首页安全播报安全快讯 › 2018年度网络隐私及网络欺诈行为研究分析报告

2018年度网络隐私及网络欺诈行为研究分析报告

2019-01-30

前言

2018年是网络安全事故频发的一年。

在网络隐私安全领域:2018年用户数据泄露事件频发:2018年3月,Facebook被曝泄露8700多万用户数据;3月末,美国运动品牌Under Armour(安德玛)旗下健身应用MyFitnessPal的1.5亿用户数据遭泄露。在国内,用户数据泄露问题及造成的影响更为严重:快递、酒店、外卖、网络社交等行业领域频频爆出用户数据泄露事件。这些泄露的用户数据大多高达数亿级,而且包含用户私密信息,如:姓名、手机、身份证、账户信息、社交账号及密码等。如此庞大的泄露量,几乎让网民无隐私可言。

在和用户个人信息密切相关的网络诈骗领域:2018年全年,腾讯安全实验室共拦截信息诈骗网址超387亿次。腾讯手机管家用户标记诈骗电话超6100万个,举报诈骗短信超5100万条。可见网络诈骗活动依然猖獗。

诚然,当前用户个人信息的泄露责任多在企业端,需要完善法律、法规,强化监管,也需要企业提高对用户数据安全的重视程度并加强保护措施。但是,用户毕竟是个人隐私信息产生的源头和最终受害者。在当前严峻的网络安全形势下,普通用户急需提高个人隐私安全意识,掌握网络隐私安全知识。

为此,DCCI互联网数据中心联合腾讯社会研究中心针对Android端和iOS端的手机APP进行隐私安全测评,了解移动开发者获取用户手机隐私权限的情况。同时对2018年的网络欺诈情况进行研究,分析网络诈骗的最新手段和方法。以期帮助广大网民用户

更好的保护个人隐私和财产安全。

本次研究分为两部分:

第一部分手机隐私权限安全篇,采取APP测评的方式,分析用户较常用的APP的隐私权限获取情况。其中Android手机APP测评数量为603个,测评的隐私权限包括:5项核心隐私权限(①读取位置信息;②读取手机号;③读取短/彩信记录;④读取联系人;⑤读取通话记录);5项重要隐私权限(①打开摄像头;②使用话筒录音;③发送短信;④发送彩信;⑤拨打电话);4项普通隐私权限(①打开WiFi开关;②打开数据网络;③获取设备信息;④打开蓝牙开关)。另外,本次测评新增了11项隐私权限,分别是:读写存储设备、获取应用列表、呼叫转移、获取浏览器上网记录、新建/修改/删除日历、写/删联系人、读取运动数据、写/删短信/彩信、写/删通话记录、使用身体传感器、ROOT。iOS手机APP评测数量为320个,评测的隐私权限包括:定位服务、通讯录、日历、提醒事项、照片、蓝牙共享、麦克风、语音识别、相机、健康、Homekit、媒体与APP、运动与健康共13项。

第二部分网络欺诈篇,主要对2018年全年的网络欺诈情况进行梳理和解读,帮助用户辨别网络欺诈。数据统计周期为2018年1月1日-2018年12月31日。网络欺诈数据来源于腾讯手机管家,案例及分析得到腾讯安管部门的支持。

上篇 手机隐私权限安全

一.  手机隐私权限管理的重要性

(一)手机APP是隐私泄露的重要渠道之一

随着近年来用户数据泄露事件频频发生,普通用户的隐私安全意识也有所提高,移动互联网上的隐私保护问题也越来越多的获得社会舆论的关注。移动互联网用户要做好隐私保护,预防隐私泄露,首先应该了解移动互联网泄露隐私的渠道。目前通过移动互联网泄露隐私的渠道主要有:①手机APP;②公共WiFi;③旧手机;④企业数据。其中,手机APP是重要的隐私泄露渠道之一。手机APP,特别是Android系统的手机APP很容易通过手机权限获得用户手机号、通讯录、通话记录、短信记录等隐私信息。不法分子恶意获取手机权限后,轻则用户隐私被泄露、资费被消耗,重则还有可能导致进一步的违法犯罪活动,如诈骗勒索等事件的发生。

