LINE是全台最大的通信平台,用户数超过2千2百万人,LINE账号成了诈骗集团锁定的犯案工具。

LINE台湾首席安全官刘威成指出,分析过去案件发现,许多账号盗用发生在LINE平台外的环境。为了侦测LINE账号遭到外部网络钓鱼锁定的情况,LINE从2023年开始监控网络广告上的投资诈骗,2024年则转向分析钓渔网站,尤其深入研究2024年最常发生的投票钓鱼。

为了阻止用户账号遭到盗用,LINE每天会侦测网络上的广告内容,是否意图诱导用户加入LINE账号。发现了这类广告后,LINE就会通报广告平台来举报。每一天扫描的网络广告连接数量超过百万个。

2024年,在政府强力要求下,一些平台商配合下架了大量投资型广告,诈骗集团便开始改变窃取账号的手法,转向了“钓鱼”广告,其中一种常见的盗取账号手法就是投票钓鱼。

投票钓鱼手法是,诈骗集团举办各式各样的假投票活动,像是抗癌活动医生票选,选美比赛票选、台湾旅游活动票选、小孩舞蹈比赛票选,新人活动票选等,提供连接要求人们参加,人们若不疑有他点开连接,就进一步要求人们用LINE账号登录来投票,诈骗集团会开始通过种种社交工程的话术,来诱骗人们会收到“投票验证码”,提供验证码给投票钓渔网站后,就可以完成投票,但其实,这组验证码是LINE账号转移的验证码。

当受骗人们提供了验证码,就等于无意间将自己的账号控制权,授权到另一台诈骗集团控制的手机,诈骗集团再进一步变更这个账号的帐密,导致原始用户无法用原本的帐密或手机登录,诈骗集团通过这样的手法,来取得所窃取账号的控制权。

这是2024年最常见的投票钓鱼手法,不少人因为这个活动连接来自亲友分享,而点开了钓鱼投票而上当。根据LINE台湾统计,人们来通报自己账号遭到盗用与网络诈骗的数量,在2024年足足是2023年的5.5倍,其中大宗就是投票钓鱼手法。

LINE主要通过用户举报,来找出可能遭诈骗集团滥用的账号。由于举报量庞大,一方面通过机器学习分析举报内容特征,另一方面也搭配人工查看,综合判断哪些账号有高度可疑。

可是,就算找到了可疑账号,LINE也无法直接给予停权。因为消费者保护的《通信软件定型化契约应记载与不得记载事项》规定,除非有犯罪行为,甚至得先通知账号当事人改善而没有改善的情况下,才能给予账号停权。就算是高度可疑的账号,LINE还是得通知这个账号的当事人,给予对方说明。

从2023年5月到2024年10月底,一年半来,LINE最后只处置了1万1千多个涉诈账号,疑似诈骗账号的用户经常辩解说,自己只是分享投资经验而没有犯罪,来避免账号遭到停权,LINE当时也无权直接关闭这些账号,直到打诈新四法通过,才能多了一种渠道,在相关执法机关要求下直接停权。

2024年,授权投票钓鱼通报事件频传,诈骗集团非常猖獗,为了减少这类账号社交攻击,LINE思考换一个角度来,思考能不能提高诈骗集团窃取账号的难度,来降低人们受害的情况。

但是,真正的困难是,一方面要阻止诈骗集团,另一方面还不能影响到正常的用户,LINE对授权投票钓鱼的运行,进行了系统性的研究,搭建出一个架构图,来呈现出用户遭诱骗点击了投票钓渔网站后,到诈骗集团引诱取得用户转移账号的过程。

刘威成解释,搭建出授权投票钓鱼的运行流程图,才能找到最有效的拦截点。

在这张授权投票钓鱼运行架构中,用户拿到的钓鱼投票连接网址,来自某些域名商提供的网址,打开连接后,会将用户导向部署在网站托管企业上的钓渔网站服务器。设计成投票活动的钓渔网页,要求用户先登录LINE账号才能投票,用户不疑有他开始进行登录授权作业,输入LINE账号密码,这时候诈骗集团的钓渔网站取得这组账号密码后,会用话术告诉用户,等等会收到登录验证的短信。

