概述

————————————————————————

2020年互联网诈骗案件依然处于高发趋势，相较于2019年比较单一的诈骗方式，2020年诈骗方式变得更加五花八门，迭代更新变得更加迅速，产业链条更加完善更具规模。

恒安嘉新（北京）科技股份公司，利用自身互联网安全态势感知系统，通过与合作伙伴进行合作，在互联网反诈领域，利用自身技术优势，持续提供互联网诈骗监测、被诈骗预警与封堵服务，为相关部门提供互联网诈骗相关线索。同时，2020年我们从诈骗产业链这一新角度入手寻找更多的突破点，结合多个维度撰写了本年度的互联网反诈分析报告。

2020年，恒安嘉新共计检测到85919004次互联网诈骗事件；其中杀猪盘诈骗事件44371037件；网贷诈骗事件139700件；涉及41个诈骗大类、1356个诈骗小类；累计疑似受骗用户共计328517人，来自于全国362个地区。

在日常配合合作伙伴监测互联网诈骗事件的同时，我们主动对全球的新增域名进行了收集、检测，目的在于从域名申请建立的第一时间就能够做到发现并及时预警。2020年全年累计收集新增域名154313727条，在对新增域名的研判分析过程中，累计发现各种违法违规域名1703969条。在整个诈骗产业链条中，我们尝试从源头进行分析，对诈骗相关黑灰产的一些内容进行了深一步的挖掘。

本文通过分析2020年监测、发现的互联网诈骗相关数据，对今年的互联网诈骗态势进行了全方位的分析与展示。主要从互联网诈骗事件态势，新增域名分析情况这两个方面对2020年互联网诈骗态势进行总结。通过分析出的结论，以试图帮助推进我国互联网反诈工作，并为未来的反诈工作提供一定思路。

第一部分：互联网诈骗网络态势分析

————————————————————————

一、 互联网诈骗事件月度分析

2020年恒安嘉新全年累计检测到互联网诈骗事件85919004件，从整体分布上来看2020年上半年整体事件量少，全年事件主要集中在下半年。上半年第一个峰值出现在三月份，主要由于恒安嘉新大量丰富了杀猪盘类型规则，使得其监测能力得到很大提升。后续在有效监测、预警下。四月、五月整体事件数量有所下降。这一部分原因是四、五月份开始恒安嘉新配合公安机关对监测到的涉诈网站进行了大范围的反制，进而较为有效地降低了涉诈事件量。

2020年下半年，监测事件数量对于上半年有大幅度增加。主要在于恒安嘉新在保持对杀猪盘类型诈骗的日常分析的同时，增加了对其他类型诈骗的监测规则，监测能力进一步上升，整体做到对全网的互联网诈骗事件更加全面的监测、发现。同时，由于当前有关部门的反制能力仍存在瓶颈，当达到饱和后，无法提供持续有效地增量反制，因此随着时间推移，涉诈事件有所反弹。2020年事件态势在11月份达到峰值，在12月份有所下降，推测由于疫情反弹，对人员流动有一定影响，间接影响到诈骗事件的发生。详细数据可参考图表1。2020年整体呈上升趋势。

图表 1 2020年互联网诈骗月度事件数量图

为了对2020年全年监测事件数量做一个更好的展示，图表2将数据细化到每天事件发现数量上，从图表2看出，2020年全年属于波动上升的趋势，在每次扩充规则后，都能明显发现一定量的新增的事件，并在有效预警下，有一个控制效果。

图表 2 2020年互联网诈骗日度事件态势图

二、 互联网诈骗每小时态势统计

从互联网诈骗每小时态势的角度来看，色情、赌博诈骗非常严重，每日的互联网诈骗事件是呈现明显关联波动情况，常规的投资、彩票、网贷等诈骗活动，在白天工作时间发生的频率较高，色情类诈骗事件在夜晚呈现高发态势。如图表3所示，在晚上下班后从22点起逐渐增长，到夜里0点左右达到顶峰。