(二)手机隐私权限管理——保护隐私的重要门户

智能手机是人们最常用的互联网终端,存放着用户的社交人脉、行为喜好、生活规律、账号信息、照片视频等隐私数据,甚至还存有商业机密文件。人们要享受智能手机的便捷,必然要借助各种APP来实现,因此个人隐私数据被获取的途径,其实大部分是APP。

当你第一次使用APP时,APP会向你请求获得手机的部分权限,从而获得用户的某些数据。然而,这些权限有些是必要的,有些则可能不是必须的。手机隐私权限管理作为保护我们个人隐私的重要门户,当我们面对APP请求权限时,一定要重视和谨慎。

(三)忽视手机隐私权限管理会引发各种问题

APP在向用户请求获取手机隐私权限时,有些权限是必要的,不获取APP就无法正常工作。但也有些APP存在功能用不到,却要求用户授予权限的行为——“越界获取”权限的行为。用户一旦授权,不但会给手机带来不必要的负担,还会留下各种安全隐患,从而可能引发各种问题:

1、读取位置权限

该权限允许APP通过GPS或网络来获取手机的位置信息。多数APP需要此权限。如:地图、社交、外卖等 APP都需要获取“位置信息”。需要注意的是GPS定位耗电量很高。而且位置信息是敏感信息的一种,如果被不法分子利用,非常危险。

2、读写存储设备权限

该权限允许APP写入和读取机身存储和Micro-SD卡内的数据。该权限的用途很多,例如:网盘类APP上传/下载文件、文件管理器管理本地文件、地图类APP下载离线地图、社交类APP发送本地的照片/文件/视频、多媒体播放APP播放本地文件等。需要注意的是,如果该权限被流氓APP利用,用户的敏感数据很可能会丢失、被修改或被泄露。

3、日历权限

该权限可以让APP读取、分享或保存日历数据。如果该权限被恶意APP利用,就可以追踪用户每天的行程。

4、电话权限

获取“电话”权限的APP可以查看并修改通话记录、查看用户的本机号码和设备ID、查看用户是否在打电话和正在拨打的电话号码,并能更改拨打的电话号码,甚至挂断电话。除此之外,“电话”权限还允许APP自动拨打电话。如果该权限被流氓APP利用,很可能会产生电话费用、泄露设备ID信息。

5、短信权限

该权限允许APP发送短信、接收短信、查看设备上存储的短信、毫无提示地删除收到的短信。和“电话”权限一样,“短信”权限如果被流氓APP利用,也会产生资费。此外,实时短信验证码是很多关键服务的“最后防线”。涉及该权限的获取时,用户要更加注意。

6、摄像头&麦克风权限

获得了“相机”权限的APP可以拍照片和录视频。第三方相机APP、社交APP、具有二维码扫描功能的APP都需要此权限。恶意APP软件可以在任何时刻打开手机摄像头,监视用户的生活和隐私,并大幅降低电池续航。

7、通讯录权限

该权限允许APP读取并修改联系人以及他们的数据(电话号码、邮箱地址等),并获取手机的用户和账号信息。“通讯录”权限被恶意APP软件获取后,被泄露的联系人数据很有可能被传播垃圾邮件、短信或电话的人利用。而且用户的账号数据也会被泄露,该权限的重要性不言而喻。

8、身体传感器权限

一般健身类APP需要“身体传感器”权限。该权限允许APP进行计步数和测心率等功能。

9、读取应用列表权限

该权限是指允许APP查看用户已安装和在用的APP信息,同时能了解到一段时间内,用户使用几个APP的往来路径,以此可以推测用户兴趣喜好,形成用户画像等。一部分APP软件也会借助此项功能在用户完全不知情的情况下唤醒其他APP。一般情况下,此权限是做以下用途:

(1)一般以下类型的APP获取该权限属于正常现象:应用市场类,垃圾清理类,杀毒安全类APP。这些APP需要检查其他APP是否需要升级、清理、杀毒。

(2)部分APP需要调用外部(其他)APP,比如文件管理类APP需要知道哪些APP可以打开哪些文件,这种请求也是正常的。

(3)统计和推送。例如:用户装了什么APP就说明用户有某些方面的爱好,以此为基础,可以向用户推送可能感兴趣的APP。

(4)方便APP间进行唤醒。这一般是在用户不知情的情况下,一个APP唤醒其他APP,这种情况下获取该项权限就完全没有必要。

(5)APP需要使用第三方服务。例如:某APP为方便用户登陆,需要先查看手机上是否安装了微信、QQ、微博等APP,然后再调用这些通信社交APP的API接口,方便登陆授权。