其实,钓渔网站暗中用这组用户输入的帐密,转而登录LINE账号验证服务器,不是要求登录,而是伪装成使用人们,要求进行账号转移,转移到另一只诈骗集团的手机上。

为了转移账号,除了账号密码,LINE还会启动双重验证,通过短信来进行第二道验证。此时,LINE账号服务器会发送短信到用户本人的手机上,希望本人来验证。但是,钓渔网站事先通过话术来说服用户,这个验证是为了“登录”,用户不知道其实自己是在进行“账号转移”的行为。

因为所有与账号转移的说明,都在钓渔网站背后进行,提供账号的用户,以为自己是为了投票而验证,殊不知这是为了转移账号的窃取行为。

所以,用户不疑有他的输入验证码到钓渔网页,诈骗集团取得这组验证码,就用来通过账号转移的双重验证程序(密码与短信验证),成功将用户账号转移到另一只手机上。

LINE所调查出来的这个授权投票钓鱼流程,诈骗集团用的是正确的账号密码,也获得双重验证的短信验证码,看起来就像是合法的用户账号转移过程。直到用户发现自己的账号被盗取,提出了举报通报。

从这个授权钓鱼运行流程来看,涉及的中家企业非常多,包括了合法的域名域名商、网站托管企业、甚至也有合法的CDN服务企业来分散流程,中间可能还有用来接受短信处理的企业,这些企业都以为自己处理的是正常、合法的内容,殊不知已经沦为诈骗产业链的一环。

LINE一开始也是采取举报钓渔网站的做法,但后来发现,找到的钓渔网址越来越多,无法有效阻止诈骗集团的钓鱼行为。其中,高达7成钓渔网站连接域名,来自同一个新加坡的域名商,因为在GDPR实施之后,域名商需要提供更透明化的资讯,LINE会监控这些可疑的域名,只要挂上网站,发现是与盗用LINE账号有相关的钓渔网页,就可以向域名商或CDN企业提出举报,要求下架。

根据LINE观察,一个钓渔网站域名,大概只存活约一天就会换新,改用别的网址来钓鱼。域名商对于有顾客购买域名,没有太大限制,诈骗集团可以购买、取得大量域名,用来钓鱼。

虽然购买域名和托管主机都很简单,但是切换域名名称只需要几秒钟,而切换钓渔网页主机,需要实际搬迁主机服务器,相较比较花时间,因此,诈骗集团虽然会不断更换新的钓鱼域名,但是背后的钓渔网页服务器,更换的频率很低。

而这些钓渔网页所在的主机,需要有实体IP才能对应到域名。LINE发现所监测的钓渔网站主机,来自香港特定企业,而托管主机所用的IP地址,来自同一批某家域名厂商倒闭后发布的非洲IP,这就成了LINE用来侦测诈骗集团的其中一项特征。

不只根据IP和域名,从所监测的钓渔网页HTML程序代码内容来分析,同一个钓鱼IP会产生不同的钓渔网页,甚至是不只是LINE授权钓鱼,也有电商、物流等其他台湾知名服务的钓渔网页,这些钓渔网页有一些共同的程序代码特征。来自特定的钓渔网页设计工具(Phishing Kit )或来自类似暗网络钓鱼渔网页设计服务的成品。

LINE每天会监控上百万的可疑网址,只要从网址所对应的网页的程序代码和错误代码消息,若有钓渔网页设计工具的特征,就可以很快的判断出这是不是一个钓渔网页。

除了钓渔网站之外,在这个授权钓鱼流程中,还有一个重要环节是用来取得转移后账号的手机设备,诈骗集团要取得账号,自己手上也得有一个用来转移账号的设备,早期,诈骗集团使用虚拟机来模拟用户手机环境来注册,后来,LINE发现了这个行为后,阻挡了通过虚拟机的申请,迫使诈骗集团开始购买真实手机来接受账号转移。

