近年来，一种新型的诈骗方式“伪基站 + 钓鱼网站”将目标锁定网银用户 , 用户可能受到 95533、10086 等积分兑换的钓鱼短信，“伪基站”由于能使垃圾短信绕过主管部门和公众通信运营商的监管，用最高的性价比满足不良商家和不法分子巨量短信投放发送的需求而屡禁不止 。“钓鱼网站”的典型作案方式是通过仿冒银行网站或知名电子购物网站，骗取网民的网银帐户和密码。“钓鱼网站”制作成本、违法成本极低，其黑色产业链已经形成。此类诈骗发生后关联方互相推诱，受害者难以维权。又因犯罪分子经常更换服务器，域名等。在诈骗成功立即将数据删除，造成公安机关取证困难，迫切需要新的取证技术。
 
    1.“伪基站+钓鱼网站”技术解析
    1.1“伪基站 + 钓鱼网站”介绍
  “伪基站”设备是当前一种实施电信诈骗手段的高科技仪器，由主机和笔记本电脑组成，能够搜索一定半径范围内的手机卡信息，并任意冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。此类设备运行时，用户手机信号被强制连接到该设备上，无法连接到公用电信网络，以致影响手机用户的正常使用 。
   “钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的 U R L 地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的 HTM L 代码，以此来骗取用户银行或信用卡账号、密码等私人资料。而“伪基站 + 钓鱼网站”被认为是完美黑产，它们各自的优势互补，导致网民网银被盗刷案件趋势越来越高。
    1.2“伪基站 + 钓鱼网站”犯罪流程犯罪团伙一般先购买“伪基站”设备。成本在 1 万元左右，同时购买多个服务器、域名，成本在数百元左右，由犯罪团伙自制钓鱼网站或是花钱请人制作；再雇佣人员或是自己团伙人员带上“伪基站”设备，在人口密集和交通繁忙的区域发送诈骗短信。现今，犯罪团伙使用的诈骗短信输入设备有了大幅度更新，使用 A p p 可随时编辑诈骗短信内容。诈骗短信设备与手机端连接，通过手机内预装的 A p p 软件，可以实现随时更改诈骗短信内的钓鱼网站地址。
    2.钓鱼网站危害性
    钓鱼网站因制作成本低，模仿各类官方网站，形式多样，种类繁多，具有极强的迷惑性，如模仿银行的网站首页、输入信息页面或移动网站的输入信息页面。当用户点击钓鱼网站，填写个人信息与银行账户信息之后，犯罪团伙可对网银资金进行盗刷，盗刷金额往往也巨大。
经过对一个钓鱼网站分析，在一个小时内至少有几十位用户会上当并填写相关信息，每位用户被盗刷金额平均在 3000 元左右，一天即可骗走几十万乃至几百万，可见危害性之大。
 
    3.钓鱼网站技术侦查与取证
    3.1 钓鱼网站常见取证方式
常见侦查取证方式为：公安部门联系违法网站的服务器运营商，让协助提供服务器数据；查封违法网站服务器与数据库；对钓鱼网站域名进行拦截。这些侦查方式所花费时间长，成本高且可能惊动犯罪分子，在实战中不一定可取，迫切需要新型的取证方式。钓鱼网站多因制作成本低，并未在网站安全方面做过多的防护，民警可采取寻找网站漏洞，并采取渗透攻击方式，对网站进行取证分析与封堵拦截处理。
    3.2 新型取证方式
    根据对钓鱼网站源码分析，大多数钓鱼网站均存在 XSS漏洞或 S Q L 注入漏洞。本节将详细探讨相关渗透技术。在发现或接警钓鱼网站之后，首先判断是以哪种方式来进行
“钓鱼诈骗”。常见的“钓鱼”方式有：输入框形式：直接让用户在输入框填写相关信息；下载病毒 APP 形式：诱导用户点击钓鱼网站后，填写相关信息后诱导用户下载病毒A P P，对用户银行短信或网银软件进行拦截并转发到犯罪分子手机或邮箱或网站后台。
 