二.  Android端APP获取隐私权限情况

(一)所有的Android端手机APP都会获取手机隐私权限

2018年下半年测评发现,当前所有的Android端APP都会不同程度的获取手机隐私权限。用户对APP权限的管理已成为使用智能手机的“必修课”。

 

(二)Android端仍有过半APP申请读取联系人权限

2018年下半年的手机隐私权限测评发现:Android端手机APP最常获取三大核心隐私权限分别是获取位置信息、读取联系人和读取短/彩信,分别有81.9%、51.9%和42.8%的APP获取了以上三大核心隐私权限。Android端手机APP最常获取三大重要隐私权限分别是使用话筒录音、打开摄像头和发送短信权限,分别有86.9%、81.6%和53.6%的APP获取了以上三大重要隐私权限。


(三)9成左右APP试图获取读写存储设备&获取应用列表权限

研究发现:Android端手机APP申请“读写存储设备”的比例高达94.9%,申请“获取应用列表”的比例也高达87.2%。“读写存储设备”权限指的是读写手机外部存储设备。如果用户的SD卡中有隐私数据,则要引起注意。当APP申请“获取应用列表”权限时,建议如果不符合以下两种情况,可不授权:1.属于应用市场类,垃圾清理类,杀毒安全类,文件管理类APP;2. 需要使用第三方服务的APP,如:有的APP需要调用微信的授权登陆服务。


(四)投资理财类APP是获取手机隐私权限最多的APP

2018年下半年的手机隐私权限测评发现:投资理财类APP是获取手机隐私权限最多的APP。投资理财类APP平均获取了17.2项手机隐私权限。其次是生活购物类和通讯社区类APP,分别平均获取了15.3项和15项手机隐私权限。网络游戏APP虽然是获取手机隐私权限最少的APP类型,其平均获取的权限数量也达11.6项。


三.  Android端典型类型APP获取隐私权限说明

(一)  投资理财类APP

2018下半年的手机隐私权限测评发现,相较2018年上半年测评结果,投资理财类APP获取隐私权限比例多有提高,且相较Android APP整体对隐私权限的获取比例也普遍更高。其中,投资理财类APP获取“读取联系人”、“读取短/彩信”和“读取通话记录”权限的比例分别高达72.9%、62.7%和40.7%。


研究发现:在2018年下半年新增的测试权限中,投资理财类APP尝试获取“读写存储设备”和“应用列表”权限最多,分别高达94.9%和93.2%。近年来,以P2P网贷、大数据金融、众筹等概念为卖点的各类投资理财类APP如雨后春笋、层出不穷。建议广大手机用户在慎重选择APP的同时,也要尽可能的减少对APP的授权,避免可能的个人信息泄露。


(二)  生活购物类APP

生活购物类APP涉及的功能较多,因此所需要的手机隐私权限也比较广泛。主流的生活购物类APP,不仅会有购物、支付功能,还有客服沟通、快递位置查看、好友系统、扫码登陆、本地生活服务等功能。从2018年下半年测评数据看,生活购物类APP获取的读取短彩信、读取通话记录和拨打电话等权限有明显增长。


研究发现:在新增的测试权限中,生活购物类APP申请获取“读写存储设备”和“应用列表”权限最多,分别高达91.8%和90.4%。虽然用户使用某个生活购物类APP,一般也就说明用户对该APP的信任有加,但建议用户还是尽可能减少对APP的授权,避免可能的隐私泄露。


四.  Android端APP越界获取隐私权限情况

(一)Android端越界获取隐私权限的APP比例进一步降低

研究发现:Android端越界获取手机隐私权限的APP正在逐渐减少,到2018年下半年,仅有2.0%的APP存在越界获取手机隐私权限的行为。APP越界获取手机隐私权限的逐渐减少主要得益于国家对网络隐私保护的重视: 2017年6月1日,《国家网络安全法》正式实施,明确规定要加强个人信息保护,为个人信息保护提供了法律依据。


