据新闻报道,吉林长春发生了一起典型的电信网络诈骗案件。受害人孔女士接到一通自称“短视频平台客服”的电话,对方声称其“误开通了直播服务,如不关闭将每月自动扣除1000元”。在对方的引导下,孔女士点击了一个陌生链接,并下载安装了一款手机应用。安装后,她的手机屏幕随即黑屏——设备已被境外诈骗分子通过远程控制软件完全接管。
在失去对手机控制权的短时间内,攻击者登录其手机银行,将其账户内的资金兑换成4.7万美元,并试图汇往印度尼西亚。万幸的是,银行的风险监控系统捕捉到了这笔异常跨境交易,在其处于“落地待处理”状态时发出了预警。当地反诈中心接到银行通报后,迅速联系孔女士家属,并指导其将手机SIM卡拔出、断开网络,从而切断了攻击者的控制链路。同时,警方协调银行启动紧急止付程序,最终成功拦截了这笔资金。
这起案件并非依靠复杂的0day漏洞或高级持续性威胁(APT)技术,而是精准利用合法的远程控制工具与精心设计的认知心理话术。它清晰揭示了当前网络钓鱼攻击的一个重要演进方向:从窃取凭证的“信息层钓鱼”,升级为夺取设备控制权的“终端层钓鱼”。本文将以此案为蓝本,深入剖析其背后的技术机理以及防御框架。
一、攻击链深度拆解:从一个电话到资金出境
要有效防御,必须先透彻理解攻击者的完整行动路径。根据警方披露的信息,该攻击可被分解为五个技术阶段。
阶段一:身份伪装与情境构建
攻击者冒充用户熟悉的短视频平台“官方客服”,这是利用了平台的公信力。其核心话术“关闭自动扣费”直击用户痛点——没有人愿意为未使用的服务付费。这种情境构建制造了紧迫感和焦虑感,极大削弱了受害人的理性判断能力,为其后续的诱导操作铺平了道路。
阶段二:诱导安装与权限授予
这是整个攻击链条中最关键的一环。攻击者不会直接发送一个名为“木马.apk”的文件,而是提供一个看似无害的链接。这个链接可能指向:一个临时的网盘分享页面;一个仿冒的“官方安全中心”H5页面,内嵌APK下载按钮;甚至是一个伪装成“取消订阅确认页”的钓鱼网站。
一旦用户点击并安装,真正的危险才开始。这款应用通常有两种来源:一是重打包。攻击者将AnyDesk、ToDesk等知名远程控制软件进行二次打包,在其中植入恶意代码或修改其行为。二是仿冒开发。自行开发一款功能单一但名称极具迷惑性的应用,如“抖音服务管家”“直播助手”等。
安装完成后,应用会立即请求一系列高危Android系统权限。对于不熟悉智能手机操作的用户(尤其是老年人),这些系统弹窗警告往往被视为“正常步骤”而被轻易忽略。一旦授予权限,特别是无障碍服务,攻击者就获得了近乎操作系统级别的能力。
阶段三:设备接管与环境加固
获得无障碍服务权限后,攻击者便能通过远程桌面实现对手机的完全控制。此时,手机已不再是用户的个人设备,而是成了攻击者手中的“肉鸡”。为了确保攻击过程不被中断,他们会立即执行一系列“环境加固”操作:
设置呼叫转移:通过拨号盘指令(如**21*诈骗号码#)将所有来电转移到自己的手机上。当警方或银行拨打劝阻电话时,接电话的将是诈骗分子本人,他们会冒充受害人声称“没有被骗”。
屏蔽通知:利用无障碍服务的API,可以遍历并关闭特定应用(如银行APP)的通知权限,使预警信息无法触达用户。
隐藏自身:将应用图标从桌面移除,或将其伪装成系统工具,增加用户发现和卸载的难度。
阶段四:凭证窃取与资金操作
在完全控制设备后,窃取银行账户信息变得轻而易举。攻击者有多种选择:屏幕共享窥探:当用户在诱导下打开手机银行并输入密码时,攻击者通过屏幕共享实时看到所有按键。直接操作:如果手机银行APP此前已登录且未退出,攻击者可以直接在后台操作,完成转账、购汇等指令,全程无需知道密码。
本案中,攻击者选择了更隐蔽且洗钱效率更高的方式:将人民币兑换为美元,并发起跨境汇款。这利用了银行外汇业务中“交易指令即时确认,但资金清算存在时间差”的特点。
阶段五:利用时间窗口完成洗钱
跨境支付通常不是瞬间到账的。从交易指令发出到资金真正“落地”到境外账户,存在一个短暂的“待处理”或“清算”窗口期。本案的成功拦截,正是抓住了这个宝贵的“黄金时间”。一旦资金完成清算,追回的难度将呈指数级上升。