图表 3 色情诈骗事件时间分布图

其他赌博，投资、贷款等诈骗活动如图表4所示，由于网民在上班途中或刚开始上班，使用手机频繁，数据显示从早8点左右开始增长，在下午15点达到顶峰，全天呈现一个相对增加的态势。

图表 4 其他类型诈骗事件时间分布图

三、 受骗人员来源分析

恒安嘉新针对北京地区的预警事件中潜在受害者的归属地进行分析。其中以北京市本地为来源事件数量最多，累计6300万条事件，占据74%的比例。对除北京以外的地区进行分析，来源以河北，河南，山东，山西、天津、四川、广东、辽宁、黑龙江、江苏为主，图表5展示了上述10个省份的事件数量情况。整体由于河北省紧邻北京市，人口流动上较为频繁。

图表 5 其他地区受害者来源数量TOP10

对归属地为地级及直辖市受骗人分布进行分析后，其中包括362个地级以及直辖市，来源以承德市、保定市、安阳市、成都市、廊坊市、石家庄市、邯郸市、哈尔滨市、深圳市、武汉市为主，图表6展示了来源为地级及直辖市事件top10数量情况。主要为河北省内市区人员。

图表 6 来源地区TOP10

四、 诈骗事件类型分析

在对全年涉诈事件内容进行分析后，根据其具体分类进行了统计，2020年共检测到9个诈骗大类包括杀猪盘，诈骗应用，黑灰产，赌博网站，刷单兼职，投资理财，付费入群，健康医疗，利诱返利。以及42个诈骗小类的互联网诈骗事件。

其中杀猪盘类诈骗事件占据全年主导位置，占比58.35%，其次诈骗应用类别占比30.40%。黑灰产占比7.40%。其他诈骗类型数量相对较少。图表7为诈骗大类具体的分布数量情况。

图表 7 2020年监测诈骗事件大类及数量占比图

以小类为维度进行分析后，主要以赌博类诈骗为主，赌博类诈骗中又以杀猪盘赌博为最，全年杀猪盘赌博类事件数量达到3000万条，其他赌博类事件也达到了1000万条，网络赌博诈骗依然为目前比较主要的诈骗途径。图表8展示了目前诈骗小类top10类型以及数量情况。

图表 8 诈骗事件小类TOP10

五、 诈骗事件相关网址分析

1. 诈骗网址类型分析

恒安嘉新对互联网诈骗网址的类型进行了分析，其中主要针对网址的类别进行分析，类型主要包括域名与IP地址两个类别，统计分析后，其中域名类诈骗网址总计3万条，ip类诈骗网址总计2千条，详细占比情况如图表9所示。

图表 9 域名、IP比例图

后续对采用ip形式的网址进行分析后，发现其中诈骗APP接口类型居多，由此可见同类型极大可能来源于同一作者，采用同一套模板。并且我们了解到仿冒公检法以及仿冒其他政府网站的诈骗网站，也是直接采用ip做服务地址较多。

2. 诈骗网址热门网址分析

提取全量诈骗事件中的涉诈网址后，发现以赌博类网站的bet-365和无极荣耀占比最高，分别达到32551834条和14779957条事件，并且同一网站其具有相当的多镜像网站，域名均采用类似的字母+数字的方式命名。图表10为涉诈网址的top10数量，其中wj455.com以及wj477.com均为无极荣耀网站。

图表 10 涉诈网址TOP10

第二部分：全球新增域名分析

————————————————————————

一、 概述

2020年恒安嘉新针对全球每日新增的域名进行了收集以及研判，全年累计研判域名数量154313727条。其中累计违法违规网址2648473条，其中涉诈域名311611条。主要包含了7个诈骗大类，21个诈骗小类。

