伪造网页和恶意链接类电信诈骗手法分析

秦玉海，柳树旺，刘路强

（中国刑事警察学院，辽宁 沈阳 110854）

网络迅速发展的同时，漏洞也随之增多，被犯罪分子利用的机会就越来越多。在电信诈骗类案件中，犯罪分子往往编造各种谎言迷惑受害者。例如自称是某市公安局办案人员，谎称受害者涉嫌洗钱，准确无误的描述出受害者个人信息，使受害者信以为真，随后受害者按照犯罪分子提供的网址进行登录后，发现含有一张带有自己准确信息的“通缉令”，紧接着犯罪分子以“验资”开脱罪名为由，要求受害人将钱转入犯罪分子提供的账户，致使受害者被骗。

又如犯罪分子通过群发 “淘宝”、“奔跑吧兄弟”等虚假信中奖信息，[1]诱使受害者登录到钓鱼网站，填写个人信息领奖，然后犯罪分子冒充客服人员、法院工作人员、公安机关人员等对受害者进行恐吓、利诱，从而对受害者实施进一步的诈骗，让受害者转账或者提供银行账户信息等。

受害者之所以如此轻易上当受骗，是因为犯罪分子除了利用大众的趋利避害的心理外，[2]还通过让受害者输入提前设置好的链接、IP或者点击捆绑木马的链接，致使受害者掉入了犯罪分子设置好的陷阱中。

本文通过对伪造网页和恶意链接类电信诈骗手法进行分析，从而可使人民群众有效地识别虚假信息，防止上当受骗。

一、伪造网页类电信诈骗手法分析

伪造网页类电信诈骗是通过伪造正规网站的网页，迷惑受害者从而进行诈骗的一种犯罪。犯罪分子通过不法的渠道获取受害者的个人信息，[3]此类受害者往往是生活比较富裕的人群，如企业高管、个体经营者等。本文以犯罪分子谎称受害者被通缉为例，分析犯罪分子的作案手段，从而找出虚假信息与真实信息的不同之处。

犯罪分子诱使受害者输入指定的链接或者IP，经过跳转后弹出的界面，如图1所示（附后）。

紧接着犯罪分子会要求受害者点击右上方的浮动窗口中的“犯罪通缉追查系统”，最终会弹出一个带有受害者身份信息的“通缉令”界面。

图1 输入IP后跳转的界面

图1界面中右上角的浮动窗口在真实的中华人民共和国最高人民检察院官网的界面中是不存在的。真实网页的URL：http://www.spp.gov.cn/也变成了“中华人民共和国最高人民检察院”几个简单的字符,且犯罪分子提供的IP并不是中华人民共和国最高人民检察院官网的IP。本文以百度首页为背景，将犯罪分子的手法还原，进行进一步分析。

（一）网页源码和相关文件的获取

这些虚假的界面之所以能够呈现在受害者面前，犯罪分子是通过网络爬虫或者其他方法将原网页的代码以及网页中的图片文件下载下来，通过加入浮动窗口的代码，然后再编译运行，最终得到含有虚假信息的网页。网络爬虫（又被称为网页蜘蛛，网络机器人），是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。本文中实验在Sublime Text环境下进行，Sublime Text是一个代码编辑器，也是HTML和散文先进的文本编辑器，支持多种编程语言的语法高亮、拥有优秀的代码自动完成功能，还拥有代码片段（Snippet）的功能，可以将常用的代码片段保存起来，在需要的时候调用。同时，Sublime Text包含了python插件，基于python语言的网络爬虫可以在Sublime Text编译器中得到实现。实现爬虫功能的部分代码如图2所示。图3和图4是获取的百度首页的部分源代码和部分图片图标等信息。

图2 网络爬虫部分代码

图3 百度首界面部分代码

图4 百度首页上的图片

（二）网页的发布

犯罪分子在获取网页的源代码后会添加一些实现诈骗功能的代码，通过将获取的网页源代码经过修改，再次编译运行，重新发布，就可以得到一个含有虚假诈骗信息的界面，从而达到迷惑受害者的目的。本实验中通过对百度首界面的源代码进行修改，然后加入实现浮动窗口的代码，经过编译运行后，实验结果如图5所示，网页的左上方多出了“测试用虚假网页”的字样，这里也可以设计成其他迷惑受害者的信息，或者可以添加实现跳转功能的代码，诱使受害者点击，跳转后得界面同样是一个虚假的界面，同样是对原网页的代码进行了修改，将网页的文件换成犯罪分子需要的文件，使受害者信以为真。

图5 重新编译运行结果

（三）识破骗局与预防诈骗

原网页如图6所示，修改编译后的网页如图7所示，通过对比修改前后的网页，找到两者之间的区别，可以有效识别含有虚假信息的界面，因此可以及时识破骗局，预防上当受骗。

图6 原网页

图7 修改编译后的网页

1.域名和IP比对

一般网站的域名只有一个，犯罪分子可以伪造出虚假的网页，但是很难伪造域名，通过对比正规网站的域名和犯罪分子提供的域名，达到识破骗局的目的。由于租赁域名需要犯罪成本，因此，犯罪分子为节约成本，犯罪分子有时会直接提供IP地址给受害者，受害者通过IP地址跳转到犯罪分子提前设置好的虚假页面内。一般情况下犯罪分子为了逃避公安机关的打击往往会使用境外的IP地址，因此，可以在百度搜索引擎中输入犯罪分子提供的IP，如果IP地址对应的物理地址是在境外，那么IP地址所链接的网页很有可能是一个含有诈骗信息的网页。此外，可以通过使用DOS命令下的ping指令，查看真实网址的IP地址，或者通过站长工具查看真实网址的IP地址等，通过对比查询到的IP和犯罪分子提供的IP，也可以帮助受害者及时地识破骗局。

