秦玉海，柳樹旺，劉路強

（中國刑事警察學(xué)院，遼寧 沈陽 110854）

網(wǎng)絡(luò)迅速發(fā)展的同時，漏洞也隨之增多，被犯罪分子利用的機會就越來越多。在電信詐騙類案件中，犯罪分子往往編造各種謊言迷惑受害者。例如自稱是某市公安局辦案人員，謊稱受害者涉嫌洗錢，準(zhǔn)確無誤的描述出受害者個人信息，使受害者信以為真，隨后受害者按照犯罪分子提供的網(wǎng)址進行登錄后，發(fā)現(xiàn)含有一張帶有自己準(zhǔn)確信息的“通緝令”，緊接著犯罪分子以“驗資”開脫罪名為由，要求受害人將錢轉(zhuǎn)入犯罪分子提供的賬戶，致使受害者被騙。

又如犯罪分子通過群發(fā) “淘寶”、“奔跑吧兄弟”等虛假信中獎信息，[1]誘使受害者登錄到釣魚網(wǎng)站，填寫個人信息領(lǐng)獎，然后犯罪分子冒充客服人員、法院工作人員、公安機關(guān)人員等對受害者進行恐嚇、利誘，從而對受害者實施進一步的詐騙，讓受害者轉(zhuǎn)賬或者提供銀行賬戶信息等。

受害者之所以如此輕易上當(dāng)受騙，是因為犯罪分子除了利用大眾的趨利避害的心理外，[2]還通過讓受害者輸入提前設(shè)置好的鏈接、IP或者點擊捆綁木馬的鏈接，致使受害者掉入了犯罪分子設(shè)置好的陷阱中。

本文通過對偽造網(wǎng)頁和惡意鏈接類電信詐騙手法進行分析，從而可使人民群眾有效地識別虛假信息，防止上當(dāng)受騙。

一、偽造網(wǎng)頁類電信詐騙手法分析

偽造網(wǎng)頁類電信詐騙是通過偽造正規(guī)網(wǎng)站的網(wǎng)頁，迷惑受害者從而進行詐騙的一種犯罪。犯罪分子通過不法的渠道獲取受害者的個人信息，[3]此類受害者往往是生活比較富裕的人群，如企業(yè)高管、個體經(jīng)營者等。本文以犯罪分子謊稱受害者被通緝?yōu)槔治龇缸锓肿拥淖靼甘侄?，從而找出虛假信息與真實信息的不同之處。

犯罪分子誘使受害者輸入指定的鏈接或者IP，經(jīng)過跳轉(zhuǎn)后彈出的界面，如圖1所示（附后）。

緊接著犯罪分子會要求受害者點擊右上方的浮動窗口中的“犯罪通緝追查系統(tǒng)”，最終會彈出一個帶有受害者身份信息的“通緝令”界面。

圖1 輸入IP后跳轉(zhuǎn)的界面

圖1界面中右上角的浮動窗口在真實的中華人民共和國最高人民檢察院官網(wǎng)的界面中是不存在的。真實網(wǎng)頁的URL：http://www.spp.gov.cn/也變成了“中華人民共和國最高人民檢察院”幾個簡單的字符,且犯罪分子提供的IP并不是中華人民共和國最高人民檢察院官網(wǎng)的IP。本文以百度首頁為背景，將犯罪分子的手法還原，進行進一步分析。

（一）網(wǎng)頁源碼和相關(guān)文件的獲取

這些虛假的界面之所以能夠呈現(xiàn)在受害者面前，犯罪分子是通過網(wǎng)絡(luò)爬蟲或者其他方法將原網(wǎng)頁的代碼以及網(wǎng)頁中的圖片文件下載下來，通過加入浮動窗口的代碼，然后再編譯運行，最終得到含有虛假信息的網(wǎng)頁。網(wǎng)絡(luò)爬蟲（又被稱為網(wǎng)頁蜘蛛，網(wǎng)絡(luò)機器人），是一種按照一定的規(guī)則，自動地抓取萬維網(wǎng)信息的程序或者腳本。本文中實驗在Sublime Text環(huán)境下進行，Sublime Text是一個代碼編輯器，也是HTML和散文先進的文本編輯器，支持多種編程語言的語法高亮、擁有優(yōu)秀的代碼自動完成功能，還擁有代碼片段（Snippet）的功能，可以將常用的代碼片段保存起來，在需要的時候調(diào)用。同時，Sublime Text包含了python插件，基于python語言的網(wǎng)絡(luò)爬蟲可以在Sublime Text編譯器中得到實現(xiàn)。實現(xiàn)爬蟲功能的部分代碼如圖2所示。圖3和圖4是獲取的百度首頁的部分源代碼和部分圖片圖標(biāo)等信息。