二、 全球新增域名每日新增数量

2020年全年每日新增域名数量在前半年整体数量较少，每日维持在20-30万之间，从6月份起有较大数量的上升，日均增加数量为50-70万左右，详细增长情况如图表11，其中灰色曲线数据源是从8月份开始监控的。从图表可见越来越多的域名投入到互联网中，详细用途可想而知。

图表 11 2020年新增域名分布情况

三、 新增涉诈域名类型分析

1. 新增域名涉诈大类分析

针对新增域名中7个互联网诈骗大类进行分析，7类互联网诈骗种类分别为仿冒钓鱼，健康医疗，刷单兼职，投资理财，色情网站，赌博网站，黑灰产。图表12展示了这7类互联网诈骗种类的事件占比情况。

其中赌博类的诈骗网站数量最多，占到75.13%；于前两个季度占比有所下降，其次投资理财、刷单兼职占比也不低，分别为9.6%和9.9%。说明目前网络诈骗中通过赌博网站进行诈骗依然占据了大部分，其次投资理财和刷单兼职这两种方式的诈骗事件也在逐渐增多。

图表 12 新增域名涉诈大类占比图

2. 新增域名涉诈小类分析

恒安嘉新在除去数量较大，类别比较单一的的赌博网站后，对剩余的小类进行了专项分析。

其中主要包括刷信誉、虚假借贷、分发平台、虚假金融交易平台、诱导色情等类别。图13展示了涉诈域名小类top10的类别以及数量情况。

图表 13 新增域名涉诈小类TOP10

仿冒ETC网站以及仿冒国家企业信用信息公示系统也呈现增多趋势，图14为仿冒国家企业信用信息公示系统的网站截图。图15、16为仿冒ETC网站截图。

图表 14 仿冒国家企业信用信息公示系统

图表 16 仿冒ETC网站

图表 15 仿冒ETC网站

四、 涉诈域名解析情况分析

1. ip归属地分析

恒安嘉新对所有检测到的新增违法违规网站的解析地址进行了整理收集，最多是美国，其次是中国（含港澳台地区），第三是日本，还有德国，荷兰，新加坡，法国，英国，俄罗斯，韩国等国家，详细分布情况如图表17示。

图表 17 ip归属地国家分布情况

2. 国内ip分布情况

由第1小节可知，目前35%的违法违规网址解析的ip地址为国内，所以我们针对性的对所有归属地为国内的ip进行进一步的分析，查看其在国内各省市的分布情况。

国内分布主要在香港地区，占比67%。其次是北京市也有一部分，大概占比8%，相对较低，之后就是浙江、广东等互联网产业较发达的地区。具体占比如图表18所示。

图表 18 国内IP归属地分布情况

3. 所属运营商分布情况

完成对服务归属地的分析后，对所有ip的运行商进行了统计，其中国内主要以cloudinnovation（ip地址管理的机构）为主，其次就是阿里云以及三大运营商，整体占比情况如图表19所示。

图表 19 ip所属运营商分布情况

五、 涉诈顶级域名分析

对所有涉诈域名的顶级域名做提取后，其中com在数量上依旧占据头名，com顶级域名数量为226050，占比75%。后续cn顶级域名数量为38116，占比12%。剩余部分数量较少顶级域名，详细占比以及数量情况如图表20所示。

图表 20 涉诈顶级域名TOP10

总结与反思

————————————————————————

2020年终究是不平凡的一年，在这一年中恒安嘉新智能创新安全研究院团队，利用恒安嘉新自身态势感知系统能力，配合合作伙伴对2020年互联网诈骗进行态势进行全程跟踪、监测。对监测到的互联网诈骗事件数据进行了分析，从多个不同的角度进行深入阐述，以求能够尽可能全面地展现我国当前互联网诈骗的态势及相关特点，为我国后续互联网反诈工作及我司相关互联网反诈产品系统的应用提供支持。