根据LINE的观察,用来申请可疑账号转移用的手机,从过去的虚拟机模拟,曾有一度改用安卓手机,到了现在,诈骗集团主要使用最新款的iPhone手机来申请转移,来避开LINE对于VM申请作业的管制。

从钓鱼域名的举报、钓渔网站可疑IP的识别、海外账号转移申请的复杂化、虚拟机模拟用户的管制,LINE采取了多种做法,与诈骗集团展开了多次的攻防。

其中,根据LINE的研究,从申请账号转移的来源路径下手最有效。所以,LINE陆续累积出一套涵盖账号盗用事前、事中和事后的防范机制。

事前,LINE会持续每天扫描可疑网址,找出钓鱼域名,向相关单位通报来下架之外,更关键的做法就是,禁止海外IP地址,通过短信进行台湾账号的转移,只开放台湾IP地址,也强化短信提醒用户。

截至目前,LINE持续每天扫描超过百万笔网址,来侦测冒用LINE名义的钓渔网站,快速通报相关窗口。

像是通过国际反钓鱼组织通报机制来下架钓鱼域名,或是主动通报主机托管企业来下架钓渔网站所在的服务器或域名,LINE也会通报给Google列入Chrome浏览器的阻拦清单,还会与当地TWNIC、三大电信企业合作交换这些抗诈情报信息。

两年来与钓渔网站的对抗中,LINE累积下架超过了1,000个钓鱼域名,侦测钓鱼域名到下架的时间,从原本平均长达一周的时间,现在可以缩短到只要24小时,就可以完成。

在事中的防范对策,则是LINE也针对刚转移的账号,禁止短期内变更用户资讯,避免盗用者变更密码。只要用户发现自己的账号,出现了其他设备的授权使用,在还没有注销这次的LINE账号连接前及时发现,还是有机会抢回自己的账号,移除掉诈骗集团的可疑设备。

若是不幸已经遭到盗用,LINE也在转移账号的验证码短信中,增加了申请账号转移的IP资讯,一旦发现遭到盗用,可快速提供警方调查之用。

因为诈骗集团的账号转移申请,大多来自境外IP,因此,LINE提高了海外账号转移申请的困难度,不过,诈骗集团后来转而改用台湾IP来申请,他们想办法取得台湾IP,将部分基础架构转移到台湾来取得台湾IP,用来窃取LINE账号之用。

虽然提高海外IP账号转移难度的做法,无法有效杜绝账号窃取,但的确提高了诈骗集团的困难度,迫使他们留下了可供台湾执法机关有权关注的痕迹。遭到账号盗用的受害用户,可以向执法单位直接提供自己手机验证短信中的台湾IP资讯,让执法单位可以快速展现公权力,不像过去的境外IP难以跨海追人。

根据刘威成的观察,诈骗集团的钓鱼攻击运行,比想象中更有系统性。

像是钓渔网页的上架,似乎有一组诈骗集团资讯团队,每天早上9点开始频繁地上架各种钓渔网页,到晚上10点才停止上架,就连周末也要上班,但是比较早,下午一点左右就停止钓渔网站上架的情况,周日上架情况更少。刘威成形容,就好像是种996上班的模式,这也凸显出诈骗集团背后的系统化发展。

从以往刑事局屡屡披露的诈骗活动也可以看到诈骗集团越来越高度复杂化,LINE账号窃取只是整个诈骗集团钓鱼作业其中一环的末端作业,还有诈骗支付、诈骗资讯流等诈骗环节。

从LINE所搭建的授权投票钓鱼的运行流程图,更可以看到,光是要对抗这样的钓鱼活动,还需要不同平台,不同企业,例如域名商,托管主机商、电信企业等,从上、中、下游来联手。

“如何找到更多联手打诈的协助伙伴,正是LINE努力的新目标。”刘威成强调。