(二)影音娱乐、生活购物、办公学习、网络游戏类APP越界较多

2018年下半年的手机隐私权限测评发现,在越界获取隐私权限的Android端APP中,以下四种类别的APP所占比例较大,分别是:影音娱乐类、生活购物类、办公学习类和网络游戏类。


(三)多数类别的APP越界获取手机隐私权限比例持续下降

深入到不同类别的APP来看,多数类别的APP越界获取手机隐私权限的比例持续下降,包括:出行地图类、资讯阅读类、生活购物类、影音娱乐类、常用工具类和投资理财类。其中,出行地图类、图像美化类、投资理财类和通讯社区类APP未发现“越界行为” 。


(四)APP越界行为多存在于对核心隐私权限的获取

对不同隐私权限被越界获取的情况进行分析发现,2018年下半年Android端手机隐私权限被越界获取的情况主要存在于核心隐私权限。APP对重要隐私权限和普通隐私权限的越界行为几乎已不存在。另外,在2018年下半年新增的测试权限中,仅有“写/删联系人”权限存在越界情况,越界获取比例仅为0.4%。


五.  iOS端APP获取隐私权限情况

(一)iOS端获取隐私权限的APP比例略有下降

2018年下半年调查发现,iOS端获取手机隐私权限的APP比例继前两次连续增长之后,出现首次下降。iOS端获取手机隐私权限的APP比例由2018年上半年的93.8%下降到下半年的90.0%。


(二)iOS端通讯社区类APP获取的隐私权限最多

2018年下半年对iOS端的隐私权限调查显示:通讯社区类APP是获取手机隐私权限最多的APP。通讯社区类APP平均获取了4.9项手机隐私权限。其次是影音娱乐类和出行地图类APP,分别平均获取了4.3项和3.5项手机隐私权限。网络游戏APP是获取手机隐私权限最少的APP类别,平均获取了1.0项手机隐私权限。


(三)照片、定位和相机是iOS端APP最常获取的三大隐私权限

2018年下半年对iOS端APP的调查发现:照片、定位服务和打开相机是iOS端APP最常获取的三大隐私权限,分别有高达85%、79%和76%的APP获取了以上三种权限。


六.  手机用户隐私安全保护建议

(一)用户应尽量减少对APP的授权

本报告判断APP是否“越界获取”隐私权限的标准是APP向用户提供的功能是否必须用到相应的权限。而站在用户的角度看,其实只要不妨碍用户正常使用APP,某些权限都是可以不授权的,这样用户可以简单而最大程度的保护个人隐私。

下面提供部分隐私权限的极简授权建议,供广大用户参考:

(1)地理位置:除非需要使用地图导航功能,否则都可以不授权。

(2)相机/麦克风:如果不需要扫二维码、录音、拍照、拍视频,可以不授权。

(3)电话权限:常见于APP内的呼叫按钮,可不授权然后复制电话号码然后打出去。

(4)短信/通讯录:这类权限一直是重灾区,最好任何时候都不要授权。

(5)读取应用列表:除了帮助用户管理手机的APP,如:应用市场、手机助手、垃圾清理、安全管理类,其他的APP都可以不授权。

(6)访问网络:除了离线软件,访问网络对于大部分APP来说都是必要的。

(二)加强权限管理只是开始,用户需从更多方面保护隐私

手机隐私权限管理只是保护隐私的重要措施之一。事实上,手机隐私安全问题贯穿着手机整个使用周期,用户需从更多方面保护隐私:

(1)正规渠道下载:选择正规的渠道下载APP,如:APP官方网站、腾讯应用宝等。

(2)手机隐私权限管理:重视并慎重对待手机隐私权限管理,尽量减少对APP授予的权限,及时关闭使用APP时不必要的权限。

(3)慎用公共WiFi:使用公共WiFi时提高警惕,转账与支付时改用移动数据流量。

(4)谨慎填写个人信息:谨慎填写个人隐私信息,防止信息被无谓的采集。

(5)隐藏、隔离隐私:使用隐私安全管理APP,将手机中照片、视频、财务相关等隐私隐藏、隔离。

(6)彻底清空废旧手机:三步彻底清理旧手机信息——恢复出厂设置-格式化-反复拷入大文件并删除。

下篇 网络诈骗篇

七.  2018年全年网络诈骗发生情况分析

2018年全年,腾讯安全实验室共检测到恶意网址超过1.8亿次,为用户拦截恶意网址超5550亿次,其中信息诈骗网址拦截次数超387亿次!这一数字相当于为每个中国人拦截信息诈骗网址28次。另外,诈骗电话和诈骗短信依然猖獗。2018年全年,腾讯手机管家用户标记诈骗电话超6100万个,举报诈骗短信超5100万条。


