浙江警方严厉打击黑客 *** _杭州黑客联系方式

文字简介：

• 1、报警 *** 会被黑客劫持吗
• 2、近 3 年来，国内都有哪些比较严重的黑客入侵事件？
• 3、网警 *** 号码是什么？
• 4、黑客传播手机病毒为何将北上深列为“禁区”？

报警 *** 会被黑客劫持吗

拨打110，接 *** 的却是骗子？安天移动揭秘“劫持报警 *** ”病毒原理 | 宅客黑镜头

雷峰网

雷峰网

5年前

今天的宅客“黑镜头”，我们来看一个逆天的诈骗剧本：

1、你收到一条短信，内容是：电子凭证或者单位代号，其中附加了一个链接。你觉得这条短信可能和自己的工作生活相关，于是点击了链接，有一个名为“更高人民检察院”的 App 被安装到了手机上。

2、几天后，你突然接到来自“警方”的 *** ，对方严厉地警告你：你涉嫌犯罪，需要配合调查，把资金转移到警方的“安全账户”。

3、你表示呵呵，因为你曾经听说过这样的骗局。对方说，你不信的话，我可以帮你转接到“检察院”，你自己来核实。

4、你表示呵呵：“你们转接的 *** ，我怎么知道是不是打到检察院呢？”对方淡定地说：“没关系，你可以挂掉 *** ，拨打110查询一下。”

5、你将信将疑，挂断 *** 并且拨打110， *** 接通后，“警方”经过查询，告诉你确！实！存在犯罪嫌疑，你开始方了。

在以上的“戏剧”中， *** 那头的人确实是骗子无疑。但是有一点你可能会百思不得姐，那就是：

为神马拨打 110 报警 *** ，都会接通到骗子那里？

为了解答这个秘密，安天AVL移动安全团队“卧底”调查长达两年时间。揭开了这类伪装成“更高人民检察院”应用的 Android 木马病毒，并且发出了详尽的报告：《病毒四度升级：安天AVL Team揭露一例跨期两年的电信诈骗进化史》

雷锋网宅客频道获得安天AVL移动安全团队授权，转发报告全文如下：

自2014年9月起，安天AVL移动安全团队持续检测到一类基于Android移动平台的间谍类病毒，病毒样本大多伪装成名为“更高人民检察院”的应用。经过反编译逆向分析以及长期的跟踪调查，我们判断这可能是一起有组织的电信诈骗犯罪活动。

2014年9月至今，某诈骗组织持续以涉嫌犯罪为由恐吓受害者，并进行电信诈骗活动。整个诈骗流程大致如下：

攻击者首先向受害者的手机发送含恶意应用下载链接的短信，这一步可能是借由伪基站群发短信实现的；

攻击者通常以获取“案件号”、“单位代号”、“电子凭证”的短信诱骗受害者点击链接，下载安装恶意程序，最终获取受害者手机的root权限；

恶意程序被成功安装到受害者手机后，诈骗者会主动打 *** 给受害者，并声称将 *** 转接至检察院确认，但现在大部分人都对这类电信诈骗的防范意识较高，会拒绝对方的 *** 转接；

此时，诈骗分子会主动要求受害者挂断 *** ，并亲自拨打110确认事件的真伪。当受害者将 *** 拨出后，安装在受害人手机中的恶意程序将原本拨打给110的 *** ，劫持之后转为拨打诈骗者的号码，从而让受害者信以为真，完全落入圈套。

通过AVL移动互联网恶意程序检测平台捕获数据可以看到，该类型病毒样本首次出现在2014年9月。在此后两年时间里，又先后捕获到4类包结构各不相同的病毒新变种样本180余个。这类病毒的感染者主要分布于我国浙江省和广东省，福建、湖北、江西等地也有感染案例。

在该病毒不断进化的进程中，攻击者先后注册了多个CC服务器，相关IP地址16个，服务器分布在香港、新加坡、日本等5个以上的国家和地区。由此我们可以看到攻击者通过不断变换地点等手段来逃避侦查。

恶意行为详情分析

恶意行为实现流程示意图

文章图片1

伪造电子凭证

当恶意应用被成功安装并运行后，受害者手机会显示一个伪造的更高人民检察院发布的电子凭证，恐吓受害者因涉嫌犯罪，而需要接受调查。此时，防范意识薄弱的受害者可能会直接相信对方。即便其他受害者具备足够的防范意识，诈骗者依然有办法逼其就范。那就是劫持受害者手机的报警 *** ，然后明确告诉受害者可以自行拨打110确认。

