“产、学、研、用”各界进行技术业务交流的桥梁和纽带，对于提高我国网络安全保障水平、增强全社会网络安全意识起到积极作用。

近期，中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“新闻资讯类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下：一、测试对象本次测试选取了19家应用商店⁽¹⁾累计下载量达到1亿次的“新闻资讯类”App，共计8款，其基本情况如表1。表1

安全公告编号:CNTA-2023-00052023年2月22日，国家信息安全漏洞共享平台（CNVD）收录了Joomla未授权访问漏洞（CNVD-2023-11024，对应CVE-2023-23752）。未经授权的攻击者可远程利用该漏洞获得服务器敏感信息。目前，该漏洞的利用细节和测试代码已公开，厂商已发布新版本完成修复。CNVD建议受影响的单位和用户立即升级到最新版本。一、漏洞情况分析Joomla是由Open

搜索商品场景调用系统权限情况在购物下单场景中，调用系统权限种类最多的为手机天猫（3类），调用系统权限次数最多的为苏宁易购（255次）。具体情况如表4。表4

感染规模通过监测分析发现，国内于2022年8月3日至8月23日期间“魔盗”木马日上线肉鸡数最高达到1.3万台，累计已有约6.5万台设备受其感染。每日境内上线肉鸡数情况如下。图19

僵尸网络感染规模通过监测分析发现，2022年4月6日至6月6日Mirai_miori僵尸网络日上线境内肉鸡数最高达到1.1万台，累计感染肉鸡数达到4.4万。每日境内上线肉鸡数情况如下。图6

感谢北京知道创宇信息技术股份有限公司、北京神州绿盟科技有限公司、杭州安恒信息技术股份有限公司、北京鸿腾智能科技有限公司和奇安信科技集团股份有限公司为本报告提供的技术支持。

2021年10月以来，国家计算机网络应急技术处理协调中心（以下简称“CNCERT”）监测发现，有黑客组织利用SonarQube软件的漏洞，对我国多个企业发起攻击，窃取了我金融、医疗等重要领域信息系统源代码数据，并在境外互联网进行非法售卖。CNCERT协调受攻击企业配合开展现场取证，分析判断该黑客组织来自境外。该黑客组织的上述行为严重侵犯我企业知识产权，对我国国家安全和企业利益造成严重威胁。CNCERT呼吁该黑客组织立即停止网络攻击行为。建议相关人员一旦发现我境内网络安全漏洞和威胁后，积极向CNCERT通报相关情况，联系邮箱为cncert@cert.org.cn。同时，CNCERT提醒境内使用SonarQube软件的相关单位及时采取措施，修复漏洞，防范网络攻击行为。如需就该软件漏洞风险相关应对处置工作获取技术支撑与协助，可与以下单位（排名不分先后）联系：单位名称联系人联系电话电子邮箱北京知道创宇信息技术股份有限公司戴先生13401131789daiyt@knownsec.com杭州安恒信息技术股份有限公司宋先生15114875658owen.song@dbappsecurity.com.cn北京安天网络安全技术有限公司高先生15124505712gxb@antiy.cn奇安信科技集团股份有限公司连女士13811043360lianxiyu@qianxin.com绿盟科技集团股份有限公司羊女士18628110414yangxinyu@nsfocus.com北京天融信网络安全技术有限公司贾先生13001267834jia_baodong@topsec.com.cn北京启明星辰信息安全技术有限公司程先生13911217620cheng_guangxing@venustech.com.cn深信服科技股份有限公司安女士15811554764andongran@sangfor.com.cn北京鸿腾智能科技有限公司冯先生15810859412fengfei@360.cn

