Question

这里的钓鱼，不是指通过发送带有恶意链接或附件的邮件进行钓鱼，而是指电信诈骗手段中的钓鱼短信。不知道你有没有收到 10086、955XX 给你发的短信，如图 15-14 所示。

短信一般会提示积分兑换、系统升级等，需要用户访问一个特定的网站，而且这个网站域名还会有一定的相关性，当访问短信里面的域名的时候，基本上会要求访问者填写一些个人信息或者下载特定的 APP，图 15-15 是某个提示积分兑换的钓鱼网站。

图 15-14　某行钓鱼短信图片（来源于网上）

图 15-15　积分兑换类钓鱼网站

图 15-16 是某个要求填写个人信息的钓鱼网站。

这背后其实是一个完整的产业链，从钓鱼网站或恶意 APP 的开发，到伪基站发短信，再到后台数据整理，直到最后给受害者造成经济损失，往往都有明确的分工。如果等到发生了损失再来处理就会非常被动，各大公司往往都会投入精力在这块做文章，只有针对该企业的钓鱼成本高了，黑产才会将目标转移到其他企业。

15.4.1　钓鱼发现

如何尽可能提早地发现钓鱼网站呢？一种思路是在域名上下功夫，一种是和外部机构合作，比如在发给用户的短信上做文章等。

图 15-16　填写信息类钓鱼网站

1.钓鱼域名主动发现

钓鱼网站一般为了增加可信度，会注册一些跟企业相关的域名，如果我们能主动去爬与企业相关的域名，便有可能提前发现。

首先，整理一些关键字，以便生成需要爬取的域名。下面以钓鱼网站中的 wap.95588ccz.com 为例进行分析，wap 有时候可以改为 www 或者 m，95588ccz 则可以变化为 xx95588 或者 95588xx，这个 xx 可以取 1~4 位的字符，后面.com 则可能变化为.net、.org、.cn、.com.cn、.info、.tk 等等，每新多一个变化对应着生成的域名成指数增长。

其次，将生成的域名去请求类似 8.8.8.8 这样的 DNS 服务器查询，由于涉及大量的域名请求，所以建议在境外部署多台 VPS 进行分布式请求，一来提升效率，二来防止请求过多被限制。

最后，将解析出来的域名，进行适当的黑白名单的过滤处理后，再报送到后台，便于后续跟进处置。

如果某天通过其他渠道发现有新的钓鱼网站域名，又可以针对性地改进上面这个过程。

2.外部合作发现

有时候单单依靠自身的力量是不够的，需要合理使用外部力量来与伪基站钓鱼黑产链条进行对抗。

我们知道用户的手机上一般都会安装 XX 管家、XX 卫士、XX 浏览器之类的软件，特别是管家类的应用一般权限比较大，比如读取短信内容。腾讯、360 有着海量的终端用户，所以通过分析短信内容，就可以知道哪些内容可能是钓鱼短信。

还有一些公司具备一些网络流量优势，能监测到通过仿冒页面、木马病毒、垃圾短信、垃圾邮件等方式传播和实施的、针对用户单位的门户网站等在线服务系统的网络钓鱼欺诈事件。再深入一点，钓鱼网站一般都是明文传输让用户填卡号密码，如果有资源的公司对这些流量做进一步的分析，甚至能发现哪些用户可能已经受害。

有一些传统的安全厂商，通过蜜罐系统、爬网系统、现有部署应用的产品反馈、客户查询、第三方运营商和样本搜集机构交换等方式，获得一些网址信息，再结合一些自已的分析算法，如网址相似度匹配、内容指纹匹配、自动进行机器学习、DNS 关联分析等技术，也能够识别钓鱼网站。

在实际工作中，可能需要与多家外部机构合作，有的提供的是接口，有的可能仅能提供邮件，相互提供的数据可能还存在重复，所以我们需要有一套系统将这些信息进行汇总，利用一些技术手段进行截图，进而做图片相似性判断，便于接下来的应对处置。

15.4.2　钓鱼处置

不管是自己爬到的还是外部合作机构发现的，都要对钓鱼进行合理的处置，处置手段一般包括以下几种：

·及时通知受害者，以减少损失。

·关闭域名解析或封禁域名。

·对钓鱼网站进行反制。

第一种就不多说了，如果能加速这个发现、提醒过程，相信会有更多用户能避免损失。

1.关闭或封禁钓鱼网站

一般企业是不具备能力去关闭钓鱼网站的，所以这个时候都需要找外部合作机构，比如 Cncert、RSA 等；腾讯、360 等在移动终端上提供了安全防护类功能，所以也可以合作，将钓鱼网站信息反馈给对方，这样当用户访问恶意的链接的时候，会被手机上的安全防护功能拦截。

由于这些都涉及与外部交互，只靠人工操作不仅烦琐而且效率不高，当钓鱼网站大量出现的时候，就显得力不从心了。此时上面提到的平台就可以发挥其功效了，有大量的输入源，有后端的爬钓鱼网站页面自动截屏和相似性对比，更应该有与各系统自动对接，自动完成封禁的流程，比如在对方网站上提交数据，或者发邮件到对方特定邮箱等。

当然，关闭或封禁钓鱼网站没那么快，可能还涉及要与一些运营商或 DNS 服务提供商的沟通协调等，所以我们还会有一些针对性的反制措施。

2.对钓鱼网站进行反制

对钓鱼网站进行反制的目的是尽可能地减少用户损失，一般有几种操作：

·入侵或逆向拿数据。

·大量写虚假数据。

·DDoS 攻击。

·通过调整业务逻辑解决。

钓鱼网站基本上都是采用相同的模板生成的，安全性不高或者都有一些后台供访问（不排除开发者留一手），如果搞定一个钓鱼网站，以后遇到类似的基本上都能搞定。以下为安全牛公布的某钓鱼网站后台结果数据，如图 15-17 所示。

图 15-17　钓鱼网站后台数据（来源于安全牛）

钓鱼网站提供恶意 APP 下载，通过逆向就可以找到一些类似于手机号（一般用来转发特定验证码短信）、邮箱账号密码（一般用来记录用户的通讯录、手机短信等）的信息，登录这些邮箱往往也会看到一些吓人的数据。拿到这些数据后，可以提供给业务部门，让他们通知受害用户，避免遭受损失。

除了直接入侵或逆向，还可以直接批量提交虚假数据。根据笔者经验，很多钓鱼网站根本不会校验用户输入的卡号到底是不是真实的卡号，所以可以通过脚本生成大量卡号密码提交到钓鱼网站，可以给对方增加一些工作量，也为我们争取更多的时间。有些钓鱼网站开发得不好，甚至在写入垃圾数据过多时，自己就崩溃了。

还有一招就是 DDoS，在境外申请 VPS 对钓鱼网站进行流量压制，让用户访问变得非常慢或者无法访问。建议不要轻易使用，或者使用时讲究技巧，打打停停，一是怕 VPS 提供商发现后导致 VPS 不可用，二是如果招惹黑产反过来 DDoS 就有点麻烦了。

有时候依靠单纯的技术对抗解决不了的问题，但是说不定在业务场景里就能轻易解决，比如账户盗用场景里的二次认证，钓鱼网站搞到了用户密码也没法交易，不失为一个很好的方法。随着国家对电信诈骗打击越来越严厉，伪基站钓鱼有明显减少的现象，大环境好转，很多问题就变得不是问题了。