 

(一)诈骗类短信在垃圾短信中的占比有所增长

根据腾讯安全实验室数据显示:2018年上半年,诈骗类短信在整体垃圾短信中的占比为2.1%,而2018年全年,诈骗类短信占比增加到2.8%,说明2018年下半年,诈骗类短信占比有所增长。


(二)诈骗短信呈现增长趋势

除2018年世界杯前夕的5月份诈骗短信数量明显高于其他月份外,总体上看,2018年全年诈骗短信呈现增长趋势。若按季度统计来看,第一至第四季度,用户举报的诈骗短信数量分别为:459万条、1374万条、1507万条和1769万条。


(三)高薪招聘类诈骗短信比例增加

2018年全年,最常见的三大诈骗短信类型分别为普通诈骗短信、非法贷款短信、高薪招聘短信。其中,高薪招聘短信在上半年时占比为6.8%,在2018年全年的统计结果中占比则达10.8%,说明高薪招聘类诈骗短信在下半年占比增长明显。在近年就业形势严峻的大环境下,高薪招聘类短信值得警惕。


(四)诈骗电话在所有骚扰电话中的比例有所增加

2018年全年,在用户标记的近3.70亿个骚扰电话中,最常见的三大骚扰电话类型分别是:“响一声”、诈骗电话和广告推销电话。其中,诈骗电话占比相较2017年稍有所增加,由2017年的16.0%增加到2018年的16.8%。诈骗电话所依赖的是从各种渠道获取的公民个人信息,在需要加大对公民个人信息的保护力度的同时,也需要公民提高个人信息保护意识,尽可能避免个人信息尤其是隐私信息的泄露。


(五)腾讯手机管家用户月均标记诈骗电话超500万个

2018年腾讯手机管家用户平均每月标记511万个诈骗电话。其中,7月份诈骗电话最多,超618万个;有春节长假的2月份最少,为250万个。


(六)要求转账类诈骗电话占比近年呈现增长趋势

研究发现:在几种常见的诈骗电话内容类型中,要求转账类诈骗电话占比近年来一直呈增长趋势,且已经成为当前最常见的诈骗电话类型。这类诈骗电话会诱导用户转账到所谓的“安全账户”,需要广大手机用户提高警惕。2018年,其他常见的诈骗电话类型分别是:冒充领导、索要验证码、冒充公检法、网购订单问题和包裹被扣押等。


 

 

(七)网络非净土,2018年5550亿次恶意网址被拦截

2018年,腾讯安全实验室共计检测恶意网址达1.82亿次,共拦截恶意网址达5554亿次,月均拦截恶意网址达463亿次。虽然罕有用户遭受了恶意网址带来的损失。但对普通用户来说,互联网也并非是一片净土。用户一旦点击进恶意网址,触发网站内恶意木马、病毒等程序,导致手机被感染,将面临帐号密码丢失、隐私信息泄露等威胁。


(八)信息诈骗类恶意网址虽占比较小,但危害不容小觑

根据腾讯安全实验室2018年拦截的恶意网址数据,色情网站和博彩网站是最常见的恶意网址类型,占比分别达57.1%和34.5%。信息诈骗类恶意网址虽仅占7%,但上当受骗的用户数并不少、蒙受的损失也比较巨大。

 

八.  2018年典型诈骗案例剖析

(一) 网上刷单诈骗

2018年11月7日下午,36名利用网络刷单实施电信网络诈骗的犯罪嫌疑人被我国公安机关从菲律宾押解回国,涉及国内多个省、自治区、直辖市的700余起电信网络诈骗案成功告破,涉案金额1800余万元。