圖2 網(wǎng)絡(luò)爬蟲部分代碼

圖3 百度首界面部分代碼

圖4 百度首頁上的圖片

（二）網(wǎng)頁的發(fā)布

犯罪分子在獲取網(wǎng)頁的源代碼后會添加一些實現(xiàn)詐騙功能的代碼，通過將獲取的網(wǎng)頁源代碼經(jīng)過修改，再次編譯運行，重新發(fā)布，就可以得到一個含有虛假詐騙信息的界面，從而達到迷惑受害者的目的。本實驗中通過對百度首界面的源代碼進行修改，然后加入實現(xiàn)浮動窗口的代碼，經(jīng)過編譯運行后，實驗結(jié)果如圖5所示，網(wǎng)頁的左上方多出了“測試用虛假網(wǎng)頁”的字樣，這里也可以設(shè)計成其他迷惑受害者的信息，或者可以添加實現(xiàn)跳轉(zhuǎn)功能的代碼，誘使受害者點擊，跳轉(zhuǎn)后得界面同樣是一個虛假的界面，同樣是對原網(wǎng)頁的代碼進行了修改，將網(wǎng)頁的文件換成犯罪分子需要的文件，使受害者信以為真。

圖5 重新編譯運行結(jié)果

（三）識破騙局與預(yù)防詐騙

原網(wǎng)頁如圖6所示，修改編譯后的網(wǎng)頁如圖7所示，通過對比修改前后的網(wǎng)頁，找到兩者之間的區(qū)別，可以有效識別含有虛假信息的界面，因此可以及時識破騙局，預(yù)防上當(dāng)受騙。

圖6 原網(wǎng)頁

圖7 修改編譯后的網(wǎng)頁

1.域名和IP比對

一般網(wǎng)站的域名只有一個，犯罪分子可以偽造出虛假的網(wǎng)頁，但是很難偽造域名，通過對比正規(guī)網(wǎng)站的域名和犯罪分子提供的域名，達到識破騙局的目的。由于租賃域名需要犯罪成本，因此，犯罪分子為節(jié)約成本，犯罪分子有時會直接提供IP地址給受害者，受害者通過IP地址跳轉(zhuǎn)到犯罪分子提前設(shè)置好的虛假頁面內(nèi)。一般情況下犯罪分子為了逃避公安機關(guān)的打擊往往會使用境外的IP地址，因此，可以在百度搜索引擎中輸入犯罪分子提供的IP，如果IP地址對應(yīng)的物理地址是在境外，那么IP地址所鏈接的網(wǎng)頁很有可能是一個含有詐騙信息的網(wǎng)頁。此外，可以通過使用DOS命令下的ping指令，查看真實網(wǎng)址的IP地址，或者通過站長工具查看真實網(wǎng)址的IP地址等，通過對比查詢到的IP和犯罪分子提供的IP，也可以幫助受害者及時地識破騙局。

2.界面布局、內(nèi)容發(fā)生變化

通過對比原網(wǎng)頁的布局、內(nèi)容與含有虛假信息的網(wǎng)頁，發(fā)現(xiàn)他們之間存在著不同之處，在對比圖6和圖7可以發(fā)現(xiàn)，網(wǎng)頁中間的“花”的圖片被替換成了“動物”的圖片，在真實案例中可以做成其他的迷惑受害者的信息，甚至含有其他的惡意鏈接，如果受害者點擊了此類含有惡意鏈接的信息界面，受害者會進一步上當(dāng)受騙。通過對比觀察網(wǎng)頁中界面布局、內(nèi)容的變化可以識破騙局。

除此之外，原網(wǎng)站的數(shù)據(jù)庫文件通過網(wǎng)絡(luò)爬蟲等手段很難得到，因此，犯罪分子偽造的網(wǎng)頁雖然在界面上有相同的地方，但是網(wǎng)頁中有些功能無法實現(xiàn)，因為獲取的網(wǎng)頁的框架雖然一樣，但是很難獲取到數(shù)據(jù)庫中的數(shù)據(jù)。因此，對于需要訪問數(shù)據(jù)庫中數(shù)據(jù)的功能是無法實現(xiàn)的，訪問時會無法訪問。通過此方法也可以識破騙局。