以下是伪造的更高人民检察院发布的电子凭证样例。从以下三张电子凭证样例，我们可以看到检察长的签名都是根据现实情况不断更新，说明攻击者更大程度消除受害者对此电子凭证的怀疑，提高电信诈骗的成功率。

文章图片2

劫持报警 ***

文章图片3

从以上代码截图可以看到，即使受害者是自行拨打的报警 *** ， *** 那头依然是诈骗者，从而使得受害者信以为真，最终落入攻击者圈套，后果不堪设想。

上图中诈骗分子劫持的目标号码如下：

文章图片4

其中“021110”并非源码中显示的湖北省公安厅，而是上海市公安局。

窃取受害者隐私数据

作为整个电信诈骗链条上的重要一环，该病毒本质是一款间谍件。其功能不仅是显示检察院电子凭证以恐吓欺骗受害者，还在后台窃取用户隐私数据并上传至指定恶意服务器，给受害者的个人利益带来更大损害。

该病毒会开机自动运行，运行后自动生成用于显示电子凭证的activity组件，同时在后台启动用于窃取用户隐私数据的service组件。

该组件service组件首先创建一个名为phoneConfig.db的数据库文件并将其初始化。该数据库主要记录呼出会话和当前配置信息两项数据，其在库中的索引分别为“phoneCall”和“config”。当数据库数据需要更新时，程序会删除旧表并重新创建和初始化数据库。该数据库可以在/data/data对应应用包目录下找到。具体的数据库表内容如下图所示。

当然，这远不是该间谍应用要盗取的全部隐私数据。接下来，它会使出浑身解数获取受害者设备上的各类数据，并将它们写入 *** ON保存起来。

通过分析反编译代码，我们总结该病毒意图盗取的数据种类如表1所示。

文章图片5

上传受害者隐私数据

获取到受害者的隐私数据后，下一步攻击者会通过联网将其上传至服务器。这一部分主要是在应用/lib/armeabi文件目录下的libjpomelo.so动态库文件中实现的。

该间谍件通过与远程服务器建立HTTP连接完成隐私数据上传的行为。具体过程如下图所示。

文章图片6

文章图片7

至此，隐私数据上传完成，受害者手机隐私数据完全掌握在攻击者手中。

病毒变种进化历史

一、萌芽期（2014.9~2014.11）

· 更多的是一些尝试性的攻击

· 该阶段存在两类初代病毒样本，均已具备劫持报警 *** 的恶意行为

· 作为间谍件窃取数据种类少，功能单一，基本不具备对抗性

二、平稳期（2015.3~2015.8）

· 主要功能仍是劫持报警 ***

· 在其中一类初代病毒的基础上做了初步对抗

· 增加窃取数据的种类

三、一次活跃期（2015.9~2016.2）

· 病毒感染量激增

· 犯罪分子新注册多个海外服务器域名

· 病毒新变种的对抗性大幅增强

四、二次活跃期（2016.11至今）

· 病毒感染量呈明显上升趋势

· 几代变种的样本均有发现，情况更为复杂

· 最新型的病毒变种对抗性再次增强

之一阶段：萌芽期（2014.9~2014.11）

在电信诈骗的萌芽期同时活跃着两种类型的病毒变种，它们都具有劫持 *** 号码以及窃取用户个人数据的行为。其区别在于攻击受害用户设备后获取隐私数据的手段不同。

之一种类型：

以样本

7692A28896181845219DB5089CFBEC4D为例，该变种主要窃取用户的短信数据。它会设置接收器专门用于监听收到新消息的事件，一旦有来信则立即获取其发信方 *** 号码以及短信内容，并转发至指定号码。

第二种类型：

以样本

4AD7843644D8731F51A8AC2F24A45CB4为例，该变种的窃取对象不再局限于短信，而是拓展至被攻击设备的固件信息、通讯运营商信息等。另外该变种还会检视设备的响铃模式并私自将其调为静音。

就窃取受害用户隐私数据的手段以及窃取的数据种类而言，第二类变种是后续阶段其他病毒变种的元祖。

综合这一阶段的病毒样本，我们发现，不论采用哪种方式获取来自受攻击设备的信息，其对抗性都较弱，对一些容易暴露自己的数据基本没有保护。比如我们从中挖掘到的一些短信转发地址以及远程服务器IP地址和端口号等信息，都是直接以明文形式硬编码在程序中的，很容易被反编译逆向分析，也难逃手机安全软件的查杀。

第二阶段：平稳期（2015.3~2015.8）

该阶段是诈骗的平稳期，或者也可以称为低潮期。这一阶段的攻击表现得不是很活跃。可以理解为诈骗分子的攻击欲望有所衰减，或是蓄势发起新一轮攻击。总体而言，病毒量明显减少。

