騰訊古開元:微信安全生態
責編:rhliu |2016-11-14 15:01:25演講主題:微信安全生態
演講嘉賓:古開元 騰訊公司微信安全總監
古開元:大家好我叫古開元,來自騰訊,目前負責微信安全。我在業務安全領域已經工作了10年,所以說這里可能借此機會,也跟大家分享一下我們剛才提到“微信支付”以及微信的生態。
我想從微信生態介紹一下我們所面臨的風險與挑戰,以及最后我們做什么,以及我們未來準備做什么。
先給大家介紹一下三個數據,第一今年Q2整個微信月活躍數達到8.06億。注冊公眾號超過兩千萬,支付綁卡用戶超過3億,許總剛才提到了我們每天微信支付筆數達到數以,金額和來往流水就更加多,這個數字是非常巨大的,都是過億的。
那么它背后對于微信來說,它想打造的一個是?有人說微信是超級APP,有人說是網絡VS,但是對于微信本身是想做一個連接器,我們想連接一切。
這是我們一直提倡的方式,會有具體連接人,以前我們用電話用短信溝通,但是今天在座各位可能聽我們講座的時候,可以手機按著點點,發語音,發視頻,或者我們看一下“朋友圈”甚至支付紅包做溝通,它已經改變了我們生活方式。
我們還可以連接服務,我們早上起來第一件事情打開手機看一下,我們買一個早餐,我們上班坐“滴滴打車”空閑的時候我們看看公眾號,看看朋友圈。
到公司想喝一杯咖啡,明天“雙十一”看看商城有什么想搶購的東西,晚上吃飯的時候我們打開微信游戲,整個環節大家可能離不開微信,把整個服務連在一起。
大家可以看APP使用時間,微信已經占50%以上,它已經改變了整個的衣、食、住、行、玩,所以回到到微信支付,我們希望人人都是ATM。主持人說現在身上不帶錢包,我們不想每天出去以后帶著一個很厚重的錢包,不想跟別人支付的時候找一堆零錢給我們。
我們買單的話刷一下二維碼就支付了,我們親友之間可以直接發紅包了,甚至我們貸款,我們買保險都可以在這上面去完成,它今天已經變成了一個支付方式,并且改變了支付方式。
我說了這么多,微信做一個生態,已經連接著服務,連接人,連接支付,甚至連接應用,連接我們硬件等等。它已經改變了我們整個生活方式,背后生態非常強大。
這么一個重要的生態背后,其實面臨著很多的風險與挑戰的。比如說盜號和盜卡這是我們一直以來從安全出現以來一直面臨的一個問題。
這幾個數字,我們每天在微信上,有來自于數百萬的IP,他們對于幾千萬帳號發起幾億攻擊,這是每天,可能大家坐著的時刻,背后就有很多攻擊在發生了。
如果大家碰到右邊這樣一個微信,那恭喜你,你的密碼可能泄露了。比如說社工詐騙成為最主要的矛盾,而不是之一,就是最主要的。我們提到仿冒詐騙就有點像電信,公檢法。
對于微信資金筆數最大的就是仿冒,仿冒領導詐騙一般額在幾萬到上百萬,非常大!
我記得2014年時候我們在深圳網監拿到一個區,南山區網絡詐騙半年達到千萬級別。
虛假紅包是微信平臺最多的,我相信很多平時群里面可以看到發的一些紅包,但是被我們攔截了,那是整個微信平臺最得多,每天有幾千萬次。另外一個禮品免費送,這是整個微信客服團隊收到最多投訴的一種詐騙方式。
這個二維碼比較新穎的詐騙,就是“十一”國慶的時候,就是違章二維碼,這種詐騙方式成本低,轉移成本也很低。我在二維碼的這個詐騙場景上,第二天我就收到了一個水電通知單,其實我就在想,如果我是騙子的話,我在水電通知單下面加一個二維碼。
我也加一個很貼心的話,現在繳費不復雜了,掃二維碼就可以繳費了。這是一個頂點的,我在水電箱下塞一個縫,我說是102塊錢,你掃一下可能就是錢到了,很簡單,成本非常低。
所以現在詐騙是最主要的矛盾,沒有之一。
當然網絡賭博是最近微信平臺上出現的新型的惡意的黑產。這是公開按鍵數暴露最多黑產類型。
紅包金融大家很熟悉,群里正常接龍很多次,但是被不法分子利用,形成一個比較惡劣的賭博方式。這種紅包金融相對好一些,牛牛、掃雷、PC蛋蛋,時時彩等等,這只是冰山一角。線下賭博搬到線上。“掃雷”大家知道怎么掃嗎?
假如說莊稼就說一個數字,一個100,一個3,100代表押100塊錢,3代表如果領取隨機紅包是3,那你就給我100塊錢,如果你中我的雷給我100塊錢,如果不中的話我給你100塊錢。
這很簡單,一次賭博可能就是一分鐘內完成了,所以一個群里,假如說一個賭博群,一天流水幾十萬,或者上百萬之間。然后還有一個比較有趣的例子,我們做技術,每天監控背后的一個數據曲線。
我們就會發現近段時間,每天晚上9點35分我們支付曲線,一般是比較平穩的,平滑的。但是9點35哪一個點有一個尖峰,就這樣一個點直接上去,我們百思不得其解,這是系統BUG導致的還是什么?
后來我們發現9點35是香港六合彩開彩的時間,有一個斷崖式的增長,很有意思!
