随着移动计算技术的发展，移动博彩诈骗案件在最近一段时间迅速增长。在移动博彩诈骗中，不法分子通过手机即时通讯发送诈骗信息，在手机软件上搭建诈骗博彩平台，使用移动支付获利。到目前为止，尽管每天由博彩诈骗造成的损失估计超过522,262美元，但关于这种网络犯罪是如何运作的量化分析却十分匮乏。

本文提出了基于移动博彩诈骗的真实数据的第一个实证研究，相关数据采用了2020年1月1日至2020年12月31日期间的1461个诈骗事件报告和1487个博彩诈骗应用程序相关。对这些真实数据的定性和定量分析使我们能够描述移动博彩诈骗的操作流程和完整的诈骗攻击链。特别地，我们研究了骗子使用的社会工程技巧，并揭示了它们的有效性。我们的工作对1068个已确认的Android和419个iOS诈骗应用进行了系统分析，包括它们的开发框架、声明的权限、兼容性和后端网络基础设施。令人惊讶的是，我们的研究揭示了公共在线应用程序生成器被滥用来开发博彩诈骗应用程序，并揭示了博彩诈骗应用滥用的支付渠道。我们还发现了一种新型的基于钱骡的支付渠道，其平均每天的涉及资金高达40万美元。相关发现使我们能够更好地理解移动博彩诈骗生态系统，并提出了干扰诈骗活动的可能手段。

博彩诈骗是一种普遍的线上诈骗形式，在这种诈骗中，骗子声称可以在博彩活动(如赌场、扑克、体育博彩）中提供优势，以骗出玩家的钱。博彩诈骗已经给个人和企业造成了巨大的经济损失。据报道，加拿大彩票诈骗从美国受害者那里赚取超过50亿美元，在英国则是每月约50万英镑。在中国，网络博彩诈骗是所有诈骗类型中人均经济损失最高的。

随着移动市场的快速发展和普及，博彩诈骗正在将触角伸向移动领域。在移动博彩诈骗中，不法分子通过即时通讯(IM）发送诈骗信息，并在移动应用程序上设置诈骗博彩平台。这些应用程序阻止受害者将他们赢得的奖金兑现。与基于网络的诈骗相比，移动博彩诈骗的特点是利用移动端社交工程攻击(如通过即时消息应用程序的诈骗信息）分发博彩诈骗应用程序，利用移动支付渠道，利用移动计算技术绕过传统的基于网络的诈骗检测。先前关于网络诈骗的工作主要集中在检测诈骗网站，识别诈骗活动，或诈骗网站的生命周期。这些工作的一个关键局限性是，它们是基于外部测量，对博彩诈骗的攻击链的可见度有限，例如，骗子如何发起社会工程攻击来诱骗受害者；诈骗平台的手法是什么；而这种诈骗的盈利能力怎样？到目前为止，对此类移动诈骗应用的分析还很少，更不用说了解它们背后的地下生态系统了。

本文提出了第一个基于真实数据集的移动博彩诈骗的系统研究。数据来自匿名机构提供的1461个诈骗事件报告，涉及1068个Android应用程序和419个iOS应用程序，时间跨度为2020年1月1日至2020年12月31日。根据真实数据，我们对事件报告进行定性分析，并开发了一套测量和专门的逆向工程工具，使我们能够大规模研究并挖掘基于移动博彩诈骗的攻击链。更具体地说，我们的目标是回答以下问题：在移动博彩诈骗中，不法分子使用了哪些社交工程技术？他们是怎么操作博彩诈骗软件的？他们如何在严格的金融审查下提供逃避审查的支付渠道？

研究了移动博彩诈骗的生态系统之后，我们惊讶地发现，这种新的威胁对当今的移动生态系统产生了巨大的影响。更具体地说，通过对这些诈骗事件报告的定性分析，我们研究了骗子用来诱骗受害者参与博彩诈骗的社会工程技术。我们观察到，骗子通过移动应用程序(包括即时通讯软件(55.4%）和社交软件(28.1%)，如在线问答、求职、约会应用程序）与受害者建立联系，并根据受害者的社交网络信息伪造个人资料。有趣的是，我们观察到受害者在被引诱后会主动请求诈骗博彩应用程序。与骗子说服受害者下载诈骗应用程序的情况相比，这种情况的诈骗损失要高得多(平均每例4万7千美元和 3万美元）。通过对1487个博彩诈骗应用的调查，我们观察到两个公共在线应用生成器，即DCloud和APICloud，被滥用来开发诈骗应用。在博彩诈骗应用开发过程中，这些应用生成器提供的证书已被用于签署137个诈骗应用。重要的是，我们发现博彩诈骗应用倾向于声明支持的最低操作系统版本的较低要求(Android博彩诈骗应用为4.4，谷歌Play中的知名应用为5.0)，以确保版本之间的兼容性，因此可以覆盖更多的受害者，即使他们的开发SDK版本没有过时。