至于阶段样本中存在的一些新变种，多是在萌芽期第二种类型病毒变种的基础上进行结构形态上的改变，同时采用了代码混淆技术，做了初步的对抗。但其在具体功能上几乎没有发生任何改变。

第三阶段：一次活跃期（2015.9~2016.2）

这一阶段与上一阶段有着明显的分界线。2015年9月1日，手机卡实名制的法规正式开始施行。手机号码与个人身份证绑定，这就意味着攻击者难以再通过短信转发的手段获取受害者的隐私数据，因为攻击者手机号的暴露极大地增加了攻击者被追踪到的风险。

因此，2015年10月以后捕获到的病毒新变种中，短信转发用到的手机号码以及一些指定的短信内容不再直接出现于程序代码中，而是通过联网从远程服务器端下载并解析获取。

从病毒功能上看，该阶段与上一阶段没有太大变化，仍是以劫持 *** 号码及窃取用户隐私数据为主。

但是攻击范围在本阶段达到了前所未有的高峰。一方面，病毒的感染量激增，病毒样本层出不穷；另一方面，之前恶意服务器几乎都设置在香港，这一阶段陆续出现了韩国、新加坡、日本等新的地点。我们可以推测这是攻击者在为更大规模的电信诈骗做准备，同时更好地隐匿自身踪迹，逃避侦查。这次攻击高峰直至次年2月才逐渐平息。

第四阶段：二次活跃期（2016.11至今）

之一次活跃期过后，诈骗犯罪活动又历经了半年多的平稳期。在这期间，病毒样本数量虽有明显减少，但仍可持续捕获。病毒样本功能未发生较大变化。

直到今年11月上旬，该病毒攻击再次进入活跃期。从新一轮攻击中捕获到的样本来看，该病毒一部分沿用了上一阶段的变种，有些加入了新的对抗机制。另一部分则采用了新型变种，将窃取数据上传服务器的功能实现从Java层转移至SO动态链接库，攻击所需的资料更多是通过从远程服务器下载获取。攻击的危险性与不确定性都有所增强，同时也进一步增加了安全检测和逆向分析的难度。

从本阶段的攻击规模来看，仅11月8日至13日不到一周的时间里，我们就捕获到了35个病毒样本。

截至11月13日，该病毒样本日均捕获量近6个，诈骗活动仍在持续。

文章图片8

文章图片9

远程服务器IP溯源

对远程服务器进行溯源分析，我们可以发现服务器大多分布在香港，并在后期扩散至韩国、日本、美国等国家和地区。通过将获取到的IP地址在WHOIS和VT等第三方数据源进行信息反查，得到如下表所示的结果。特别地，这些归属地只是诈骗分子利用的服务器所在地。

文章图片10

注：表中数据来自相关IP在whois.net及virustotal.com的查询结果

总结

通过对该病毒的详细分析，我们发现该病毒迄今已使用了6种不同形态的木马。除去最开始可能用作测试的一种，其它的按照结构、功能等指标大致可以分为四代。早期的木马基本不具备对抗行为，包括短信转发地址的 *** 号码和隐私数据上传的服务器IP等皆明文硬编码在程序中，较容易被分析追踪和查杀。到2015年9月1日，手机卡实名制正式开始实施，这意味着攻击者信息更容易被侦查。

就在同年10月，病毒新变种开始采取混淆等对抗手段隐藏攻击者信息，短信发送地址及短信内容等数据也转而通过从服务器下载获取。到2016年11月，病毒将窃取数据上传服务器的功能实现部分从Java层转移至SO动态链接库，攻击所需的资料更多是从远程服务器下载获取，攻击的危险性与不确定性都有所增强，在一定程度上增加了安全监测和逆向分析的难度。综合来看，该电信诈骗持续的周期较长（持续2年以上），攻击手段不断变换。我们可以推断犯罪分子可能为混迹在港台地区的诈骗组织，具有高度的组织化，其诈骗行为极端恶劣，需要引起足够重视。

另外，纵观至今的诈骗活动周期，高峰往往起始于每年年末（9~11月）并结束于次年年初（2月左右），说明年终岁末通常是电信诈骗的高发期。时值年关，广大手机用户务必当心，谨防受骗。

