关注金融，关注钓鱼黑产

白帽汇 2016-10-11 09:58 抢发第一评

孩子刚刚入学，某讯通发来提示关注孩子在校表现，点开链接稍后银行提示才知道原来中了木马程序，已被盗刷消费。温馨的周末，你正在和心爱的姑娘吃着晚餐，一个短信提示后不经意的操作让银行存款不翼而飞；海淘的正嗨，敲定下单，殊不知一开始已是一个错误，看似“正规”网站实际上是精心设计的诈骗陷阱。各种形式的金融黑产不胜枚举。

金融，和我们的工作生活息息相关，近年来一起起触目惊心的金融界信息安全事件，让我们对它既爱又怕。伪基站钓鱼是导致金融安全威胁与巨额损失的最主要因素，即使在法律和技术进行安全管控的情况下，由于成本低获利大，形势依然变的日益严峻。

作为中国反钓鱼网站联盟(APAC)成员、中国互联网网络安全威胁治理联盟首批成员单位，白帽汇对伪基站钓鱼黑色产业持续关注。针对金融领域，2016年已相继发布了2期“伪基站钓鱼黑产分析报告”。累计发现钓鱼网站9000+个，帐户信息1.5 万个，受害用户7万＋名，金额超过7.5亿人民币。银行是钓鱼黑产的重灾区，账号覆盖了国有银行、地区城商行，无一幸免，工商银行、建设银行、农业银行、邮政储蓄银行、中国银行首当其冲。

根据相关监控数据显示每天都有大量新增的钓鱼网站上线，这些钓鱼网站时效性短，部署搭建容易，成本低廉。保守估计，中国金融领域每年遭受伪基站钓鱼攻击导致的金额损失高达100亿元，并呈现逐年上升的态势。

白帽汇首席安全官邓焕表示：“国内对各类混乱的支付渠道缺乏有效安全监督，窃取用户姓名、证件号码、银行卡号、银行密码、手机密码后，黑产团伙一般通过银行、商户、第三方支付等渠道将用户卡中资金转走。”变现方式也是花样百出，一般开通快捷支付充值水电、话费、游戏币或者利用其他存在第三方支付转账接口和银行快捷支付漏洞等，将“四大件”变成现金后通过各种规避追查的手段与合伙人按比例分账，日均可以赚取10万元以上。

根据白帽汇第二季度《针对金融领域为基准钓鱼黑产分析报告》显示：钓鱼网站、帐户信息、受害用户及受害金额高幅度增加，保护个人信息安全是钓鱼黑产反制的重要一环。9月初国务院常务会通过《无线电管理条例》修订案，加大了对非法使用无线电设备等行为的监管和处罚力度。对利用“伪基站”进行电信诈骗等违反条例的行为，罚款上限由此前的5000元，最高拟提高至50万元，提高至100倍。

相关部门在健全法律的同时，还应注重提高公民的个人信息保护意识，加大信息安全知识宣传和普及教育。妥善管理好个人信息，比如保管好身份证、银行卡等个人信息载体，网银、网购的支付密码设置应尽量复杂，并且定期更换。在上网注册、登记填表时谨慎填写个人信息，网上购物、聊天时不要随意泄露、填写密码。当个人信息遭遇侵害时，应及时报警。

同时，保险、银行、融资等金融单位应制定严格的客户信息保密制度，加强对客户个人信息的保护力度。