    XSS 最大的特点就是能注入恶意的 HTML/Java Script代码到用户浏览的网页上，从而达到劫持用户会话的目的。由于 HTML 代码和客户端 Java Script 脚本能在受害者主机
上的浏览器任意执行，这样等同于完全控制了 Web 客户端的逻辑。公安民警对钓鱼网站可采取 XS S 攻击方式，达到劫持犯罪分子电脑 W e b 客户端，并可查看 I P，浏览器信
息以及后台数据信息。钓鱼网站一般会有多个输入框，让
网民填写信息。而这些输入框很多未对相关 XSS 攻击代码
进行过滤，可以将 X S S 攻击代码填写在这些输入框中，形
成网站储存型 X S S 漏洞，在犯罪分子查看后台数据时，自
动运行 Java Script 代码，就可劫持钓鱼网站后台管理员的
Cookie，并发送给民警，民警可伪造 Cookie 进行登录，获
取相关嫌疑人犯罪信息。下面以实例说明。
（1）准备 XSS 渗透工具
该类工具一般需要搭建服务器，以运行 XSS 渗透工
具，常见的 XSS 渗透工具有：XSS-Proxy、XSS  Shell、
Attack API、Anehta 等。首先在本地或者是远程服务器上安
装支持 Web 的 ASP 或者 PHP 运行的相关软件，在远程服
务器上，创建接收和记录 Cookie 信息的文件。注意给 Web
文件夹配置相关可读写的权限，以便写入文件。
（2）输入攻击代码
在输入框输入攻击代码：
< s c r i p t > d o c u m e n t . l o c a t i o n = " i p / a t t a c k .
asp?cookie="+document.cookie</script>，ip 处填写本地
IP 或是远程服务器 IP 或者网站域名。
（3）查看 cookie 会话劫持文件
（4）Cookie 伪造登录
Cookie 欺骗工具有：chrome 浏览器的 Ed i t  th i s
cookie 插件，桂林老兵 Cookie 欺骗工具等，笔者此处用
chrome 浏览器的 Edit this cookie 插件，安装好插件后，
先在 chrome 浏览器打开钓鱼网站后台界面，右键点击选
择插件，在插件中更改 Cookie 值，然后保存，再刷新后台
页面即可进入。
（5）截获数据库
一般钓鱼网站后台都有上传文件功能，而且未对文件类型
进行限制，可以直接上传webshell进行攻击，拿下web权限后，
可以寻找到数据库文件，进行下载，数据库可作为电子证据。
3.2.2 诱导下载病毒 APP 形式渗透取证方式
对于存在 APP 的钓鱼网站也可采取 XSS 渗透取证方式，
可利用 Android Killer 先对 APP 进行逆向取证分析。一般这
类 AP P 的主要功能是：拦截短信，将银行发送的验证码短
信拦截后发送到犯罪分子的邮箱中，犯罪分子利用相关信息
与验证码进一步盗刷卡。逆向获取到犯罪分子邮箱后，可以
进一步利用社工对手机号进行调查。在解密密码后，也可登
录犯罪分子邮箱，进一步进行取证调查。
4.XSS渗透取证技术探讨
网络犯罪取证一般重点在于犯罪分子的数据库，当然
服务器 I P，浏览使用痕迹等电子数据也是侦查取证的重要
资料，例如：在 Javascript 脚本代码中利用 Microsoft.
X M L H T T P 控件直接向提供 I P 查询的网站发送了一个 g e t
请求，可获取目标 IP 信息；通过 Javascript 可实现扫描
目标主机所在的内网，探测端口开放情况，当然也可采
用 n m a p 工具根据获得的 i p 地址进行端口和弱点探测；
Java Script/CSS history hack能获取浏览器的某些历史记
录，其原理就是利用 C S S 能定义访问过的和未访问过的超
级链接的样式，由于 Java Script 可以读取任何元素的 CSS
信息，自然能分辨浏览器应用了哪种样式和用户是否访问
过该链接；用户在浏览网页的过程中，经常会负责和粘贴
一些重要信息，这些信息可能含有用户账号、密码等一些
隐私数据。这也往往是能得到犯罪分子的一些重要情报。
利用 Java Script 中 window.clipboard Data 对象获取剪贴
板处理的内容，此外还可以利用 Java Script 实现键盘监听，
cookie 获取等内容。
5.结语
“伪基站 + 钓鱼网站”犯罪案件量逐年上升。该犯罪
成本低，有着全套的产业链，新手可在短时间熟练掌握犯
罪方式，回报成本高，令很多犯罪分子铤而走险。但因犯
罪分子经常更换服务器与域名，逃避打击，造成公安机关
取证难，侦查难。本文所探讨的渗透攻击取证技术在实战
中已证明可发挥出较大作用，公安机关在查处此类案件可
采取本文探讨的相关技术，对犯罪网站及时阻止，严厉打
击犯罪分子。
作者:冷涛/何良. 四川警察学院计算机科学与技术系
参考文献
＊ [1]王德广,张旭.利用手机信息精确定位伪基站的方法研究[J].
微型电脑应用 ,
＊ [2]陈强，刘亮. 基于智能手机的伪基站检测方法[J]. 信息安全
与通信保密 ,