安全建议

针对这类恶意

近 3 年来，国内都有哪些比较严重的黑客入侵事件？

0、github 遭受来自我国加农大炮发出的DDOS攻击（百度担当了本次黑锅侠）

2015年3月份，攻击者劫持百度广告联盟的 *** 脚本并将其替换成恶意代码，最后利用访问中国网站的海外用户对GitHub发动大规模分布式拒绝服务攻击。

1、大陆境内所有通用顶级域遭DNS劫持（被Big Brother恶意Hack）

2014年1月21日，大陆境内所有通用顶级域（.com/.net/.org等）遭DNS劫持，所有域名均被指向一个位于美国的IP地址（65.49.2.178）。根据 *** 上资料显示，该IP地址属于美国Sophidea公司所有，而Sophidea公司的大客户之一就是著名的加密 *** 软件XX门的母公司。

2、Lizard Squad劫持联想域名，并泄露部分公司邮件

2014年2月25日，联想域名遭劫持，业内人士预测可能与联想近期收到的大量公开指责有关，该公司的电脑被捆绑了称为快鱼（Superfish）的加密广告程序，引起大量用户不满。在公众的压力下，联想最终决定删除软件，向受影响的用户道歉。

3、携程信息“安全门”事件敲响 *** 消费安全警钟

2014年3月22日，携程网被指出安全支付日志存在漏洞，导致大量用户银行卡信息泄露，电商如何对用户信息进行保护引发人们思考。

携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)

4、温州地区有线电视大面积被黑，播放敏感反动内容

2014年8月1日，浙江省公安厅官方微博通报，温州有线电视 *** 系统市区部分用户的机顶盒遭黑客攻击，出现一些反动宣传内容，影响了群众正常收看电视，造成了不良影响。

5、江苏公安厅:海康威视监控设备有隐患 部分设备已经被境外IP地址控制

2015年2月28日，江苏省公安厅下达《关于立即对全省海康威视视频监控设备进行全面清查和安全加固通知》

6、Apache Struts2连续爆多个高危漏洞，影响国内数百万信息系统安全

2013 年 7 月的 Struts2 漏洞实际带来多大影响？ - Java

7、[心脏流血]OpenSSL “Heartbleed”漏洞

OpenSSL 的 Heartbleed 漏洞的影响到底有多大？ - 信息安全

8、[破壳]Shellshock漏洞

Shellshock的破坏性有多大？有哪些潜在的攻击方式？ - 互联网

9、[贵宾犬]Google发现SSL 3.0漏洞，让黑客有可乘之机

2014年10月17日，一个存在于 SSL 3.0 协议中的新漏洞于今日被披露。该漏洞被命名为“贵宾犬”（降级传统加密填充提示），通过此漏洞，第三方可以拦截通过采用 SSL 3.0 的服务器传输的重要信息。

10、阿里巴巴宣称遭受互联网有史以来更大的DDOS攻击

阿里云的安全产品是如何抵御互联网史上更大一次 DDoS 攻击的？ - *** 安全

11、网易全线线上服务遭受大规模DDOS攻击

2015 年 5 月 11 日，网易骨干网宕机是怎么回事？ - 计算机

13、chinanews被黑涂改首页

怎么看中新网网页被黑一事？ - 新闻

你不太清楚的用户数据泄露事件

仅公安部一年查获被盗取各类公民个人信息就有近50亿条，而这可能只是泄露信息一小部分，2011年，互联网泄密事件引爆了整个信息安全界，导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括：天涯：31,758,468条，CSDN：6,428,559条，微博：4,442,915条，人人网：4,445,047条，猫扑：2,644,726条，178：9,072,819条，嘟嘟牛：13,891,418条，7K7K：18,282,404条，小米828万，Adobe：1.5亿，Cupid Media：4200万， *** 数据库：大于6亿，福布斯：100万，索尼：1.016亿，机锋网：2000多万，接近10亿多条。

1、快递公司官网遭入侵 泄露1400万用户快递数据

2014年8月12日，警方破获了一起信息泄露案件，犯罪嫌疑人通过快递公司官网漏洞，登录网站后台，然后再通过上传(后门)工具就能获取该网站数据库的访问权限，获取了1400万条用户信息，除了有快递编码外，还详细记录着收货和发货双方的姓名、 *** 号码、住址等个人隐私信息。

2、机锋网2700万用户数据泄露

2015年1月5日上午，知名微博账号“互联网的那点事”发布消息称，机锋论坛2300万用户数据泄露，包含用户名、邮箱、加密密码在内的用户信息在网上疯传，提醒用户抓紧修改密码。