诈骗者首先会在网上发布招募刷单兼职的信息,当受骗者有意向应聘后,会与受骗者签署一份不具备任何法律效应的劳动合同来获取受骗者的信任。随后进一步以蝇头小利让受骗者尝到甜头,当确认受骗者对他们深信不疑时,便开始有计划地设下陷阱骗取钱财。随着受骗者刷单量不断增多,诈骗分子最后会以未完成任务量、网络故障等诸多理由不按照事先的约定返还本金和报酬,而是要求受骗者继续刷单并投入更多的本金,使其越陷越深。。

在这个过程中,诈骗团伙会给受骗者发来真实的商城链接,却在受骗者拍下商品即将付款时,以“直接付款会被平台发现并处罚”为借口,要求受骗者通过他们发来的付款码付款,而这个付款码和之前拍下商品的商城没有任何关系,受骗者的钱直接进了骗子的腰包。


(二)高科技截获短信验证码,盗刷银行卡

2018年出现一种新的高科技诈骗手段,犯罪份子用「GSM劫持+短信嗅探」的方式,可以把受害者银行卡里的钱盗刷或者转移。

具体犯罪过程分为以下四步:

第一步:犯罪团伙基于2G移动网络下的GSM通信协议,组装成便于携带易使用的短信嗅探设备。

第二步:通过号码收集设备(伪基站)获取一定范围下的潜在的手机号码,然后在一些支付网站或移动应用的登录界面,通过“短信验证码登录”途径登录,再利用短信嗅探设备来嗅探短信。

第三步:通过第三方支付查询目标手机号码,匹配相应的用户名和实名信息,以此信息从各种途径获取目标的身份证号码、银行卡号。由此掌握目标的四大件:手机号码、身份证号码、银行卡号、短信验证码。

第四步:通过获取的四大件,实施各类与支付或借贷等资金流转相关的注册/绑定/解绑、消费、小额贷款、信用抵扣等恶意操作,实现对目标的盗刷或信用卡诈骗犯罪。

九.  预防网络诈骗建议

虽然现代社会骗子行骗的手段令人眼花缭乱,难辨真伪,但万变不离其宗。广大网民只要拥有较强的网络安全意识,掌握必要的防骗知识,就能轻易的识别网络诈骗行为。在此,建议网民掌握以下六点防网络诈骗措施:

(一)保护好个人信息

不要随便泄露自己的个人信息。很多不法分子以个人信息为基础,通过电话、网络,伪装自己身份,骗取钱财。

(二)遇到怪事要多方求证

收到奇怪信息或电话,不要盲目行事,可与家人沟通或到有关部门查询事情真伪,不要轻易给陌生人汇款。

(三)永远别贪小便宜

诈骗分子往往利用人们贪小便宜的心理,让人越陷越深。所以要杜绝自己有贪小便宜的心理,以免蒙受巨大损失。

(四)吸引眼球的毒糖果

网上常有小广告,以夺人眼球的标题,吸引人们点击进入网站。这类链接不要轻易点击。

(五)获取信息要甄别

在网上社交信息中,常会碰到高薪招聘、在家兼职等信息。在联系负责人时,切勿轻易交钱,损害个人利益。

(六)不随意扫二维码

街上时常会出现扫二维码赠送礼品的活动,这时不要轻易扫码。




课题负责人:

 王晓冰  腾讯社会研究中心总监

 胡延平  DCCI互联网数据中心创始人

 

课题执行人:

 刘  杰  腾讯社会研究中心研究员

 张  伟  DCCI互联网数据中心技术总监

 胡修昊  DCCI互联网数据中心高级分析师

 宋  磊  DCCI互联网数据中心高级市场经理

 叶逗逗  腾讯社会研究中心研究员

 吴雨阳  腾讯社会研究中心研究员


安全快讯 更多

手机丢了应该怎么办?

手机丢了应该怎么办?

2021-08-16
做兼职,这些陷阱别踩!

做兼职,这些陷阱别踩!

2021-08-16
人之间的区别是什么?

人之间的区别是什么?

2021-08-16

安全视频 更多

小管说安全(4)——狗阿旺的案情回顾

2017-12-06

手柄助手完美适配光荣使命

2017-11-30

小管说安全(3)——谣言有毒

2017-10-24