根据《关于遴选第九届CNCERT网络安全应急服务支撑单位的通知》，经自主申报、形式审查、专家评审等环节，拟选取以下104家单位为第九届CNCERT网络安全应急服务支撑单位，其中国家级13家、省级78家、APT监测分析8家、反网络诈骗5家。现对拟入选名单（详见附件）进行公示，公示时间为2021年9月1日至9月7日（五个工作日）。公示期间如有异议，请联系CNCERT（电话：010-82990027，邮箱：supportunit@cert.org.cn）。为便于对反映的问题进行调查核实，请在反映问题时，提供具体事实或线索，并请提供联系方式，以便反馈核实情况。国家计算机网络应急技术处理协调中心2021年9月1日附件：第九届CNCERT网络安全应急服务支撑单位拟入选名单1、国家级拟入选名单序号单位名称1北京天融信网络安全技术有限公司2北京安天网络安全技术有限公司3网神信息技术（北京）股份有限公司4恒安嘉新（北京）科技股份公司5北京神州绿盟科技有限公司6北京启明星辰信息安全技术有限公司7北京鸿腾智能科技有限公司（360政企安全）8北京知道创宇信息技术股份有限公司9亚信科技（成都）有限公司10深信服科技股份有限公司11阿里云计算有限公司12远江盛邦(北京)网络安全科技股份有限公司13长安通信科技有限责任公司2、省级拟入选名单序号单位名称1杭州安恒信息技术股份有限公司2北京梆梆安全科技有限公司3中国电信集团系统集成有限责任公司4沈阳东软系统集成工程有限公司5天讯瑞达通信技术有限公司6杭州海康威视数字技术股份有限公司7新华三技术有限公司8上海斗象信息科技有限公司9中国电信股份有限公司安徽分公司10西安四叶草信息技术有限公司11南京铱迅信息技术股份有限公司12沈阳汉林科技有限公司13天津市兴先道科技有限公司14杭州迪普科技股份有限公司15腾讯云计算（北京）有限责任公司16北京智游网安科技有限公司17华为技术有限公司18成都思维世纪科技有限责任公司19山东新潮信息技术有限公司20北京数字观星科技有限公司21河北华测信息技术有限公司22任子行网络技术股份有限公司23兰州冠云科技发展有限公司24中国移动通信集团辽宁有限公司25长春雅信科技有限责任公司26中兴通讯股份有限公司27中国—东盟信息港股份有限公司28甘肃海丰信息科技有限公司29北京山石网科信息技术有限公司30新疆天山智汇信息科技有限公司31上海银基信息安全技术股份有限公司32厦门服云信息科技有限公司33上海观安信息技术股份有限公司34贵阳宏图科技有限公司35黑龙江安信与诚科技开发有限公司36江苏君立华域信息安全技术股份有限公司37湖南浩基信息技术有限公司38成都卫士通信息产业股份有限公司39中移物联网有限公司40北京长亭科技有限公司41北京天际友盟信息技术有限公司42北京百度网讯科技有限公司43华信咨询设计研究院有限公司44深圳市网安计算机安全检测技术有限公司45江西安服信息产业有限公司46北京国舜科技股份有限公司47中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）48上海卜透安防科技有限公司49云南蓝队云计算有限公司50成都锦程宇扬科技有限公司51杭州默安科技有限公司52中通服咨询设计研究院有限公司53南京众智维信息科技有限公司54海口华能发展有限公司55中电福富信息科技有限公司56杭州美创科技有限公司57互联网域名系统北京市工程研究中心有限公司58北京机沃科技有限公司59武汉绿色网络信息服务有限责任公司60兰州大方电子有限责任公司61北京信联科汇科技有限公司62郑州赛欧思科技有限公司63深圳市魔方安全科技有限公司64江西神舟信息安全评估中心65浙江木链物联网科技有限公司66北京北信源软件股份有限公司67北京派网软件有限公司68西安讯蜂科技有限公司69北京网御星云信息技术有限公司70山东正中信息技术股份有限公司71浙江鹏信信息科技股份有限公司72江苏天创科技有限公司73京东数科海益信息科技有限公司74内蒙古奥创科技有限公司75网宿科技股份有限公司76北京微步在线科技有限公司77江西蓝澈信息技术有限公司78博智安全科技股份有限公司3、APT监测分析拟入选名单序号单位名称1网神信息技术（北京）股份有限公司2北京安天网络安全技术有限公司3北京鸿腾智能科技有限公司（360政企安全）4恒安嘉新（北京）科技股份公司5北京天融信网络安全技术有限公司6北京神州绿盟科技有限公司7北京启明星辰信息安全技术有限公司8东巽科技（北京）有限公司4、反网络诈骗拟入选名单序号单位名称1北京鸿腾智能科技有限公司（360政企安全）2上海黑瞳信息技术有限公司3北京中晟信达科技有限公司4网神信息技术（北京）股份有限公司5杭州云深科技有限公司点击下方“阅读原文”进入官网查看原文

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为6279.2万次，境内感染计算机恶意程序主机数量约为26.4万个。图1

