虎嗅注:随意手机等移动设备而兴起的移动互联网让移动支付成为快捷、便利的新兴支付手段,但是也造就了很多黑色产业链。这些人通过拖库、伪基站、免费Wi-Fi、二维码、木马病毒等各种黑客手段诱导用户上当,它们是怎么让你“心甘情愿”上当的?手段让人防不胜防。本文是微信公众号:腾讯雷霆行动 推出的一份移动支付黑产报告,教你如何识别、防范陷阱,虎嗅进行了删节。
2015年是中国移动支付大发展的一年,根据iResearch艾瑞咨询2015年11月发布的统计数据显示,2015 Q3中国第三方移动支付市场交易规模达24204.9亿元,环比上涨5.4%,同比上涨64.3%。
目前,比较流行的几种移动支付方式包括二维码扫码支付、NFC移动支付(例如交通卡支付)和指纹支付。除此之外,光子支付、声波支付、刷脸支付、硬件支付等新的移动支付方式不断涌现。
目前我国的移动支付行安全能力参差不齐。财付通、微信支付、QQ钱包、支付宝等主流支付平台因为自身的生态体系内拥有庞大的数据,对大数据运营能力强。大厂商依靠强大的风控能力和技术支持,能及时识别、拦截异常交易,安全性较高;而一些小型的移动支付公司因为缺乏大数据,帐号体系不完善,风控能力弱,构面对产业化运作的黑产技术,力不从心。
移动支付行业面临三大风险
有人的地方就有江湖,有钱的地方就有诈骗。随着移动支付市场的不断扩大,一些不法分子逐渐将黑手伸向这些用户。其作案手段专业化、团伙化,通过网络的联系,甚至一些素未谋面的犯罪分子开始分工协作,逐渐形成了黑色产业链。对于移动支付的用户来说,主要有下面三方面的风险:
互联网幽灵:拖库、洗库、撞库黑客
近年来,国内关于用户隐私信息被窃取的事件频频发生。2014年年底,铁道部官方网站(12306.cn)13万用户信息泄露,包括身份证、登录口令等,据调查分析应是撞库所致;2015年2月,优步(Uber)披露,5万名优步司机的个人信息被不知名的第三方人士获取,包括社保码、司机相片、车辆登记号等信息;4月,遍布19个省份的社保系统相关信息泄露达5279.4万条,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息;12月,据媒体消息,申通快递被黑客入侵系统,3万多条包含客户信息的快递单遭到泄漏。
网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势,越来越多的网络黑产分子通过拖库、撞库盗取用户个人信息,给网民造成了金融资产和个人信息安全等多方面的危害。
在这些泄漏的信息中,最容易被网络黑产集团利用牟利的就是个人姓名、手机号码、身份证号码和银行卡号这直接关系账户安全的四要素。这些信息大多会被出售给黑市中的诈骗团伙和营销团伙,用来进行诈骗和恶意营销。比如近年来时常发生的网购退款诈骗、网购机票退款诈骗等。
黑客通过入侵有价值的网络站点,盗走用户数据库,这个过程在地下产业术语里被称为“拖库”;
在取得大量的用户数据之后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,通常被称作“洗库”;
最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”。
因为很多用户喜欢使用统一的用户名密码,“撞库”也可以使黑客获得用户在多个平台的账号密码。
最后,黑产人员还会把多个不同类型的数据库整合成“社工库”。随着社工库的日益完善,大量网络用户的隐私信息、上网行为、以及与个人金融财产安全相关的数据被重新整合,多维度的海量信息让有强针对性的精准式诈骗场景频现。
钓鱼网站:木马病毒控制
手机木马病毒是移动支付环境中最大的毒瘤,而绝大多数的手机病毒都是针对安卓系统进行攻击。由于安卓是一个以Linux 为基础的开源移动设备操作系统,开放性较高,让网络黑产人员有了可乘之机。
根据腾讯移动安全实验室的最新报告数据显示,2015年手机病毒包新增1670.4万,是2014年的10倍多。而其中新增的支付类病毒超过32.6万,全年被支付类病毒感染的用户高达2505万,平均每天就有81000人遭受支付类病毒的侵害。
其中支付类病毒行为中占比最高的为执行反射(黑客为了逃避反编译,通过某种隐藏方式来调用某些API接口),达16.81%。其次是隐私数据(手机信息)上传占比14.8%。同时,许多支付类病毒还会静默联网、静默删除和发送短信。主要是将用户的验证码信息转发到另一终端,从而实现银行卡的盗刷。
另外,钓鱼网站也是网络黑产窃取用户信息的一个惯用手段。所谓钓鱼网站即域名和页面都和正常网站非常相似的假网站,通常会模仿银行或者电信运营商的官方网站,诱导用户在钓鱼网站上输入个人信息。
根据腾讯各大安全平台数据显示,2015年移动支付安全领域,受骗群体以男性为主,在所有受骗人中男性占71%,而女性只占29%。年龄则集中在19-35岁 的青年群体。而资金受损最严重的五大省份分别是广东、山东、福建、河北、湖北,资金受损最严重的五大城市分别是北京、重庆、广州、深圳和上海。
2015年10月,国家网络安全宣传周在启动仪式上发布了《我国公众网络安全意识调查报告(2015)》。在25万多的调查者当中,定期更换密码的被调查者仅占18.36%,更有17.05%的被调查者从来不更换密码。同时,我国多帐号使用同一密码的问题也非常突出,我国超七成被调查者存在多帐号使用同一密码的问题,特别是青少年多账号使用同一密码的比例高达82.39%。这样的密码设置习惯使黑产分子拖库、撞库的成功率更高。
三大侵害场景:
那么,不法分子具体又是如何来侵害用户的呢?