二、现有安全体系的结构性短板
这起案件之所以能够得逞,暴露了当前主流安全防护体系在面对此类“合法工具滥用”型攻击时的无力。
应用商店与杀毒软件失效:无论是Google Play还是国内各大应用市场,以及手机自带的安全扫描功能,其检测逻辑主要基于已知的恶意代码特征。而AnyDesk、向日葵等远程控制软件本身是完全合法的生产力工具,其重打包版本在静态分析层面很难被判定为恶意。杀毒引擎对此类“灰色软件”往往束手无策。
银行风控模型失准:现代银行的反欺诈系统高度依赖用户行为分析(UBA)。而在本次攻击中,所有的操作——打开银行APP、点击菜单、输入金额——都是在真实的设备上由“看起来像用户本人”的操作完成的。交易行为序列与正常用户无异,导致基于行为的风控模型难以触发警报。
用户成为最薄弱环节:安全体系最终都要回归到“人”。再强大的技术防护,也抵不过用户亲手点击“允许”并授予高危权限。针对老年人等数字弱势群体,传统的“提高警惕”式安全教育效果有限,他们缺乏识别复杂社会工程学骗局的知识和经验。
三、构建纵深防御体系:技术对策与实践
防御此类攻击,不能寄希望于单一方案,必须建立覆盖终端、应用和金融基础设施的纵深防御体系。
对策一:终端操作系统层面的权限管控(预防)
操作系统的责任是保护用户免受自身误操作带来的风险。Android系统应加强对高危权限的动态管理和用户教育。
例如,手机厂商应在系统设置中增加一个明确的开关:“禁止非系统应用使用无障碍服务用于远程控制”。或者,在用户首次为非白名单应用授予此权限时,强制播放一段简短的语音警告:“此权限可让应用完全控制您的手机,仅在您绝对信任对方时才允许”。
对策二:金融应用层面的环境感知(检测)
银行APP作为资金的最后一道闸门,必须具备感知设备风险环境的能力。虽然受限于沙箱机制,普通APP无法像上述脚本那样直接读取系统全局信息,但仍可通过一些间接信号进行风险评估。
例如,可以检测设备是否启用了开发者选项、是否连接了未知的USB调试设备、屏幕分辨率是否异常(某些远程控制软件会改变DPI)等。更重要的是,应与操作系统深度合作,请求系统提供一个“设备完整性证明”。
在无法获得系统级支持的情况下,一个务实的做法是在关键交易前,强制要求进行活体人脸识别。因为即使设备被远程控制,攻击者也难以实时伪造用户的活体生物特征。这能有效阻断自动化或半自动化的盗刷行为。
对策三:金融基础设施层面的协同响应(响应)
本案的成功,关键在于“警银联动”机制。这启示我们,防御必须超越单个机构的边界。
延长高风险交易的清算窗口:对于大额、跨境尤其是涉及购汇的交易,银行间清算系统或外汇管理可设定一个强制“冷静期”(例如10~30分钟)。在此期间,交易指令被锁定,但资金尚未划转。
四、给用户的硬核防护指南
技术防御之外,用户自身的操作习惯是最后的堡垒。针对此类攻击,必须做到以下几点:
牢记铁律:任何自称“客服”的人,只要让你下载软件、开启屏幕共享、进行转账操作,100%是骗子。真正的官方客服绝不会这样做。
关闭高危权限:定期进入手机【设置】→【应用管理】→【权限管理】,检查并关闭所有非必要应用的“无障碍”“悬浮窗”“设备管理员”等高危权限。
关闭呼叫转移:在拨号界面输入#21#并拨打,可一键取消所有类型的呼叫转移。这是防止被冒充者接听劝阻电话的有效手段。
物理隔离:一旦怀疑手机被控制,最有效的办法就是立刻拔掉SIM卡并关闭Wi-Fi和移动数据,让手机彻底断网。之后再进行恢复出厂设置。
结语
“客服关闭扣费”案,是一面镜子,映射出当前网络安全防御体系在面对社会工程与合法工具滥用结合时的脆弱性。构建有效的防御体系,需要操作系统厂商、应用开发者、金融机构、通信运营商和执法部门形成合力,用技术手段弥补人性的弱点,用制度设计堵住流程的缝隙。
案例来源:央视新闻
作者:芦笛、庞佳 中国互联网络信息中心
编辑:芦笛(公共互联网反网络钓鱼工作组)