2021年8月9日-2021年8月15日本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞603个，其中高危漏洞135个、中危漏洞403个、低危漏洞65个。漏洞平均分值为5.52。本周收录的漏洞中，涉及0day漏洞382个（占63%），其中互联网上出现“Accela

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为6571.1万次，境内感染计算机恶意程序主机数量约为24.5万个。图1

引言1攻击资源定义本报告为2021年第2季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。2本季度重点关注情况1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计，最多位于美国、德国和荷兰；境内控制端按省份统计，最多位于江苏省、浙江省和福建省，按归属运营商统计，电信占比最大。2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于广东省、辽宁省和福建省；按归属运营商统计，电信占比最大。3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是广东省、山东省、和四川省；数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是河北省、浙江省和河南省；数量最多的归属运营商是联通。被利用参与SSDP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、广东省和辽宁省；数量最多的归属运营商是电信。4、本季度转发伪造跨域攻击流量的路由器中，位于广东省、四川省和上海市的路由器数量最多。本季度转发伪造本地攻击流量的路由器中，位于江苏省、河南省和浙江省的路由器数量最多。DDoS攻击资源分析1控制端资源分析2021年第2季度CNCERT/CC监测发现，利用肉鸡发起DDoS攻击的活跃控制端有741个，其中境外控制端占比96.6%、云平台控制端占比78.7%，如图1所示。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为2925.5万次，境内感染计算机恶意程序主机数量约为29.0万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为5024.6万次，境内感染计算机恶意程序主机数量约为28.0万个。图1

勒索软件是黑客用来劫持用户资产或资源实施勒索的一种恶意程序。黑客利用勒索软件，通过加密用户数据、更改配置等方式，使用户资产或资源无法正常使用，并以此为条件要求用户支付费用以获得解密密码或者恢复系统正常运行。主要的勒索形式包括文件加密勒索、锁屏勒索、系统锁定勒索和数据泄漏勒索等。主要的传播方式包括钓鱼邮件传播、网页挂马传播、漏洞传播、远程登录入侵传播、供应链传播和移动介质传播等。国家互联网应急中心（CNCERT）近期发布的《2020年我国互联网网络安全态势综述》显示，2020年勒索软件持续活跃，全年捕获勒索软件78.1万余个，较2019年同比增长6.8%。2021年上半年，勒索软件攻击愈发频繁，发生多起重大事件，例如3月20日，台湾计算机制造商宏碁（Acer）遭REvil勒索软件攻击，被要求支付5000万美元赎金；5月7日，美国输油管道公司Colonial

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为5730.2万次，境内感染计算机恶意程序主机数量约为34.5万个。图1