场景一:伪装成孩子成绩单、聚会相册、小三短信,携带手机木马链接
手机木马短信已经成为不法分子经常使用的诈骗方式。犯罪分子通过伪基站伪装成学校老师,同学,甚至小三向周围的手机用户发送木马短信,只要一点击短信链接,各种网银账号密码、短信验证码就很大可能被木马盗取,转发到犯罪分子手中,后果不堪设想。
场景二:假冒银行、电信或者第三方支付机构网页,诱导用户透露账号及个人信息
诈骗团伙利用伪基站,假冒银行、电信的钓鱼短信,点击链接之后会出现一个和官方网站及其相似的页面,但会诱导你填入个人银行账号信息,实现盗取个人信息从而盗刷网银。
场景三:通过免费WiFi和二维码进行侵害
随着移动互联网和智能终端的迅猛发展,WiFi覆盖率进一步深入各大城市,用户对于WiFi的使用率进一步提升。与此同时,WiFi的风险形势不容忽视。
黑客通过搭建与公共WiFi相近名字的伪冒WiFi局域网,由于伪冒WiFi的名称具有欺骗性,且不用登录密码,能诱使智能手机用户连接该WiFi局域网。用户在使用网络过程中的传输数据可被黑客监视,黑客可以从数据包里盗取各类用户登录信息,例如网银和支付帐号、密码等,从而盗取用户资金。
在《我国公众网络安全意识调查报告(2015)》中,有80.21%的被调查者会随意连接公共WiFi。另外,7-19岁的青少年中,“经常扫二维码,不考虑是否安全”的比例也高达40.3%。
扫描二维码相当于点击链接,恶意二维码也正在成为黑产分子的一个新手段。扫描了恶意的二维码,手机也很大可能被植入木马病毒,或者打开一个仿冒的钓鱼网站。
生物识别技术的应用
所谓生物识别技术应用,即通过指纹、虹膜、面部、声纹等本人独有的特征,来进行移动支付过程中的身份验证。
人脸识别是近年来非常活跃的研究领域。在移动支付场景下,人脸识别技术由于成本较低且便利性较高,得到了越来越广泛的应用。
微信支付目前也向一部分用户开启了人脸识别验证身份的功能。当微信支付的用户账户出现异常行为并被限制交易时,用户可以通过录制人脸识别视频解除限制。用户录制的视频上传后,将与公安部身份备案中的图像进行对比。审核成功后将可恢复账户正常使用,身份验证更加方便快捷,也能有效地防止网络诈骗分子盗用他人微信支付账户。
如何防范和提高安全级别?
1.鼓励生物识别技术的发展和应用
智能手机的发展使便捷的生物识别技术和体验成为了现实,可以帮助各支付机构进行远程核身,而且生物识别被突破的门槛较高,能较好减少欺诈案例的发生,对反欺诈和盗号都是较好的解决方案。因此建议监管机构鼓励支付公司及相关金融机构进行生物识别技术的研发和试用,特别是人脸识别技术,使该技术的检测能力和体验都尽快达到支付和金融应用的要求。
2.建议Google增强Android短信读取权限的安全控制
短信作为移动支付的核心验证要素,由于Android系统的安全性不够,导致被病毒能够转移,产生批量的帐号和银行卡盗刷案例。如果能推动Google加强短信读取权限的控制,相信能大幅减少病毒转移短信带来的风险。
3.建议Android移动设备预装安全防护APP
欺诈短信、支付类病毒、钓鱼网站是移动支付面对的主要安全问题,目前以腾讯手机管家、金山手机卫士为代表的安全APP都能对上述安全威胁进行部分的拦截和预警,减少受害用户损失。
4.呼吁运营商全面落实实名制
在移动支付黑产活动中,可以说大量的虚假手机号——通常称为“黑卡”是诈骗分子主要的作案工具:一是利用黑卡传播欺诈短信、木马短信,这是移动支付欺诈活动的源头;二是利用黑卡与受骗者电话或短信沟通,不断诱骗受骗者入局;三是利用黑卡改绑他人的银行卡进行转账、洗钱、提现,隐藏自己的真实身份,使得我们难以定位到资金接收方的真实身份。因此我们呼吁运营商全面、尽快落实手机号实名制,杜绝黑卡的出现,这样可以极大的提高诈骗分子的作案成本,也使其难以隐藏自己真实身份,大大减少支付类案件的发生。