CNCERT：2018年6月通过“案件信息查询”类网站实施网络诈骗的情况分析

2018年1月，CNCERT发布《关于通过一类仿冒网站实施网络诈骗的通报预警及情况分析》。其中对一类通过仿冒“最高检”网站实施网络诈骗的情况进行了通报预警和情况分析。近期，CNCERT发现此类网站在互联网上屡见不鲜，以下是CNCERT对2018年6月此类诈骗方式最新情况的研判分析。

2018年6月，CNCERT通过抽样监测发现如下情况：

• 监测发现此类诈骗网站154个，其中149个网站直接通过IP地址访问。

• 154个诈骗网站承载在152个网站服务器IP上，其中134个网站服务器IP位于美国，17个IP位于韩国，1个IP位于德国。

• 访问并提交“案件编号”、“身份证号”等相关信息的受影响用户中，IP地址位于河南、广东、北京、湖南、江苏等省市的用户IP最多。

• 提交了银行卡号等敏感信息的实质受害用户中，甘肃、湖南、广西、四川、湖北的用户最多。

• 实质受害用户的年龄段以21-40岁为主，占到了67%以上，性别以女性为主，占到了92%以上。

以下是2018年月6月的详细分析情况。

近期活跃的此类诈骗网站页面情况分析

如2018年1月份的通报预警所述，诈骗分子通过在互联网上泄露的用户个人（以下简称“受害人”或“受害者”）隐私信息，拨打受害人电话，通知其涉及某类型案件，需要到“最高检网站”上进行“案件清查”。在受害者在仿冒网站上看到相关假的案件信息后，诈骗分子即通过话术一步步地诱骗受害人输入个人银行卡信息，甚至下载木马软件，对受害人的手机、电脑进行远程控制，盗取受害人电脑上的敏感信息。

2018年6月，CNCERT抽样监测发现互联网流行的此类诈骗网站页面主要集中在以下四种类型，分别如图1-图4所示。

图1：“案件编号”登录方式1

图2：“案件编号”登录方式2

图3：“案件编号”登录方式3

图4：直接仿冒首页方式

目前，互联网上最为常见的此类诈骗页面如图1-图2所示，受害人接收到的网页链接直接打开后仅是一个简单的登录框，使用诈骗人提供的“案件编号”“登录查询”，才可进入仿冒“最高检”网站的页面进行进一步的“案件信息查询”或“银行卡信息提交”等页面。另一类显少出现的诈骗页面如图3所示，此类页面直接打开即有简单的欺诈内容及“案件信息查询”入口。此外，也有如图4所示，页面打开后不需要“案件编号”即可以看到仿冒“最高检”网站的欺诈页面。观察这些诈骗网站的页面内容，可以发现基本保持与真实的“最高检”网站相同的更新同步。

使用诈骗人提供的“案件编号”及受害人身份证号在此类网站上进行“案件信息查询”后，如图5所示，即可获取到一个虚假的“批捕令”页面，带有受害人的照片、姓名、身份证等信息，具有极大的欺骗性。

图5：使用某“案件编号”进行“案件查询”后展示的“批捕令”页面

此类网站大多较为活跃，诈骗人在后台会持续新增潜在的受害人信息，生成相应的虚假的“批捕令”。如图6所示，某诈骗网站后台近几日持续有新的“案件”添加。

图6：某诈骗网站后台的已添加“案件”情况

部分潜在受害用户也提交了其个人的真实敏感信息，图7所示即是该诈骗网站后台获取到的多个用户银行卡信息的相关情况。

图7：某诈骗网站后台获取到的受害人银行卡信息

此类诈骗网站资源分析

CNCERT对受害者在此类诈骗网站上提交敏感信息的高危行为进行抽样监测。2018年6月，共发现此类活跃的诈骗网站154个，其中通过IP地址直接访问的诈骗网站有149个，通过域名访问的仅有5个，诈骗分子通过此种方式有效规避了通过域名注册信息被轻易溯源的风险。

154个网站共承载在152个网站服务器上，图8为此类诈骗网站服务器IP按国家和地区分布情况，其中位于美国的服务器最多，其次是韩国和德国。

图8：2018年6月此类诈骗网站的服务器IP地理位置分布

与2017年12月监测到的情况相似，此类诈骗网站的服务器IP地址呈现地址段聚集特点，疑似为网络诈骗团伙批量购买，用于集中诈骗。经统计，2018年6月份监测发现的此类活跃钓鱼网站涉及的152个网站服务器IP，共涉及到65个C类段地址，以及16个B类段地址。

图9为涉及的B类地址段情况，可以看到104.224.X.X以及104.201.X.X等地址段承载的此类型仿冒网站最多，与2017年12月份情况相似。

图9：2018年6月此类诈骗网站的服务器IP地理位置分布

此类诈骗网站受影响用户分析

CNCERT抽样监测发现，有大量的用户访问并通过“案件编号”登录了此类钓鱼网站，其中提交了个人敏感的受害人比率很大。

2018年6月，抽样监测发现通过“案件编号”登录此类钓鱼网站的用户IP地址数量有1489个，地理位置分布情况如图10所示。从图中可以看出，河南登陆过此类仿冒网站的IP地址最多，其次是广东、北京、湖南、江苏等地的IP地址。

图10：2018年6月在此类诈骗网站上提交相关信息的IP地理位置分布

部分IP在访问此类网站后，会提交身份证、银行卡等相关敏感信息。如图11所示，甘肃、湖南、广西、四川、湖北等地提交敏感信息的用户最多。

图11：2018年6月在此类诈骗网站上提交敏感信息的受害人IP地理分布

通过对提交的敏感信息分析，可对受害人的特点进行分析。经分析，受害者覆盖了18-73岁的人群，如图12所示，其中21-40岁区间内占到了67%以上。

图12：2018年6月在此类钓鱼网站上提交敏感信息的受害人年龄段分布

受害者性别如图13所示，女性占比高达92%以上，说明诈骗人倾向于向女性实施定向诈骗，且女性更易受骗。

图13：2018年6月在此类钓鱼网站上提交银行卡信息的受害人性别分布

网络诈骗及信息泄露事件报送渠道

2018年的全国网络安全和信息化工作会议上，习总书记指出要“依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为，切断网络犯罪利益链条，持续形成高压态势，维护人民群众合法权益。要深入开展网络安全知识技能宣传普及，提高广大人民群众网络安全意识和防护技能。”

近期以来，CNCERT持续开展各类网络诈骗及信息泄露事件的监测和预警分析。请互联网企业、安全企业、广大网民积极提供相关线索，向CNCERT报送涉及网络诈骗及信息泄露的相关事件，CNCERT将基于相关线索持续跟踪监测，并向互联网公众积极预警相关的网络诈骗及信息泄露手法，力图减少网民的相关经济损失。

声明：本文来自国家互联网应急中心CNCERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。