2021年7月20日，以“携手应对数据安全威胁挑战”为主题的2021年中国网络安全年会在北京成功召开。本届中国网络安全年会由国家互联网信息办公室指导，国家计算机网络应急技术处理协调中心（CNCERT/CC）主办，深信服科技、安天、绿盟科技、恒安嘉新、杭州安恒、奇安信、长安通信、中国电信集成、阿里云、360政企安全、天融信、启明星辰、亚信安全联合主办，新华网、中国通信学会协办。中央网信办副总工程师、国家计算机网络应急技术处理协调中心主任李湘宁致欢迎辞并作主旨发言。中央网信办网络安全协调局局长孙蔚敏、工业和信息化部网络安全管理局副局长陶青、公安部十一局副巡视员黄小苏致辞。中国工程院院士倪光南、中国科学院院士冯登国，国家计算机网络应急技术处理协调中心党委副书记卢卫，以及多位企业代表分别作主旨报告。李湘宁表示，当前全球新一轮科技革命和产业革命加速推进，人工智能、云计算、量子通信等新技术应用快速发展，在催生一系列新业态新模式的同时，也带来了新的安全风险和挑战。做好新阶段网络安全工作，一是要贯彻新发展理念，构建网络空间发展新格局，统筹做好网络安全和数据安全保障工作。二是要以人民为中心，增强维护网络安全的责任担当，切实承担维护网络和数据安全的社会责任。三是要加强协同共治，夯实网络安全防护基础，构建共同参与的网络安全工作体系。四是要坚持创新引领，壮大网络安全产业，为国家网络安全保障体系建设提供强大的产业支撑。孙蔚敏表示，今年以来，中央网信办会同相关部门加快推进网络安全顶层设计和制度建设，关键信息基础设施保护能力持续提升，数据安全与个人信息保护工作深入推进。面对新形势新挑战，一是安全防护要聚焦重点。将关键信息基础设施作为工作重中之重。二是风险防范要夯实责任。严格落实《网络安全法》与相关责任制要求，提升综合防护能力。三是产业发展要突出融合。加强网络安全基础设施和资源整合利用，加快形成良好生态。四是平台监管要注重规范。坚持促进发展与依法管理相统一，有效维护国家网络安全和人民群众合法利益。陶青表示，近年来我国大力推动数字技术与实体经济深度融合，网络强国、制造强国和数字中国建设全面提速，以5G为代表的新一代通信网络基础设施从传输通道全面升级为数字化赋能的承载基石，网络安全在经济社会中的基础性作用更加突出。工业和信息化部持续推进通信网络基础设施安全防护，加强融合领域网络安全保障，大力发展网络安全产业。为推动网络安全能力再上新台阶，要加快构建基础通信网络安全联防联控能力，促进融合领域的安全应用，并加强开放合作。黄小苏表示，要积极构建新时期国家关键信息基础设施安全综合防控体系。一是健全完善网络安全等级保护制度，全面加强关键信息基础设施数据安全保卫、保护和保障。二是加快落实网络安全实战化、体系化、常态化和动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的“三化六防”措施。三是健全完善网上网下结合、人防技防结合、打防管控结合的立体化综合防控体系。四是培养优秀人才，建立健全联合创新和实战应用的协作机制。中国工程院院士倪光南以“拥抱开源，构建科技命运共同体”为主题，介绍了中国科技人员发起或作出重要贡献的开源项目，认为“开源”是开放科学的核心精神在信息领域的体现，开源已经成为全球信息技术发展的强大推动力，中国将会从“开源大国”发展到“开源强国”。倪光南院士表示，要充分调动我国广大开源社区和开源工作者的积极性和创造性，大力推进开放创新、协作创新，并通过与国际开源界的密切协作，壮大和发展中国开源社区建设，共建人类科技领域命运共同体。中国科学院院士冯登国认为，数据与人们生产生活已密不可分，数据安全问题关乎国家安全、社会稳定和个人隐私，但数据安全形势严峻，各国都高度重视数据安全，数据安全需要法律来保障。数据安全发展应重点关注五个要点，一是建立健全数据安全治理体系，二是科学制定数据分类分级保护方法与标准，三是深化全流程数据安全风险评估与监管方法，四是完善数据开放共享和跨境流动中的安全机制，五是创新发展确保使用中的数据安全的技术与机制。卢卫围绕数据安全防护与治理相关问题进行了探讨。结合CNCERT监测分析，介绍了网络攻击引发数据安全风险、危害个人信息安全等情况。认为加强数据安全防护与治理，需要携手建立全链条、全业务、协同防护与治理体系。CNCERT近年来通过以国家信息安全漏洞共享平台（CNVD）为基础，建立众测平台，及时发现威胁与漏洞，并开展数据安全风险评估，打击电信网络诈骗犯罪，防范处置非法金融活动，探索数据安全防护治理新举措，全力维护重要数据安全和公民个人信息安全。此外，360集团、奇安信科技集团股份有限公司、天融信科技集团、安天集团、中国移动通信集团信息安全管理与运行中心、阿里巴巴集团、长安通信科技有限责任公司、中国电信集团系统集成有限责任公司、亚信安全、启明星辰信息技术集团股份有限公司、杭州安恒信息技术股份有限公司、绿盟科技集团股份有限公司、恒安嘉新（北京）科技股份公司、深信服科技股份有限公司相关负责人也围绕网络与数据安全热点问题分享了精彩观点。会上还发布了《2020年中国互联网网络安全报告》。报告汇总分析了CNCERT自有监测数据和网络安全应急服务支撑单位数据，内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。今年，大会还设置了“聚力数据安全，赋能数字未来”“新一代基础设施原生安全”“网安协同联动”“数据安全新要求，风险治理新理念”“实战化安全运营”“安全能力体系建设”6个主题分论坛和一个闭门论坛。一年一度的“中国网络安全年会”已成为国内网络安全领域的重要会议，成为国内网络安全“产、学、研、用”各界进行技术业务交流的桥梁和纽带，对于提高我国网络安全保障水平、增强全社会网络安全意识起到积极作用。