3、小米800万用户数据泄露

小米论坛被脱裤（数据与官方符合）可能影响小米移动云等敏感信息

4、130万考研用户信息被泄露

国内考研疑似130W报名信息泄漏事件（疑似泄漏到今年11月份，正在被黑产利用）

5、智联 *** 86万条求职简历数据遭泄露

看我如何拿下智联 *** 八十六万用户简历（包含姓名，地址，身份证，户口等等各种信息）

6、12306网站超13万用户数据遭泄露

大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等（泄漏途径目前未知）

7、汉庭2000万开房记录遭泄露

由于安全漏洞问题，导致2000万条在2010年下半年至2013年上半年入住酒店的2000多万客户信息泄露。

网警 *** 号码是什么？

全国各地举报 ***

1、北京：010-67196565 67196566

2、天津：022-83609493

3、河北：0311-87802897

4、山西：0351-4045403 4045577

5、内蒙古：0471-4811340

6、辽宁：024-23128457

7、吉林：0431-88904120

8、黑龙江：0451-87212377

9、上海：021-55056666

10、江苏：025-84412377

11、浙江：0571-81050678

12、安徽：0551-62609135

13、福建：0591-87812510

14、江西：0791-88911504

15、山东：0531-82076267

16、河南：0371-65905405

17、湖北：027-88568499

18、湖南：0731-82688060

19、广东：020-87185235

20、广西：0771-5502041

21、海南：0898-65341907

22、重庆：023-63897700

23、四川：028-962377

24、贵州：0851-85505036

25、云南：0871-64166935

26、 *** ：0891-6315315

27、陕西：029-85589610

28、甘肃：0931-96377

29、青海：0971-8483520

30、宁夏：0951-6668826 6667047

31、新疆：0991-2384777

32、深圳：0755-88111710

扩展资料

举报网上违法和不良信息时，举报主体应提供与 *** 举报事项相应的信息网址或者足以准确定位举报信息的相关说明、样本截图等举报基本材料，以及举报信、相关部门来函、相关证明证据等举报要件。

举报主体应当对举报事项的客观性、真实性负责。

举报主体在网上成功提交举报信息后，将收到一个查询码，通过查询码，可以确认举报的信息已收到。举报中心受理的举报，将依据相关规定转交各地网信部门、相关网站或相关部门依法依规研处。

参考资料：中央网信办 - 全国各地举报 ***

黑客传播手机病毒为何将北上深列为“禁区”？

2017年7月，浙江平湖警方发现，辖区内有一批手机疑似被他人远程控制。经查，北京一家软件科技公司进入警方的视线，该团伙成员普遍学历高，不乏国内名牌大学高材生。为逃避公司所在地警方的打击，他们将北京、上海和深圳列为“禁区”。近日，平湖警方组织百余名警力将他们一网打尽。

手机突然卡住死机，页面弹出各类广告，或是莫名地黑屏，下载不知名的APP，关注各种微信公众号，这有可能是手机中病毒，被黑客非法控制了。近日，浙江平湖警方远赴首都北京，捣毁一个特大黑客团伙，抓获犯罪嫌疑人60余名，涉及的手机遍布全国各地，达数百万部，向手机终端传播木马病毒3000多万次，给手机用户造成极大的安全隐患。

9月27日上午，在北京、深圳和上海三地警方的大力协助下，专案组成功抓获60余名犯罪嫌疑人，并查获服务器60余台，电脑50余台，手机80余部。经过连夜审讯，专案组终于掌握了这家公司的组织结构、运作情况和盈利模式。该团伙成员普遍学历高，技术能力强，其中不乏国内名牌大学硕士研究生毕业的高材生。据了解，该团伙通过与小型的手机厂商勾结，事先将木马病毒植入手机中，待手机入网使用时，通过控制用户手机，在手机桌面上弹出广告，或是强制手机关注指定的微信公众账号，以增加公众号关注度、阅读量等方式赚取巨额的广告费。

在办案过程中，警方发现，这个团伙控制的手机遍布全国各地，却将其公司所在的北京、上海和深圳列为“禁区”。据团伙主要成员交代，他们也清楚自己的行为不合法，由于害怕当地警方的打击，于是就设定了这条规矩，不在公司所在地“犯案”。但令他们没想到的是，平湖警方，一个县级公安局居然会组织100余名警力千里迢迢地将他们一网打尽。

据了解，随着近些年刑事警情的下降、治安环境的好转，警方多措并举，不断强化和丰富侦查手段，形成了传统加技术，网上和网下相结合的综合侦查机制和工作格局。通过多警种、多专业的合成平台，对现场实物和 *** 虚拟线索的云采集、云计算，进行深度研判和精确打击。可以说，这一刑事侦查“合成大脑”，实现“多维度”追踪侦查，在加大对现实世界违法犯罪行为打击力度的同时，将对虚拟世界违法犯罪线索的痕迹排摸提高到同样的标准，做到打击违法犯罪不留死角。