罪嫌疑人3名。经调查,嫌疑人将短信拦截木马伪造成婚恋网站的交友短信,通过感染受害人手机截取网银验证码,修改其网络支付应用的密码,最后用受害人的银行卡去电商平台“套现”。

江苏扬州318钓鱼盗号案

5月30日,腾讯雷霆行动联合江苏扬州警方成功捣毁了一个通过租用韩国服务器架设钓鱼网站、盗取受害者的网络聊天帐号及密码的盗号团伙,在广东和广西抓获犯罪嫌疑人6名。经调查,2014年1月至5月期间,该团伙向下游的网络诈骗犯罪分子出售非法盗取的180935组网络聊天帐号及密码,获利157万余元。

广西南宁“村长”钓鱼案

9月23日,腾讯雷霆行动联合广西南宁警方捣毁了一个以聊天诈骗为目的,非法制作、贩卖钓鱼网站的诈骗团伙,涉及木马作者、钓鱼网站发布平台、诈骗团伙、取现团伙等一条完整的黑色产业链,在广西南宁及重庆市抓获绰号为“村长”的业内头号钓鱼发布者等犯罪嫌疑人6名,涉案金额30万元。

江苏苏州网络招嫖案

12月15日,腾讯雷霆行动联合江苏苏州警方在苏州、湖南常德、辽宁锦州、和广东湛江四地成功打掉一个通过网络代聊点进行招嫖和卖淫的团伙,抓获组织者、网络招嫖代聊手、失足女等涉案嫌疑人24名。经调查,该团伙通过三个设在锦州、湛江和深圳的三个代聊点进行网络招嫖,有专人负责带路、望风、处理纠纷、记账和汇款,形成了一个完整的网络招嫖黑色链条,造成了恶劣的社会影响。

成立全国首个“反信息诈骗联盟”

2013年12月,腾讯联合深圳市公安局反信息诈骗中心、中国互联网协会、银监局、电信运营商等逾100家企业和单位,成立全国首个“反信息诈骗联盟“,联盟至今共接到市民来电62万人次,直接劝阻1.84万名群众向诈骗账号转款达1.56亿元,为9776名受害者成功拦截涉案资金1.09亿元。

开放黑产数据库、大数据分析能力

腾讯通过开放黑产数据库及大数据分析能力,与多个互联网企业建立起有效的跨平台、跨行业、联动打击网络黑产通报机制。先后与滴滴打车、58同城、搜狗等互联网合作企业共享黑产数据库,通过联合登陆、互通黑产诈骗信息大数据等方式,形成一个涵盖即时通讯、搜索、电商网站、社区论坛等多平台的安全生态链。

2. 不断升级各平台和产品的打击策略

打击疯狂病毒:移动端日均查杀85万次

2014年,腾讯管家安全软件在移动端日均查杀病毒85万次,在移动端上发现超过100万个新增病毒包,13.7万个新增支付病毒包,在PC端上发现超过1.3亿个新增病毒。

腾讯反病毒实验室通过自研引擎能力、安全事件运营等技术力量,为用户提供从安全查杀能力、漏洞监测能力到病毒样本分析的全面标准化防护,为腾讯安全实力提供了强大技术支撑。

对抗社工诈骗:沉淀两大黑产数据库

经过一段时间的运营,腾讯团队在打击诈骗产业链的同时,沉淀出两套基于诈骗分子的强关联数据库,分别为“黑人库”、“高危群体库”。

其中黑人库,目的是通过大数据,实时分析黑产从业人员的动向,提前发现其作恶手法的特征,将对抗的准备工作前置化,实现早发现、早准备、早对抗的打击方式。

高危群体库,则收录了目前黑产各个产业链所主要针对的用户群体,以及具有较高潜在风险的用户群体,例如留学生、留学生家庭、企业财务人员等等。建立此库的主要目的是通过高危群体受害表现来及时发现坏人的新手法,同时针对这些高危群体实施更加严格的安全保护,再必要时定点推送安全通知等等。

后台数据显示,日均诈骗次数下降80%,欺诈类投诉较年初下降66%。”

社交产品:打击违规公众号8.5万个 删除500万色情招嫖信息

2014年,腾讯社交产品累计封停打击违规公众帐号8.5万个,拦截各类恶意营销广告、恶意链接500万个。在打击网络色情上,处置LBS服务3000万次,删除淫秽色情及招嫖类信息500万条。