此外，我们分析了移动诈骗应用所使用的支付渠道，发现了骗子使用的8个支付渠道，包括传统的银行支付渠道(如借记卡支付），在线支付服务(如支付宝和微信支付），加密货币(如Tether和CGPay）和基于钱骡的支付(如支付宝和闲鱼）。我们还介绍了匿名交易的新技术，即闲鱼钱骡。为了支持这一支付渠道，骗子招募钱骡，这些钱骡是跳蚤市场应用程序闲鱼的卖家，用来转移博彩存款。我们的研究发现了110家闲鱼商家涉及洗钱，我们已经向平台报告了这些商家。我们的研究通过遍历17144个支付链接进一步调查了这一支付渠道下的收益，结果显示平均每日收益高达40万美元。我们向受影响方报告了我们的发现，包括苹果、华为、小米、Getui、DCloud和闲鱼，他们对这些风险非常重视。他们中的一些人通过赏金计划对我们的帮助表示感谢。

如前所述，博彩诈骗是一种网络犯罪诈骗，它在博彩活动中骗取受害者的钱，如扑克、赌场和体育博彩。相比于传统的博彩诈骗，现代的博彩诈骗更倾向于阻止受害者套现。例如，当受害者想要兑现他们赢得的奖金时，他们可能被告知他们的账户被冻结或被荒谬地多收钱。注意，在我们的研究中，我们关注的是博彩诈骗活动。博彩的合法性超出了本研究的范围。

从互联网到移动设备，当今社会，博彩诈骗越来越多地通过部署到受害者智能手机上的移动应用程序发生，而不是受害者浏览网站。在这里，我们介绍一个由匿名执法机构提供的典型移动博彩诈骗案例，以展示这种诈骗活动是如何操作的，以及每个实体是如何相互作用的。

图1

图1展示了移动博彩诈骗的操作流程，包括四个阶段：连接建立、应用分发、存入赌资和诈骗。首先，骗子通过与受害者建立连接(①）启动攻击。为了建立和赢得信任，骗子通常会创建一个虚假的个人资料，并通过流行的社交媒体应用程序（如约会应用程序或求职应用程序）联系目标。然后，骗子通常通过提供高额的利润，引诱受害者下载一个博彩诈骗应用程序(②)，就可以利用博彩应用程序的漏洞来赚钱。一旦受害者信任骗子并下载了移动博彩诈骗应用程序，他将通过博彩应用程序中嵌入的多种类型的支付渠道(例如，银行、第三方支付、加密货币、钱骡）充值他的账户(③）并开始赌博。同时，骗子会通过提供更丰厚的回报来引诱受害者不断地存钱。然后骗子会锁定受害者的账户(④)，阻止受害者提取他/她的博彩提现。在本研究中，我们关注的是博彩诈骗活动在移动应用程序上操作的案例。据我们所知，这是第一次进行这类研究。

在整个研究过程中，我们与匿名的执法机构密切合作。在这期间，我们使用了一个全面详细的数据集，涵盖了从2020年1月1日至2020年12月31日期间的1461个诈骗案件报告、1068个博彩诈骗Android应用程序和419个iOS应用程序。在这个数据集中，要么诈骗受害者生活在中国，要么诈骗活动发生在中国，其中456个诈骗应用程序已经被下架。对于我们调查的每个在线博彩诈骗应用，都包含以下信息，我们将在第五章和第六章详细分析。

诈骗应用样本。该数据集包含1487个在线博彩诈骗应用样本(1068个Android样本和419个iOS样本）。示例文件大小从23 KB到93.9MB不等。最小的一个只包含5个Java类，通过WebView实现其大部分功能。同时，最大的SDK由多个SDK(如推送服务SDK、第三方支付SDK）组成，支持各种功能。例如，我们观察到一个诈骗应用集成了一个直播博彩活动的SDK来诱骗受害者。

诈骗案件报告。诈骗案件报告由受害者提供的移动博彩诈骗案件的详细信息组成，包括事件发生的时间、损失金额、事件摘要(包括骗子如何与受害者建立联系、骗子如何建立并赢得受害者的信任、骗子如何向受害者提供诈骗应用程序等）。案件摘要的长度为171字至1931字，平均606.66字，标准差为190.36字。

我们的数据与之前网络犯罪研究中使用的数据相似。它来自执法机构，并记录了相关诈骗活动。为了避免使用这些数据可能会引发伦理问题，我们仔细设计了我们的研究活动，以确保它们在法律和道德的界限内。

本研究已获得伦理委员会批准。当我们咨询伦理委员会的相关工作人员时，该研究被认为是“最小级风险”。我们的研究仅使用之前由合作的匿名机构收集的数据，任何可能涉及个人身份的信息在案件报告与我们共享之前已经被删除。