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为8543.8万次，境内感染计算机恶意程序主机数量约为28.1万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为1.106亿次，境内感染计算机恶意程序主机数量约为34.5万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为7838.1万次，境内感染计算机恶意程序主机数量约为79.0万个。图1

摘要本报告中对“刷单”诈骗的分析，来源于2021年5月CNCERT/CC对某一类“刷单”诈骗APP影响范围的监测分析。“刷单”诈骗是最近几年流行程度很高和受害者人数众多的一种网络诈骗模式。本报告首先给出“刷单”诈骗的典型套路，以及一类较为流行的“刷单”APP的特征，然后给出互联网上此类APP影响面的统计分析。一、通过“刷单”APP实施诈骗的模式分析该诈骗模式是CNCERT/CC在对一类“刷单”APP进行跟踪监测的过程中总结出来的。此类“刷单”诈骗的典型模式如图1所示：图1：典型的通过“刷单”APP实施诈骗的模式1、传播诈骗信息诈骗分子利用短信、求职网站、QQ群、微信等社交渠道以及网页弹窗、邮箱推广等其他多种渠道发布“刷单兼职”广告。广告中往往强调“安全无风险”，“不索要任何密码、验证信息”，并打着“高薪”、“轻松赚钱”等旗号来吸引受害人。2、与受害人建立联系受害人依据广告信息联系诈骗分子后，诈骗分子会要求其添加刷单QQ、微信号，或诱导受害人下载某些相对小众聊天软件，并通过聊天软件指导受害人进行“刷单”。而诈骗分子为骗取受害人信任，还会伪造各种营业执照、企业注册文件、后台交易记录等内容。受害人同意“兼职”后，诈骗分子会首先要求受害人提交入职（刷单）申请表，填写姓名、年龄等信息。3、诱导受害人首次刷单诈骗分子会诱导受害人访问“刷单”APP，要求受害人在此类APP中充值，购买虚假产品，引导受害者完成首次刷单并支付一定的佣金。之后诈骗分子会根据受害人具体情况决定是否实施进一步诈骗。4、控制受害人，完成诈骗完成首次“刷单”后，诈骗分子将低价商品改为高价商品，由“一单一返”改成“多单返利”，必须全部完成才能返还本金和收益。然后鼓励受害人加大刷单的金额和数量，当受害人完成订单要求返利时，骗子会以“任务未完成”、“操作不规范”、“未收到付款”、“提现额度调整”等各种借口，拒绝按照约定返还本金和收益，并不断要求受害人继续刷单，或直接关闭“刷单”APP的使用。二、一类流行的“刷单”诈骗APP介绍针对以上描述的刷单诈骗模式，CNCERT/CC监测发现有一类相似功能的APP在众多刷单诈骗事件中出现。1、在传播诈骗信息阶段，诈骗分子会在各种平台投放“刷单”广告（典型的诈骗传播途径如图2所示）。图2：典型诈骗传播途径2、受害人初步受骗后，诈骗分子会向受害人发送“刷单”APP的登录链接（典型的登录页面如图3所示），并要求受害人通过其提供的邀请码注册此类刷单APP（典型的注册页面如图4所示）。图3：典型的刷单APP的登录页面图4：此类APP的注册页面3、受害人完成注册后，即可登录此类APP。在APP中会提供大量虚假商品信息和引导性较强的话语，引导受害人不断进行“刷单”。此类APP登录后的信息如图5和图6所示：图5：刷单APP首页提示语和虚假信息图6：用户个人账户、订单详情页面三、2021年5月“刷单”诈骗APP相关数据分析情况1、对诈骗APP涉及到的IP域名分析情况2021年5月，CNCERT/CC监测到的此类APP共涉及2134个诈骗主机地址。其中影响用户最多的三个刷单诈骗APP的主机地址为：154.**.**.18:8855、23.**.**.251、23.**.**.205，其影响的用户数分别为2546、812、783个。表1列出的是2021年5月影响用户数量最多的前10个诈骗APP的主机地址。表1:

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为6972.4万次，境内感染计算机恶意程序主机数量约为96.2万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为中。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为6665.0万次，境内感染计算机恶意程序主机数量约为80.2万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为4850.0万次，境内感染计算机恶意程序主机数量约为73.8万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为4522.0万次，境内感染计算机恶意程序主机数量约为75.9万个。图1

