压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　為更好的促進(jìn)移動(dòng)支付產(chǎn)業(yè)健康快速發(fā)展，中國通信學(xué)會(huì)于12月10日-11日在京舉辦“2014中國移動(dòng)支付產(chǎn)業(yè)年會(huì)”。圖為騰訊移動(dòng)安全實(shí)驗(yàn)室安全專家陸兆華做主題演講。

　　騰訊移動(dòng)安全實(shí)驗(yàn)室安全專家 陸兆華

　　以下為演講速記：

　　謝謝！我在這里分享的主要主題是《移動(dòng)支付安全的威脅與防御》。

　　前面很多嘉賓都介紹了移動(dòng)支付技術(shù)，騰訊這邊的手機(jī)安全，主要是圍繞手機(jī)環(huán)境方面的安全。

　　我要講的包括四個(gè)方面：安全現(xiàn)狀，風(fēng)險(xiǎn)與威脅，病毒黑色產(chǎn)業(yè)鏈，騰訊的解決方案。

　　首先，圍繞著手機(jī)的應(yīng)用安全，但放大來看是這樣子的，首先是系統(tǒng)底層有系統(tǒng)漏洞的安全，在應(yīng)用層這塊是我們遇到比較多的詐騙短信、詐騙電話、驗(yàn)證碼被竊取，還有一種都很有威脅的，就是手機(jī)病毒、流氓軟件，這些技術(shù)都會(huì)危害手機(jī)安全。另外，很多數(shù)據(jù)都是存儲(chǔ)在手機(jī)上的，這也會(huì)造成問題。手機(jī)被盜和丟失之后，上面存在的隱私信息，及很多都會(huì)有記錄登錄，最后還有WiFi連接。

　　現(xiàn)在，WiFi的前普及給用戶帶來了很大方便，但其實(shí)有很多我是很有風(fēng)險(xiǎn)的，比如DSN攻擊。

　　這在泛手機(jī)安全當(dāng)中，部分的技術(shù)不是直接對手機(jī)安全應(yīng)用辦法做的攻擊，但是有一點(diǎn)大家都不容忽視，它會(huì)在損壞著我們用戶用手機(jī)做相關(guān)應(yīng)用或操作時(shí)的信心。這里有一段視頻，說的是WiFi上的攻擊場景，利用手機(jī)上一個(gè)被劫持的軟件，就可以看到你連到了什么IP，IP連到了什么域名。所以，這種攻擊技術(shù)含量其實(shí)不是很高，然后還可以做到釣魚網(wǎng)站，比如WiFi當(dāng)中，入侵了他的路由器的話，可以對是一些網(wǎng)頁里的連接，比如上銀行的某個(gè)網(wǎng)站，或者第三方支付的某個(gè)網(wǎng)站，可以在里面劫持。

　　還有支付類的病毒，這種病毒從2013年第一、第二季度之后比較明確的出現(xiàn)，針對竊取用戶的帳戶，這個(gè)發(fā)展經(jīng)歷了四個(gè)階段，一個(gè)是被篡改的階段，但這個(gè)比較容易檢測到。第二個(gè)階段就是釣魚，模仿真實(shí)網(wǎng)站的UI引導(dǎo)用戶錄入相應(yīng)的密碼信息。第三種就是后面研究的一些支付，這種病毒可以轉(zhuǎn)發(fā)驗(yàn)證碼，這樣就可以修改用戶的支付密碼。第四個(gè)階段是叫做監(jiān)控誘導(dǎo)的階段，這個(gè)階段能做到用戶在手機(jī)上裝的支付類軟件或銀行軟件都是官方版本的，但是在用戶打開這個(gè)版本的時(shí)候，立刻會(huì)在上面出來一個(gè)叫做銀行悍匪的案例。用戶填完之后，一提交就會(huì)以短信的方式發(fā)出去，這樣的病毒監(jiān)控了全國25家銀行。

　　這種支付類病毒，現(xiàn)在整體上的數(shù)字，我們藍(lán)牙的已經(jīng)接近14萬，占了中病毒類別中的8個(gè)百分點(diǎn)左右。看釣魚網(wǎng)址，這個(gè)個(gè)案過程是這樣的，利用10086偽基站，說你的卡可以積分，可以兌現(xiàn)金，然后后面有一個(gè)網(wǎng)址，通過這個(gè)網(wǎng)址上去的是這樣一個(gè)網(wǎng)站，點(diǎn)進(jìn)去之后又有一個(gè)界面去填，這其實(shí)是一個(gè)釣魚驗(yàn)證碼，后面再來一個(gè)激活提款的按鈕，點(diǎn)擊下載的是驗(yàn)證碼轉(zhuǎn)發(fā)的病毒。整個(gè)一套下來，用戶把個(gè)人信息都送到云端了，木馬也下載到客戶端，用戶在這里至少他的第三方帳戶就很容易被人掌握。他在這種第三方支付帳戶中，關(guān)聯(lián)銀行卡的金額基本上都是很大的風(fēng)險(xiǎn)。