除了获得我们机构的批准外，我们还遵守了门罗报告（Menlo Report）的原则。我们根据其评估“平衡风险和收益”，并精心设计了实验，确保我们的研究没有为罪犯贡献任何经济利益。例如，我们的充值测试既没有为罪犯提供任何资金，也没有试图与骗子沟通。在我们的研究中，我们反复发起充值请求，然后在收集交易信息(如加密货币地址）后撤回这些请求。在这篇论文的过程中，我们没有与受害者或犯罪分子互动。

此外，本研究旨在向研究界介绍移动博彩诈骗活动，使执法者和政策制定者更好地了解和洞察这些新型的诈骗活动。我们确信，给公众的带来的好处远远超过罪犯可能从我们的论文中提供的内容中获得的任何知识。

为了调查社会工程学攻击在移动博彩诈骗中的使用，我们对诈骗案件报告进行了定性研究。每一份报告都与一名独立的受害者有关。受害者的年龄范围是14-79岁(小于20岁占2.1%，21-40岁占70.6%，41-56岁占22.9%，大于57岁占4.4%)，学历在小学至博士之间(小学2.8%，初中21.5%，高中23.3%，大学52.4%)。本文试图回答以下研究问题：

研究问题1：骗子是如何与受害者建立联系来建立信任的？

研究问题2：骗子是如何把一个诈骗应用分发给受害者的？

研究问题3：骗子如何引诱受害者不断充值？移动博彩诈骗的逻辑是什么？

1. 数据编码

我们使用定性开放编码技术对1461个诈骗案件报告进行了研究。最终的编码本为骗子利用人类心理建立联系、发布应用程序并引诱受害者持续充值的足迹提供了标签。表1展示了我们的编码本。

表1

2. 建立联系

首先，我们分析一个骗子如何通过与受害者建立连接来启动攻击，编码为建立联系，如表1所示。当骗子扮演一个角色来建立联系和信任时，我们将这种策略编码为角色扮演。例如，ID-1380描述了一个骗子与他建立联系的过程：

“我在当地的一个信息分享论坛上发布了租房信息，然后一个男人联系我，问我房子是否出租了。我说房子还没有租出去。之后，他告诉我他的生意主要是家具贸易，然后经常和我聊天，因此我渐渐放下了警惕。有一天，他给我推荐了一个博彩应用……”

此外，根据我们的编码本，骗子扮演的角色可以分成三种主要方法：专业人员、亲密关系和权威人士。在编码为“专业人士”(22.7%）时，骗子充当技术人员或博彩导师，可以侵入博彩系统或者掌握博彩秘诀，来帮助受害者获利。亲密关系(14.0%）表示骗子与受害人建立暧昧或亲密的关系(例如男女朋友）以建立信任。此外，权威人士(0.7%）意味着骗子会选择社会地位和声望较高的角色（如执法人员）与受害者联系。

表2

如表2所示，在我们的研究中，我们观察到骗子通过在线社交网络(OSN）寻找受害者，如在线问答、短视频分享、求职和约会平台，然后根据受害者在OSN上留下的信息开始角色扮演。这种方法与传统的诈骗不同，后者通常通过打电话或发送电子邮件来建立联系。在与受害者建立联系时，骗子也倾向于进行具有更高社会地位、专业技术或亲密关系的角色扮演。例如，ID-627信任骗子，因为骗子显示了他在信息技术方面的“专业”：

“他(骗子）是一家软件公司的领导。有一天，他告诉我XX（匿名）的系统存在漏洞，他正在带领一个技术团队去解决这个问题。两天后，他说在修复这个问题时，他发现了一个博彩软件的漏洞，可以利用这个漏洞赚钱……”

我们还观察到有14.0%的案例，骗子在分发博彩应用程序之前会与受害者先建立关系，以建立他们的信任。如ID-844所述：

“我和他(骗子）聊得很开心，很快他就成了我的男朋友。五月中旬，他告诉我有一条赚钱的捷径……”

发现1：在与受害者建立联系时，骗子倾向于把自己伪装成拥有高社会地位、专业技术或亲密关系的角色。

发现2：骗子更喜欢通过在线社交网络(OSN）寻找受害者并建立联系(如在线问答、求职）。

3. 应用分发

博彩诈骗活动的一个关键步骤是向受害者提供应用程序。为了达到这个目标，骗子利用了几种心理策略，如表1所示。当骗子说服受害者下载博彩应用程序时，我们将策略编码为骗子驱动(56.7%)。受害者驱动(41.2%）是指受害者在被引诱后主动索要博彩应用，如骗子在群渠道中不断讨论和展示博彩利润收益或在社交媒体上发布博彩收入。例如，ID-192说：