本季度重点关注情况1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计，最多位于美国、德国和荷兰；境内控制端按省份统计，最多位于吉林省、河南省和山东省，按归属运营商统计，联通占比最大。2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于江苏省、安徽省和浙江省；按归属运营商统计，电信占比最大。3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是广东省、山东省、和湖南省；数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、河北省和湖北省；数量最多的归属运营商是电信。被利用参与SSDP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、广东省和辽宁省；数量最多的归属运营商是电信。4、本季度转发伪造跨域攻击流量的路由器中，位于上海市、四川省和北京市的路由器数量最多。本季度转发伪造本地攻击流量的路由器中，位于江苏省、福建省和广东省的路由器数量最多。攻击资源定义本报告为2021年第1季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。DDoS攻击资源分析1控制端资源分析2021年第1季度CNCERT/CC监测发现，利用肉鸡发起DDoS攻击的活跃控制端有793个，其中境外控制端占比97.9%、云平台控制端占比68.5%，如图1所示。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为3987.8万次，境内感染计算机恶意程序主机数量约为87.7万个。图1

"Discover"

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为2985.5万次，境内感染计算机恶意程序主机数量约为69.1万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为6751.8万次，境内感染计算机恶意程序主机数量约为52.1万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为5033.9万次，境内感染计算机恶意程序主机数量约为68.4万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为中。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为4946.6万次，境内感染计算机恶意程序主机数量约为96.2万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为5245.9万次，境内感染计算机恶意程序主机数量约为62.7万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为3044.9万次，境内感染计算机恶意程序主机数量约为59.1万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为中。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为2912.3万次，境内感染计算机恶意程序主机数量约为57.9万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为中。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为2141.7万次，境内感染计算机恶意程序主机数量约为38.6万个。图1

前言虚假小额贷款诈骗是一类互联网上流行的网络诈骗。其典型的诈骗套路为：诈骗分子通过泄露的用户个人信息，拨打受害人电话或发送诈骗短信，以“提供无抵押、无担保”的快速贷款为诱饵，骗取受害人交纳风险保证金，或以需证明还款能力为借口诱使受害人转账，从而获取经济利益。这种诈骗方式往往会要求受骗人多次转账打款，受骗人一但生疑，诈骗分子则消失不见。大量网民难以分辨贷款的真实性，从而受骗上当。常见的虚假小额贷款诈骗网站/APP如下图1—图2所示：图1：某诈骗APP首页图2：某诈骗APP首页长期以来，CNCERT/CC在对此类流行的网络诈骗行为进行监测分析的过程中，积累了相关数据，并开展了受害用户预警及案件分析支撑等工作。现将2020年虚假小额贷款类网络诈骗的全年态势情况向社会公众共享。主要发现如下：●抽样监测发现3461个诈骗服务器上共承载19420个虚假小额贷款类诈骗网站/APP。位于中国香港的诈骗服务器数量最多，有1986个，占所有监测发现的诈骗服务器数量的57.4%，其次是美国，有322个，占比为9.3%。●抽样监测发现7909820个用户注册或登录了此类虚假贷款网站或APP，其中提交了个人敏感身份信息的深度受害用户占所有提交个人信息的受害用户的11.3%，且年龄在20-30岁之间的受害用户最多，占到了41.8%，男性人数更是占到了深度受害用户人数的78.3%。注：以下分析是从2020年获取了受害用户敏感信息（例如手机号、身份证号、银行卡号）的网站/APP的相关访问数据中分析得到的。一、虚假小额贷款类诈骗服务器分析通过抽样监测，CNCERT/CC共发现3461个诈骗服务器IP地址承载了虚假小额贷款类诈骗相关网站或者APP。其中位于境外的IP地址有3157个，占比达到了91.3%。图3：诈骗服务器的境内外分布位于中国香港的诈骗服务器数量最多，达1986个，占所有服务器数量的57.4%，其次是美国，有322个，占所有监测发现服务器地址的9.3%。图4：诈骗服务器的国家归属分布3461个诈骗服务器IP中，2240个是IDC机房类型IP，占所有诈骗服务器IP数量的64.7%。部分诈骗服务器承载了多个诈骗域名。其中位于中国香港的IP地址（45.**.**.58）所承载的诈骗域名数量最多，全年共承载诈骗域名3452个。下表列出的是全年承载虚假小额贷款类诈骗域名最多的前20个IP、IP上所承载的域名数量，以及IP所在地。表1：全年承载域名最多的前20个IP地址二、虚假小额贷款类诈骗网站/APP分析CNCERT/CC抽样监测发现19420个诈骗网站/APP。其中仅有328个网/APP是通过IP地址直接访问。部分网站/APP在存活期间获取了大量用户的个人敏感信息，例如，dz2.****.cn获取了7320个用户的敏感信息（包括手机号、身份证号、银行卡号等）。下表为获取敏感信息最多的前二十个网站域名。表2：全年获取敏感信息最多的前20个网站域名诈骗域名也存在二级域名聚集特点，在某些二级域名上，存在多个子域名均用于实施虚假小额贷款诈骗的情况。例如，**ibg.cn上，用于虚假小额贷款诈骗的子域名有478个，***ingsuo.cn次之，有382个。下表列出这些诈骗域名中，二级域名上，子域名是做虚假小额贷款诈骗的数量最多的前20个二级域名及对应的子域名数量。表3：二级域名上用于实施小额贷款诈骗的子域名数量三、虚假小额贷款类诈骗受害用户分析CNCERT/CC抽样监测发现，共有7909820个用户注册或登录了此类虚假贷款网站或APP，其中部分用户在此类诈骗网站/APP上提交了个人敏感信息，包括手机号、身份证号、银行卡号、工作单位、家庭住址、家庭成员、月薪等。一方面提交此类信息说明此用户深度受骗，另一方面此类敏感信息也可被用于诈骗团伙开展其他形式的诈骗，对用户个人信息安全和财产安全都影响极大。2020年全年，CNCERT/CC抽样监测发现940582个用户的敏感信息被用户“主动”提交至此类诈骗网站/APP上，属于深度受害用户。年龄在21-30岁之间的人数最多，有393608人，占比达到了41.8%，其次为31-40岁之间的人群，有301075人，占比为32%。下图为提交了个人敏感身份信息的受害用户的年龄分布情况。图5：深度受害用户年龄分布情况940582个深度受害用户以男性为主，人数为736680人，占比达到了78.3%。此外，从受害人的地理位置归属来看，四川、贵州、湖南等地受害用户个数最多。下图为受害用户IP归属分布情况。图6：深度受害用户的地理位置分布情况点击下方“阅读原文”进入官网下载完整报告

