移動支付安全的威脅與防御
責編:admin |2014-12-15 16:16:38為更好的促進移動支付產業健康快速發展,中國通信學會于12月10日-11日在京舉辦“2014中國移動支付產業年會”。圖為騰訊移動安全實驗室安全專家陸兆華做主題演講。
騰訊移動安全實驗室安全專家 陸兆華
以下為演講速記:
謝謝!我在這里分享的主要主題是《移動支付安全的威脅與防御》。
前面很多嘉賓都介紹了移動支付技術,騰訊這邊的手機安全,主要是圍繞手機環境方面的安全。
我要講的包括四個方面:安全現狀,風險與威脅,病毒黑色產業鏈,騰訊的解決方案。
首先,圍繞著手機的應用安全,但放大來看是這樣子的,首先是系統底層有系統漏洞的安全,在應用層這塊是我們遇到比較多的詐騙短信、詐騙電話、驗證碼被竊取,還有一種都很有威脅的,就是手機病毒、流氓軟件,這些技術都會危害手機安全。另外,很多數據都是存儲在手機上的,這也會造成問題。手機被盜和丟失之后,上面存在的隱私信息,及很多都會有記錄登錄,最后還有WiFi連接。
現在,WiFi的前普及給用戶帶來了很大方便,但其實有很多我是很有風險的,比如DSN攻擊。
這在泛手機安全當中,部分的技術不是直接對手機安全應用辦法做的攻擊,但是有一點大家都不容忽視,它會在損壞著我們用戶用手機做相關應用或操作時的信心。這里有一段視頻,說的是WiFi上的攻擊場景,利用手機上一個被劫持的軟件,就可以看到你連到了什么IP,IP連到了什么域名。所以,這種攻擊技術含量其實不是很高,然后還可以做到釣魚網站,比如WiFi當中,入侵了他的路由器的話,可以對是一些網頁里的連接,比如上銀行的某個網站,或者第三方支付的某個網站,可以在里面劫持。
還有支付類的病毒,這種病毒從2013年第一、第二季度之后比較明確的出現,針對竊取用戶的帳戶,這個發展經歷了四個階段,一個是被篡改的階段,但這個比較容易檢測到。第二個階段就是釣魚,模仿真實網站的UI引導用戶錄入相應的密碼信息。第三種就是后面研究的一些支付,這種病毒可以轉發驗證碼,這樣就可以修改用戶的支付密碼。第四個階段是叫做監控誘導的階段,這個階段能做到用戶在手機上裝的支付類軟件或銀行軟件都是官方版本的,但是在用戶打開這個版本的時候,立刻會在上面出來一個叫做銀行悍匪的案例。用戶填完之后,一提交就會以短信的方式發出去,這樣的病毒監控了全國25家銀行。
這種支付類病毒,現在整體上的數字,我們藍牙的已經接近14萬,占了中病毒類別中的8個百分點左右。看釣魚網址,這個個案過程是這樣的,利用10086偽基站,說你的卡可以積分,可以兌現金,然后后面有一個網址,通過這個網址上去的是這樣一個網站,點進去之后又有一個界面去填,這其實是一個釣魚驗證碼,后面再來一個激活提款的按鈕,點擊下載的是驗證碼轉發的病毒。整個一套下來,用戶把個人信息都送到云端了,木馬也下載到客戶端,用戶在這里至少他的第三方帳戶就很容易被人掌握。他在這種第三方支付帳戶中,關聯銀行卡的金額基本上都是很大的風險。
詐騙短信,我相信在座的當中,我覺得超過90%都會收到這種詐騙短信。比如說,爸爸去哪兒被偽裝,告訴你中幾十萬獎金,或者短信提醒你你的機票失效,我想這些大家都不陌生了,整個類別其實非常多,還有冒充運營商、冒充熟人、冒充房東的,等等。整個套路就是發信息,大獎誘惑,來恐嚇或者引誘,后面帶著一個電話號碼,或者一個網站,點上去是釣魚頁面,用這樣的方式來竊取。
這是一個假基站,很簡單,大概幾千塊錢就可以買得到,這在理論上可以做得到,冒充所有銀行、110、運營商等等的端口號就能下發。最后一種是詐騙電話,詐騙電話當中,最近的一兩個月,整個趨勢都非常大,而且也引起了公安部的一些重視,也打擊的比較厲害。
最近兩種,一種是公檢法,一種是我是領導。我相信,大家都收到很多,一撥過來是自動語音,有的告訴你銀行卡透支,有的告訴你有什么郵包沒有領取。還有一種是我是領導這樣的詐騙,打電話過來說我是領導,第二天到我辦公室來一趟,第二天打來電話讓你準備個信封,信封中裝一兩萬現金,主要是想做關系,最后一個電話告訴你給錢不是很合適,然后給你一個帳戶直接匯款。通過一些售賣信息再加上廣撒網的方式,也有從幾萬到十萬左右的詐騙。
前面的公檢法當中,很多用的是改號軟件,可以改成+號后面是110的,另外我們發現一個公安局的號碼不是改號的,而是公安局以前在114登記過的一個公安局號碼,但后面他已經搬了,這個號碼在114當中沒有取消登記,但是公安已經不用了,這個廢棄號碼就會被犯罪分子拿起來用。9月份的時候,李若彤被詐騙100萬也是這種方式,他說你可以不相信我,但可以查一下我這個號碼是公安局的,再加上整個騙局的技巧就很容易相信了。
做這些威脅著移動支付以及手機詐騙背后的是一些什么人呢?騰訊也在跟公安機關打擊黑產的合作,我們整體發現,這個作案人員去上面聽電話,部分沒有成年的,或者部分成年的,17-19歲的,以師傅帶徒弟,或者詐騙的形式,騙到國外,在東南亞,然后電腦、手機、3G網卡、銀行卡,查這些蹤跡、線索,都是比較有難度的。
另外一種作案環境,國內會在一些偏僻的山區,車都不能到,但人去的時候已經走光了。還有一些電話詐騙或短信詐騙,也在趨向于東南亞一些國家。還有一些偽基站都是流量的車輛,還有其它群發,都是一個城市去做的。
整條產業鏈分這幾個環節,其中包括了木馬制作,還包括往網站上掛馬的,等等的制作,還有各種盜號、售賣,等等這樣的產業,在整個產業鏈當中,左邊也算是技術會糟糕一點。
騰訊在這塊整合開放平臺的策略當中,包括兩部分:開放平臺上的防護,終端平臺上的防護。騰訊一直在倡議互聯網的未來是聯系一切,而安全就是聯系這一切的基石。在終端防護這一塊,騰訊有自己研發TAV引擎,獲得了國際兩大權威認證。用戶在輸入密碼,或者用戶在登錄等等這些關鍵頁面中,檢測手機上當時的環境是否安全。還有在加密短信當中的保護,針對剛才說的轉發驗證碼的病毒,防止讀取和轉發。
最后,我們跟很多廠商成立反信息詐騙聯盟,天下烏賊聯盟。還有結合了微信支付、大眾點評、嘀嘀打車等等,移動支付產業計劃。最后,希望在安卓支付當中,我們在手機環境當中的安全,希望能夠與各位進行一路前行的合作。
謝謝大家!