2.界面布局、内容发生变化

通过对比原网页的布局、内容与含有虚假信息的网页，发现他们之间存在着不同之处，在对比图6和图7可以发现，网页中间的“花”的图片被替换成了“动物”的图片，在真实案例中可以做成其他的迷惑受害者的信息，甚至含有其他的恶意链接，如果受害者点击了此类含有恶意链接的信息界面，受害者会进一步上当受骗。通过对比观察网页中界面布局、内容的变化可以识破骗局。

除此之外，原网站的数据库文件通过网络爬虫等手段很难得到，因此，犯罪分子伪造的网页虽然在界面上有相同的地方，但是网页中有些功能无法实现，因为获取的网页的框架虽然一样，但是很难获取到数据库中的数据。因此，对于需要访问数据库中数据的功能是无法实现的，访问时会无法访问。通过此方法也可以识破骗局。

二、含恶意链接的短信诈骗手法分析

随着人们认知水平的提高，短信中的语言和内容日新月异，不断变化，甚至出现了“公证处通知”等的字样，这些仅仅是诈骗短信的冰山一隅。比较常见的案例是短信中含有一个链接，这些来自“10086”、“95533”或者其他官方的短信是犯罪分子利用改号软件发送的短信。[4]如图8所示（附后），在短信中犯罪分子会编造各种理由诱骗受害者点击链接，这些链接有时会捆绑木马程序，受害者会在点击后自动下载安装已经捆绑的木马程序，或者点击链接后会跳转到一个钓鱼网站，诱使受害者输入账号、密码等个人信息。本文通过实验，将犯罪分子其中的一种手法进行分析并还原。

图8 含有恶意链接的短信

（一）实验环境与工具

实现链接中捆绑恶意程序的方法和功能有很多种，本实验是在kali-linux环境下利用Shellter工具实现软件的捆绑，Shellter是一款捆绑和测试的linux工具，可以方便获得目标主机会话。在Kali-linux环境下通过命令apt install shellter安装。安装完成后输入命令shellter启动捆绑软件shellter。运行结果如图9所示。

（二）母板程序设置

母板程序是诱导目标主机安装的程序，本次实验使用的是无危害的putty程序。启动shellter，并添加所要捆绑的母板程序putty程序所在目录，回车开始运行，运行结果如图10所示出现七种连接方式。

其中第一项Meterpreter_Reverse_TCP，意思是建立一个基于TCP的反向连接会话，在受害者运行木马程序时，受害者就会向攻击者发送一个提供shell的会话请求，同时在攻击者主机上弹出一个会话。第四项是建立一个基于TCP的正向连接会话，意思是受害者在运行了木马程序时就会在受害者的主机上弹出一个会话。在此实验中选择第四项的正向连接。

（三）诱导页面设计

编写index.html文件，使受害者在点击此页面中的链接时会自动执行母板程序的下载，这样可以直接在受害者主机上下载程序，编写的html代码如下：

在命令行中输入ipconfig查看本机的ip，实验然后在另一台装有windows操作系统的主机上浏览器中输入HTTP：//攻击者IP/index.asp，并点击弹出的“text”图标，结果会自动弹出下载捆绑程序putty的会话。如果受害者不小心点击了链接或者“运行”就会自动在受害者主机上下载捆绑的程序。实验结果如图11所示。

（四）预防措施

图9 启动shellter

图10 七种连接方式

图11 实验结果

当收到含有可疑链接的短信时，不要轻易地点击短信中的链接。[5]首先要验证链接的安全性，验证的方法有：1.通过电脑管家中的诈骗信息查询功能，验证链接的安全性。2.登录360公司和公安机关合力打造的猎网平台，网址为：https://110.360.cn，输入可疑的链接，同样可以达到验证链接安全性的效果。

图12 360猎网平台查询功能

电信诈骗一般是犯罪分子冒充各种机关单位利用人们趋利避害的心理通过引诱、恐吓、煽情等手段,利用电话、短信、网络等通信渠道诈骗受害者。要防范诈骗,首先要拒绝诱惑,认清恐吓,冷对煽情,要核实信息真伪。所有的电信诈骗万变不离其宗，都是向受害者呈现虚构的含有虚假信息的界面，最终要求受害者提供账号、密码或者要求直接向犯罪分子转账。本文通过对电信诈骗中的伪造网页，设置虚假信息的示例和短信含有的恶意链接的案例进行分析，通过实验的方式将犯罪分子的诈骗手段还原，同时也针对电信诈骗中的伪造网页和恶意链接提出了辨别诈骗信息和预防诈骗的方法。