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为1115.6

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为1721.6万次，境内感染计算机恶意程序主机数量约为34.4万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为4073.4

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为2406.3万次，境内感染计算机恶意程序主机数量约为33.5万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为3342.1万次，境内感染计算机恶意程序主机数量约为37.3万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为1770.2万次，境内感染计算机恶意程序主机数量约为26.4万个。图1

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况境内计算机恶意程序传播次数约为2950.4万次，境内感染计算机恶意程序主机数量约为20.2万个。图1

本季度重点关注情况1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计，最多位于美国、德国和荷兰；境内控制端按省份统计，最多位于上海市、江苏省和广东省，按归属运营商统计，使用BGP多线的控制端数量最多。2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于安徽省、江苏省和辽宁省；按归属运营商统计，电信占比最大。3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是广东省、山东省、和湖南省；数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是河北省、河南省和湖北省；数量最多的归属运营商是联通。被利用参与SSDP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、辽宁省和广东省；数量最多的归属运营商是电信。4、本季度转发伪造跨域攻击流量的路由器中，位于上海市、四川省和江苏省的路由器数量最多。本季度转发伪造本地攻击流量的路由器中，位于江苏省、福建省和湖南省的路由器数量最多。攻击资源定义本报告为2020年第4季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。DDoS攻击资源分析1控制端资源分析2020年第4季度CNCERT/CC监测发现，利用肉鸡发起DDoS攻击的活跃控制端有1057个，其中境外控制端占比97.3%、云平台控制端占比79.9%，如图1所示，与2020年第3季度相比境外控制端占比进一步提高。图1

本周境内被篡改政府网站（GOV类）数量为28个（约占境内0.7%），较上周上升了64.7%；境内被植入后门的政府网站（GOV类）数量为15个（约占境内1.4%），较上周上涨了66.7%。

本周境内被篡改政府网站（GOV类）数量为17个（约占境内0.5%），较上周下降了26.1%；境内被植入后门的政府网站（GOV类）数量为9个（约占境内1.1%），较上周上涨了200.0%。