为更好的促进移动支付产业健康快速发展,中国通信学会于12月10日-11日在京举办“2014中国移动支付产业年会”。图为腾讯移动安全实验室安全专家陆兆华做主题演讲。
以下为演讲速记:
谢谢!我在这里分享的主要主题是《移动支付安全的威胁与防御》。
前面很多嘉宾都介绍了移动支付技术,腾讯这边的手机安全,主要是围绕手机环境方面的安全。
我要讲的包括四个方面:安全现状,风险与威胁,病毒黑色产业链,腾讯的解决方案。
首先,围绕着手机的应用安全,但放大来看是这样子的,首先是系统底层有系统漏洞的安全,在应用层这块是我们遇到比较多的诈骗短信、诈骗电话、验证码被窃取,还有一种都很有威胁的,就是手机病毒、流氓软件,这些技术都会危害手机安全。另外,很多数据都是存储在手机上的,这也会造成问题。手机被盗和丢失之后,上面存在的隐私信息,及很多都会有记录登录,最后还有WiFi连接。
现在,WiFi的前普及给用户带来了很大方便,但其实有很多我是很有风险的,比如DSN攻击。
这在泛手机安全当中,部分的技术不是直接对手机安全应用办法做的攻击,但是有一点大家都不容忽视,它会在损坏着我们用户用手机做相关应用或操作时的信心。这里有一段视频,说的是WiFi上的攻击场景,利用手机上一个被劫持的软件,就可以看到你连到了什么IP,IP连到了什么域名。所以,这种攻击技术含量其实不是很高,然后还可以做到钓鱼网站,比如WiFi当中,入侵了他的路由器的话,可以对是一些网页里的连接,比如上银行的某个网站,或者第三方支付的某个网站,可以在里面劫持。
还有支付类的病毒,这种病毒从2013年第一、第二季度之后比较明确的出现,针对窃取用户的帐户,这个发展经历了四个阶段,一个是被篡改的阶段,但这个比较容易检测到。第二个阶段就是钓鱼,模仿真实网站的UI引导用户录入相应的密码信息。第三种就是后面研究的一些支付,这种病毒可以转发验证码,这样就可以修改用户的支付密码。第四个阶段是叫做监控诱导的阶段,这个阶段能做到用户在手机上装的支付类软件或银行软件都是官方版本的,但是在用户打开这个版本的时候,立刻会在上面出来一个叫做银行悍匪的案例。用户填完之后,一提交就会以短信的方式发出去,这样的病毒监控了全国25家银行。
这种支付类病毒,现在整体上的数字,我们蓝牙的已经接近14万,占了中病毒类别中的8个百分点左右。看钓鱼网址,这个个案过程是这样的,利用10086伪基站,说你的卡可以积分,可以兑现金,然后后面有一个网址,通过这个网址上去的是这样一个网站,点进去之后又有一个界面去填,这其实是一个钓鱼验证码,后面再来一个激活提款的按钮,点击下载的是验证码转发的病毒。整个一套下来,用户把个人信息都送到云端了,木马也下载到客户端,用户在这里至少他的第三方帐户就很容易被人掌握。他在这种第三方支付帐户中,关联银行卡的金额基本上都是很大的风险。
诈骗短信,我相信在座的当中,我觉得超过90%都会收到这种诈骗短信。比如说,爸爸去哪儿被伪装,告诉你中几十万奖金,或者短信提醒你你的机票失效,我想这些大家都不陌生了,整个类别其实非常多,还有冒充运营商、冒充熟人、冒充房东的,等等。整个套路就是发信息,大奖诱惑,来恐吓或者引诱,后面带着一个电话号码,或者一个网站,点上去是钓鱼页面,用这样的方式来窃龋
这是一个假基站,很简单,大概几千块钱就可以买得到,这在理论上可以做得到,冒充所有银行、110、运营商等等的端口号就能下发。最后一种是诈骗电话,诈骗电话当中,最近的一两个月,整个趋势都非常大,而且也引起了公安部的一些重视,也打击的比较厉害。
最近两种,一种是公检法,一种是我是领导。我相信,大家都收到很多,一拨过来是自动语音,有的告诉你银行卡透支,有的告诉你有什么邮包没有领龋还有一种是我是领导这样的诈骗,打电话过来说我是领导,第二天到我办公室来一趟,第二天打来电话让你准备个信封,信封中装一两万现金,主要是想做关系,最后一个电话告诉你给钱不是很合适,然后给你一个帐户直接汇款。通过一些售卖信息再加上广撒网的方式,也有从几万到十万左右的诈骗。
前面的公检法当中,很多用的是改号软件,可以改成+号后面是110的,另外我们发现一个公安局的号码不是改号的,而是公安局以前在114登记过的一个公安局号码,但后面他已经搬了,这个号码在114当中没有取消登记,但是公安已经不用了,这个废弃号码就会被犯罪分子拿起来用。9月份的时候,李若彤被诈骗100万也是这种方式,他说你可以不相信我,但可以查一下我这个号码是公安局的,再加上整个骗局的技巧就很容易相信了。
做这些威胁着移动支付以及手机诈骗背后的是一些什么人呢?腾讯也在跟公安机关打击黑产的合作,我们整体发现,这个作案人员去上面听电话,部分没有成年的,或者部分成年的,17-19岁的,以师傅带徒弟,或者诈骗的形式,骗到国外,在东南亚,然后电脑、手机、3G网卡、银行卡,查这些踪迹、线索,都是比较有难度的。
另外一种作案环境,国内会在一些偏僻的山区,车都不能到,但人去的时候已经走光了。还有一些电话诈骗或短信诈骗,也在趋向于东南亚一些国家。还有一些伪基站都是流量的车辆,还有其它群发,都是一个城市去做的。
整条产业链分这几个环节,其中包括了木马制作,还包括往网站上挂马的,等等的制作,还有各种盗号、售卖,等等这样的产业,在整个产业链当中,左边也算是技术会糟糕一点。
腾讯在这块整合开放平台的策略当中,包括两部分:开放平台上的防护,终端平台上的防护。腾讯一直在倡议互联网的未来是联系一切,而安全就是联系这一切的基石。在终端防护这一块,腾讯有自己研发TAV引擎,获得了国际两大权威认证。用户在输入密码,或者用户在登录等等这些关键页面中,检测手机上当时的环境是否安全。还有在加密短信当中的保护,针对刚才说的转发验证码的病毒,防止读取和转发。
最后,我们跟很多厂商成立反信息诈骗联盟,天下乌贼联盟。还有结合了微信支付、大众点评、嘀嘀打车等等,移动支付产业计划。最后,希望在安卓支付当中,我们在手机环境当中的安全,希望能够与各位进行一路前行的合作。
谢谢大家!