注:LBS指基于移动终端用户的位置,为用户提供相应服务的一种增值业务。

对抗恶意图片信息:图像过滤体系

随着业务快速发展,海量消息中不可避免会出现各种不良信息,色情暴力、政治敏感、恶意广告等等,腾讯拥有专业的多媒体过滤团队,在持续的恶意图片对抗过程中,逐步建立起一套包含多维度行为分析、图片识别检测、配合人工审核及恶意种子库运营等多层次相融合的综合打击体系,有效覆盖超过80%的恶意图片。

对抗恶意网站:日均拦截恶意网址8000万个

2014年,腾讯互联网安全开放平台进一步升级,升级后的“安全云库”囊括了全球最大的风险URL网址数据库、全国最大的活跃电话号码库、以及全国首个恶意诈骗银行账号黑名单数据库。通过大数据分析,及时锁定网络黑产犯罪团伙,建成连接警方、金融机构、电子商务、运营商和安全厂商等多方平台的安全产业链。

腾讯“安全云库”日均拦截恶意网址8000万次,恶意电话号码91万个,拦截恶意呼叫1030万次。

对抗网络黑产:腾讯产品在升级

2014年,腾讯各产品针对打击网络黑色产业链、不断升级安全策略和安全功能。在即时通讯产品方面,微信和QQ均启用了帐号绑定手机的安全防护功能,手机接收验证码后即开启绑定功能,如用户更换设备登录则需要强制验证。当使用不常用的IP地址登录时,系统会自动判断当前的网络环境是否存在异常,提醒用户及时更改密码,减低帐号被盗的风险。用户在使用微信和QQ聊天时,系统会针对汇款、转账等关键词自动提示谨防网络诈骗,提醒用户转账前应先用电话确认对方的真实身份和真实信息。

微信支付和财付通对于可疑大额支付提供电话确认服务,并推出“你敢付,我敢赔”的全额赔付保障,确保微信支付资金安全。

  • 外呼:当支付存在异常且交易额较高,支付客服会进行外呼确认,避免大额资金被盗刷。
  • 风控:业界先进的技术结合腾讯的大数据平台,实时检测用户的支付行为是否异常,如发现异常会进行拦截或限额,以减少用户损失。
  • 赔付:当用户发生快捷支付的损失,用户能提供充足的证据,证实确实非用户本人操作的,可以申请赔付。

微信公众平台群发消息增加了二维码强制验证功能,运营者在群发操作前需要用绑定的个人微信号扫描二维码验证身份;在群发操作后会,系统会发送提醒到绑定的个人微信号,确保公众号信息安全下发。

编后语

互联网上的黑产势力因为违法成本小,获利大,使得他们不断针对新的安全策略出新招,绕过一些互联网公司的安全策略。应该说,无论哪家公司,整个互联网的安全团队与黑产势力其实是一种不停综合型对抗的过程,这在全球范围内都是一个挑战和难题。

移动终端存储了大量个人信息以及社交关系,网络帐号已经不是单纯的数字和字母,关联着网民的虚拟财产、银行财产、生活足迹、情感经历等等,其价值越来越重要,也被越来越多的不法分子盯上。

互联网最大的特点是信息流动,某些小型互联网公司因为资源有限,很难像大型互联网公司一样有效对抗数据泄露、黑帽爆库等情况。比如,A公司的用户信息泄露,然后用户在B公司上用同样是这个帐号和密码,那就有可能导致这和用户在网上一系列的账户和资金被盗。

任何单一的机构和企业,已经难以依靠传统的方式和措施有效地应对网络黑色产业链的挑战。我们只有转变防护模式,开放资源,相互合作,才能共建互联网安全生态。只要能够打击黑色产业链,保障用户的安全,腾讯愿意和任何一家企业、组织、团队进行合作。实际上,在2014年以来,我们和其他互联网公司在打击黑产方面就有互通有无,目前通过110.qq.com的企业举报通道,给业界的很多互联网公司都发放了企业ID,比如阿里、百度、金山、知道创宇等,他们发现的恶意帐号和黑产团伙,都可以在企业举报通道批量的提交和举报。我们进行分析和处理,如果证实有恶意行为,我们随即进行封停。对于有价值的黑产线索会反馈给到警方。如果一些企业或者组织掌握了恶意信息和黑产团伙线索,可以向我们举报。如果需要申请企业ID可以发送申请到 110@tencent.com。我们希望有更多的团队、公司能够加入我们的行动中来。

2015年,我们期待您的加入。

附件: 2014年腾讯雷霆行动网络黑色产业链年度报告-下

本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2015-05-22 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
大数据
全栈大数据产品,面向海量数据场景,帮助您 “智理无数,心中有数”!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档