　　詐騙短信，我相信在座的當(dāng)中，我覺得超過90%都會(huì)收到這種詐騙短信。比如說，爸爸去哪兒被偽裝，告訴你中幾十萬獎(jiǎng)金，或者短信提醒你你的機(jī)票失效，我想這些大家都不陌生了，整個(gè)類別其實(shí)非常多，還有冒充運(yùn)營商、冒充熟人、冒充房東的，等等。整個(gè)套路就是發(fā)信息，大獎(jiǎng)?wù)T惑，來恐嚇或者引誘，后面帶著一個(gè)電話號(hào)碼，或者一個(gè)網(wǎng)站，點(diǎn)上去是釣魚頁面，用這樣的方式來竊取。

　　這是一個(gè)假基站，很簡單，大概幾千塊錢就可以買得到，這在理論上可以做得到，冒充所有銀行、110、運(yùn)營商等等的端口號(hào)就能下發(fā)。最后一種是詐騙電話，詐騙電話當(dāng)中，最近的一兩個(gè)月，整個(gè)趨勢都非常大，而且也引起了公安部的一些重視，也打擊的比較厲害。

　　最近兩種，一種是公檢法，一種是我是領(lǐng)導(dǎo)。我相信，大家都收到很多，一撥過來是自動(dòng)語音，有的告訴你銀行卡透支，有的告訴你有什么郵包沒有領(lǐng)取。還有一種是我是領(lǐng)導(dǎo)這樣的詐騙，打電話過來說我是領(lǐng)導(dǎo)，第二天到我辦公室來一趟，第二天打來電話讓你準(zhǔn)備個(gè)信封，信封中裝一兩萬現(xiàn)金，主要是想做關(guān)系，最后一個(gè)電話告訴你給錢不是很合適，然后給你一個(gè)帳戶直接匯款。通過一些售賣信息再加上廣撒網(wǎng)的方式，也有從幾萬到十萬左右的詐騙。

　　前面的公檢法當(dāng)中，很多用的是改號(hào)軟件，可以改成+號(hào)后面是110的，另外我們發(fā)現(xiàn)一個(gè)公安局的號(hào)碼不是改號(hào)的，而是公安局以前在114登記過的一個(gè)公安局號(hào)碼，但后面他已經(jīng)搬了，這個(gè)號(hào)碼在114當(dāng)中沒有取消登記，但是公安已經(jīng)不用了，這個(gè)廢棄號(hào)碼就會(huì)被犯罪分子拿起來用。9月份的時(shí)候，李若彤被詐騙100萬也是這種方式，他說你可以不相信我，但可以查一下我這個(gè)號(hào)碼是公安局的，再加上整個(gè)騙局的技巧就很容易相信了。

　　做這些威脅著移動(dòng)支付以及手機(jī)詐騙背后的是一些什么人呢？騰訊也在跟公安機(jī)關(guān)打擊黑產(chǎn)的合作，我們整體發(fā)現(xiàn)，這個(gè)作案人員去上面聽電話，部分沒有成年的，或者部分成年的，17-19歲的，以師傅帶徒弟，或者詐騙的形式，騙到國外，在東南亞，然后電腦、手機(jī)、3G網(wǎng)卡、銀行卡，查這些蹤跡、線索，都是比較有難度的。

　　另外一種作案環(huán)境，國內(nèi)會(huì)在一些偏僻的山區(qū)，車都不能到，但人去的時(shí)候已經(jīng)走光了。還有一些電話詐騙或短信詐騙，也在趨向于東南亞一些國家。還有一些偽基站都是流量的車輛，還有其它群發(fā)，都是一個(gè)城市去做的。

　　整條產(chǎn)業(yè)鏈分這幾個(gè)環(huán)節(jié)，其中包括了木馬制作，還包括往網(wǎng)站上掛馬的，等等的制作，還有各種盜號(hào)、售賣，等等這樣的產(chǎn)業(yè)，在整個(gè)產(chǎn)業(yè)鏈當(dāng)中，左邊也算是技術(shù)會(huì)糟糕一點(diǎn)。

　　騰訊在這塊整合開放平臺(tái)的策略當(dāng)中，包括兩部分：開放平臺(tái)上的防護(hù)，終端平臺(tái)上的防護(hù)。騰訊一直在倡議互聯(lián)網(wǎng)的未來是聯(lián)系一切，而安全就是聯(lián)系這一切的基石。在終端防護(hù)這一塊，騰訊有自己研發(fā)TAV引擎，獲得了國際兩大權(quán)威認(rèn)證。用戶在輸入密碼，或者用戶在登錄等等這些關(guān)鍵頁面中，檢測手機(jī)上當(dāng)時(shí)的環(huán)境是否安全。還有在加密短信當(dāng)中的保護(hù)，針對剛才說的轉(zhuǎn)發(fā)驗(yàn)證碼的病毒，防止讀取和轉(zhuǎn)發(fā)。

　　最后，我們跟很多廠商成立反信息詐騙聯(lián)盟，天下烏賊聯(lián)盟。還有結(jié)合了微信支付、大眾點(diǎn)評、嘀嘀打車等等，移動(dòng)支付產(chǎn)業(yè)計(jì)劃。最后，希望在安卓支付當(dāng)中，我們在手機(jī)環(huán)境當(dāng)中的安全，希望能夠與各位進(jìn)行一路前行的合作。

　　謝謝大家！