二、含惡意鏈接的短信詐騙手法分析

隨著人們認(rèn)知水平的提高，短信中的語言和內(nèi)容日新月異，不斷變化，甚至出現(xiàn)了“公證處通知”等的字樣，這些僅僅是詐騙短信的冰山一隅。比較常見的案例是短信中含有一個鏈接，這些來自“10086”、“95533”或者其他官方的短信是犯罪分子利用改號軟件發(fā)送的短信。[4]如圖8所示（附后），在短信中犯罪分子會編造各種理由誘騙受害者點擊鏈接，這些鏈接有時會捆綁木馬程序，受害者會在點擊后自動下載安裝已經(jīng)捆綁的木馬程序，或者點擊鏈接后會跳轉(zhuǎn)到一個釣魚網(wǎng)站，誘使受害者輸入賬號、密碼等個人信息。本文通過實驗，將犯罪分子其中的一種手法進行分析并還原。

圖8 含有惡意鏈接的短信

（一）實驗環(huán)境與工具

實現(xiàn)鏈接中捆綁惡意程序的方法和功能有很多種，本實驗是在kali-linux環(huán)境下利用Shellter工具實現(xiàn)軟件的捆綁，Shellter是一款捆綁和測試的linux工具，可以方便獲得目標(biāo)主機會話。在Kali-linux環(huán)境下通過命令apt install shellter安裝。安裝完成后輸入命令shellter啟動捆綁軟件shellter。運行結(jié)果如圖9所示。

（二）母板程序設(shè)置

母板程序是誘導(dǎo)目標(biāo)主機安裝的程序，本次實驗使用的是無危害的putty程序。啟動shellter，并添加所要捆綁的母板程序putty程序所在目錄，回車開始運行，運行結(jié)果如圖10所示出現(xiàn)七種連接方式。

其中第一項Meterpreter_Reverse_TCP，意思是建立一個基于TCP的反向連接會話，在受害者運行木馬程序時，受害者就會向攻擊者發(fā)送一個提供shell的會話請求，同時在攻擊者主機上彈出一個會話。第四項是建立一個基于TCP的正向連接會話，意思是受害者在運行了木馬程序時就會在受害者的主機上彈出一個會話。在此實驗中選擇第四項的正向連接。

（三）誘導(dǎo)頁面設(shè)計

編寫index.html文件，使受害者在點擊此頁面中的鏈接時會自動執(zhí)行母板程序的下載，這樣可以直接在受害者主機上下載程序，編寫的html代碼如下：

在命令行中輸入ipconfig查看本機的ip，實驗然后在另一臺裝有windows操作系統(tǒng)的主機上瀏覽器中輸入HTTP：//攻擊者IP/index.asp，并點擊彈出的“text”圖標(biāo)，結(jié)果會自動彈出下載捆綁程序putty的會話。如果受害者不小心點擊了鏈接或者“運行”就會自動在受害者主機上下載捆綁的程序。實驗結(jié)果如圖11所示。

（四）預(yù)防措施

圖9 啟動shellter

圖10 七種連接方式

圖11 實驗結(jié)果

當(dāng)收到含有可疑鏈接的短信時，不要輕易地點擊短信中的鏈接。[5]首先要驗證鏈接的安全性，驗證的方法有：1.通過電腦管家中的詐騙信息查詢功能，驗證鏈接的安全性。2.登錄360公司和公安機關(guān)合力打造的獵網(wǎng)平臺，網(wǎng)址為：https://110.#，輸入可疑的鏈接，同樣可以達到驗證鏈接安全性的效果。

圖12 360獵網(wǎng)平臺查詢功能

電信詐騙一般是犯罪分子冒充各種機關(guān)單位利用人們趨利避害的心理通過引誘、恐嚇、煽情等手段,利用電話、短信、網(wǎng)絡(luò)等通信渠道詐騙受害者。要防范詐騙,首先要拒絕誘惑,認(rèn)清恐嚇,冷對煽情,要核實信息真?zhèn)?。所有的電信詐騙萬變不離其宗，都是向受害者呈現(xiàn)虛構(gòu)的含有虛假信息的界面，最終要求受害者提供賬號、密碼或者要求直接向犯罪分子轉(zhuǎn)賬。本文通過對電信詐騙中的偽造網(wǎng)頁，設(shè)置虛假信息的示例和短信含有的惡意鏈接的案例進行分析，通過實驗的方式將犯罪分子的詐騙手段還原，同時也針對電信詐騙中的偽造網(wǎng)頁和惡意鏈接提出了辨別詐騙信息和預(yù)防詐騙的方法。