“他(骗子）邀请我进入一个群。在那个群里，我看到有博彩导师教我们赌博，其他群友跟着赌博并赢了钱。他们声称他们都成功地获得了奖金。之后，骗子说在一个新的彩票应用中奖非常容易。我看到大家都说想要参与，所以我不能再等了，主动联系骗子下载博彩诈骗应用。”

有趣的是，当比较骗子驱动和受害者驱动两种情况下的诈骗损失时，我们发现，受害者驱动的诈骗损失明显高于骗子驱动，骗子驱动的平均诈骗损失为30,648.8美元(中位数为11,938.0美元），受害者驱动的平均诈骗损失为47,302.7美元(中位数为20,045.9美元）。这种差异表明，引诱受害者主动请求诈骗博彩应用程序的社会工程学技巧在骗取受害者钱财方面更有效。

发现3：引诱受害者主动请求诈骗博彩应用程序社会工程学技巧能更有效地骗取受害者钱财。

4. 充值

在发布了诈骗博彩应用后，骗子开始不断地强制受害者充值(代码为充值，如表1所示）。根据我们的编码本，这一步骤可以分为两个子类型：“激励”和“压力”。在“激励”策略(44.2%）中，骗子会激励受害者持续存钱，比如赢得奖金。与此同时，11.0%的诈骗者会在受害者不充值的情况下对其施加心理压力，这被称为“压力”策略。例如，ID-544描述了他被指责提供了一个错误的银行卡号：

“…客服说我的银行卡号码不对。只要再存一笔钱，我就可以改卡号。”

尽管骗子更喜欢使用激励来诱骗受害者(44.2% 相比于11.0%)，但我们发现这两种策略的成功率其实差不多。在这里，我们将成功率定义为遵循社会工程技巧(而不是欺骗意识）进行充值的受害者数量占总案例的比例，代码为“激励”或“压力”。我们观察到这两种策略有相似的成功率：几乎一半的受害者是被鼓励通过社会工程学技巧进行存款的。“激励”策略的成功率为47.1%。“压力”策略的成功率为48.1%。

发现4：为了确保受害者持续存款，骗子倾向于利用激励策略，而不是施加心理压力，即使两种策略的成功率相似。

5. 诈骗逻辑

我们研究中的所有案件报告都与套现诈骗有关，也就是说，骗子阻止受害者套现博彩收入。如表1所示，我们将他们的诈骗逻辑分为两个子类型：禁用应用程序功能和修改账户。大多数骗子通过禁用诈骗应用程序的功能来部署他们的诈骗逻辑，这意味着受害者的账户被冻结，或现金提现功能被禁用。与此同时，22名骗子直接清空了受害者的余额，编码为“修改账户”。

在某些情况下，我们发现骗子会编造借口来拖延被发现的时间。ID-138描述了他的经验：

“……有一天，博彩导师给我发来消息：公司经理因非法开设企业账户被逮捕，聊天账号已被封。请不要在短期内联系经理或导师。您的博彩账户余额将在一个月内退还。不要联系我们，否则你将自担风险。结果，到了月底，我发现自己没有收到任何奖金，也无法打开博彩应用。直到那时我才意识到自己被骗了，才向警察报案。”

发现5：与传统的网络博彩诈骗通过收取额外费用或出售博彩诈骗软件来诈骗受害者不同，我们研究的网络博彩诈骗的诈骗逻辑主要是通过禁用诈骗应用程序的功能实现的。

 （本文只选取原文中部分章节，更多精彩内容敬请期待后续出版的《网络安全研究进展》）

邬梦莹，复旦大学系统软件与安全实验室2021级博士研究生。她的主要研究兴趣为网络黑产和互联网测量，相关研究成果在政府部门和工业界落地实战，取得良好效果。曾在DataCon等竞赛中多次获得优异名次。

洪赓，复旦大学网络空间国际治理研究基地助理研究员。2022年6月毕业于复旦大学计算机科学技术学院，获博士学位。研究关注于网络黑产、数字货币、移动应用隐私保护等相关问题，并获得纳斯达克等多家媒体报道。研发涉赌涉诈网站/APP检测系统，相关检测技术在政府部门和工业界落地实战，取得良好效果。获得ACM CCS Highlight Award（国内论文首次入选），ACM SIGSAC China优博奖等荣誉。

【USENIX Security  2022论文分享】揭示垂直联邦学习中存在的标签推断攻击

【DSN 2022论文分享】Invoke-Deobfuscation: 基于AST和语义保持的PowerShell脚本反混淆

【NDSS 2022论文分享】Android系统跨上下文不一致的访问控制

【NDSS 2022论文分享】EMS：试验数据驱动的高效变异模糊测试系统

【S&P 2022杰出论文分享】针对触摸屏设备的电磁干扰攻击

【NDSS 2023 论文分享】Fusion: 抵抗恶意服务器的高效安全预测方案