同时，2020年恒安嘉新智能创新安全研究院团队对互联网诈骗相关的技术、黑灰产链条都进行了较为深入的研究，也获得了一定的成果。团队对黑灰产工具类APP进行了研究，了解了部分黑灰产工具的网络特征，这有助于通过黑灰产工具对诈骗分子进行发现溯源打击；团队对全球各类分发平台进行研究和主动探测，探测到了数以千计的分发平台，并对其中的APP进行获取与分析；团队还对APP动态域名接口进行了分析和对抗，从这一环节发现数千杀猪盘域名，并持续更新；此外，团队利用图像处理技术，检测出了多种不同企业的仿冒贷款类诈骗网站如仿冒京东、仿冒平安集团等；团队初步对四方支付平台与跑分平台进行了分析，梳理了它们直接的关系；开发了对部分平台的资金流分析工具，可以帮助有关部门梳理资金流情况；研究了诈骗人员画像分析技术，并正在进行实践。

总体而言，2020年互联网诈骗仍然呈现高发态势，但国家及相关多个部门与企事业单位已经开始重视，并集中力量进行对抗与打击，在2021年里，恒安嘉新希望能够同多方共同努力，打赢这场人民财产保卫战。

恒安嘉新（北京）科技股份公司是具有“云—网—边—端”整体解决方案的通信网安全领军企业，专注于网络空间安全综合治理领域，主营业务是向电信运营商、安全主管部门等政企客户提供基于互联网和通信网的网络信息安全综合解决方案及服务。

“没有网络安全就没有国家安全。”网络空间是国家**的新疆域，网络空间安全事关国家安全和国家发展，是把我国建设成为网络强国的有力保障。基于安全与业务的伴生性以及威胁的复杂性，政府、电信、金融、能源等领域对于网络空间安全综合治理产品均存在广泛而迫切的需求。为此，公司自主研发了具有网络空间安全监测预警、威胁研判、追踪溯源、态势感知和应急处置等能力的产品，可用于构建支撑全天候全方位的网络空间安全态势感知和防御体系。

公司是国家高新技术企业，以“支持国家、服务社会、助力行业、合作共赢”为经营理念，矢志成为网络空间安全基础能力的搭建者和网络空间安全生态的引领者。凭借多年的技术和经验积累、卓越的产品和服务质量以及良好的品牌形象和业界口碑，公司产品广泛布局在除港澳台外全国 31 个省、自治区和直辖市，为安全主管部门和电信运营商监测核心网、骨干网、城域网 3,480 个核心网络节点。基于采集点的广泛布局和安全技术的长期积累，公司的网络安全数据采集和分析效率位居行业前列，公司为电信运营商和安全主管部门提供的网络安全数据实时分析能力超过 500Tbps。

公司连续五届入选 CNCERT “网络安全应急服务支撑单位（国家级）”，并为“新中国成立70周年系列活动”、“十九大”、“两会”、G20 杭州峰会、世界互联网大会、“一带一路”峰会、上合峰会、金砖国家领导人峰会、中国国际进口博览会等提供国家级网络安全保障服务；同时，根据 CNCERT 于 2019 年 7月发布的结果，公司是2019年度全国31个省级分中心联合推荐的国家级支撑单位。此外，公司也是“国家网络与信息安全信息通报机制技术支持单位”、“工业信息安全应急服务支撑单位”，参与建设了“计算机病毒防御技术国家工程实验室研究室”和“计算机病毒防治技术国家工程实验室”，在网络空间安全领域拥有突出的行业公信力和品牌影响力。

公司高度重视自主研发能力的培育和建设，并围绕互联网和通信网一体化的海量数据实时处理技术、具有深度学习能力的智能安全引擎技术 、“云—网—边—端”综合管控技术等三大核心技术，构建了自主可控的知识产权体系和产品体系。截至 2020 年9月，公司共申请发明专利106项，其中16项已取得专利权（含1项美国专利）；拥有计算机软件著作权142项和作品著作权2项；参与制定180 项国家、行业、团体标准，其中32项行业标准已完成发布。

来源：freebuf.com 2021-02-01 11:16:03 by: 恒安嘉新