除了這些之外,剛才講了我們列舉大家比較觀眾的,包括色情,敲詐,刷單,薅羊毛,這個惡意黑產在微信非常多。
我們不斷的反思,怎么樣形成這種情況呢?我們有兩點總結,第一個就是各個分會場講這一點,就是網絡黑產專業化,集團化和產業化。因為到了今天,這已經發展非常成熟了,我記得,前幾天公司內部專門講詐騙分享,城市網絡詐騙黑產從業者已經達到100萬者,黑產從業者已經100萬,他們黑產利潤是在一千億 左右,就是黑產的利潤。
只是單單詐騙場景就達到這么多,2016年上半年公安部公布的詐騙報案金額達到110多億。就是報案時候虧這么多了,就是100多億。
所以這背后有多大的一個產業在后面?這已經非常成熟了。我再舉一個例子,我們看壞人每天惡意新增手機號,微信號是用手機注冊的,而且不能重復注冊,一年可能一個手機號一年注冊兩次,不能隨便重復注冊的。
但是我們發現每一天來自于惡意手機這種新的手機號,就是近幾十萬,這個具體的不太好說,一天就是幾十萬。一年365天下來就接近了上億,我都不知道這些手機號從哪里來的。
這代表背后有很大的黑產鏈,我們也可以到黑產群調查,黑手機,黑帳號,被盜的號支付,還有這種硬件,到處都是可以批量生產和購買,包括銀行卡,信息,盜卡盜刷,身份證,銀行卡,電話號碼。
只要做一件事情就可以了,木馬這一套東西都給你,你定向把木馬傳到手機里,讓他誘變用戶點擊安裝,你盜手機驗證碼,可能就會盜到用戶的綁卡,綁到自己的卡上消費別人。
這個我不講了,這是一個非常成熟的產業。
在另外一方面,我們反思,這里有這么大一個,除了黑產本身利潤很大之外,還有一個層面。就是我們覺得整個數字化社會化發展太了快,就是兩個數字。
下面就是一億,那邊是8億。一億代表的是我們當時QQ在線用戶數達到1億的時候,互聯網發展十幾年之后我們才達到這個數。但是從1到8億我們只用兩到三年,就是幾年時間,時間大大縮短了。
這縮短的時間帶來什么問題呢?第一我們網民意識沒有跟上,PC時代能夠PC的這一部分人都是高精端人,大學生,買得起電腦,因為PC操作復雜,他們經過了互聯網洗禮,各種安全軟件的告警,彈窗。
沒有像今天8億的時候,大家想想您的父母,我的岳母今年64歲,現在買菜的時候也不帶錢了就帶手機,到超市里刷一下,買水果就刷一下她都不帶手機了,我很驚訝她怎么學會的。
我兒子6歲讀一年級,每天跟我父母視頻,然后還發語音,他才6歲。大家發現這8億減1,這1億里多少網民用戶,雖然享受著移動互聯網便利的紅利,但是他們又成為網絡黑產的一部分紅利。
以前黑產只盯著這一億里面高精端摳一小部分人,但是7億大肥肉擺在這里了。很簡單一個二維碼,今天自己可以實現。你去把水電費改一下加一個二維碼塞到門縫下,說掃一掃可以馬上把水電費交了,我相信你們一天收入很多。
當然我不是交大家犯罪啊,我只能說這個成本很低,但是很多人去掃,錢就過去了。這就是說網民意識沒有跟得上發展,這就是一個大躍進。
第二個整個安全基礎設施沒有跟得上我們進步的,就是說二維碼是一個好產品,但是二維碼在很多安全體驗數據上沒有配套的完善。包括在安全提醒,包括在我們POS機上,其實POS機沒有很好的一個……這只是一個改進,對接了二維碼,但是沒有對應安全措施做在里面,所以引發了很多這種問題。
第三個也是關于移動支付相關的,移動支付解決了這些黑產的套現取現最后一公里的問題,怎么說呢?比如說電話詐騙,現在公檢法,騙到以后,會讓這些人去銀行轉帳,你就拿著卡,先把卡找到,密碼想起來,走到銀行去到ATM,或者柜臺轉給這個人。
這中間其實是很長的一公里,可能花掉半個小時和一個小時,在這半個小時一個小時之間,用戶可能突然想“不對啊”很多詐騙前面騙得很好好,但是最后80%可能會醒悟的,但是現在不一樣,移動支付便利,一下子三秒錢,密碼一輸錢過去了。
錢過去以后才想,這個人我不認識,這么一大筆錢沒有發票,我怎么找他,如果不給我發貨怎么辦?但是這一下已經晚了,移動支付雖然便利,確實帶來一個問題,幫助黑產解決了最后一公里的套現和循環的問題。
這里我講的是帶來一個風險,那回到我們微信本身,我們做了大量的工作。并不是說這里不安全,在我們技術條件下應該都是安全的。所以我們一直在行動,在努力,在做很多事情。從兩方面。
第一微信生態,除了微信自身內循環,也包括微信連接的各個業務。第三方,機構,這兩塊我們都需要做。對于我們自身內部三方面,產品體驗,這騰訊是以產品為王的,我們產品講的是安全體驗。在我們安全團隊有一個叫做安全無處不在,而你卻感受不到他。
我們希望把安全體驗融在每一個產品步驟當中,用戶更加早接觸到的時候,才能夠提高自身免疫力,安全的免疫力。所以我們做很多工作,也許我們做得不夠好,但是我們朝著這個方向努力。
技術方面,騰訊有十幾年的技術能力。每天達到幾百T,有時候甚至上千T數據。特別是到今天一個轉變,我們技術已經走上深度學習,積極挖掘,我們也在這種進一步轉變。
我們每天流水,您每一次操作,加好友,用戶發朋友圈,每一次跟別人去支付,每一次操作行為都有著背后大數據和技術團隊的支撐。
我們大家可能看不到,背后可能幾萬次運作,計算機CPU也在運轉,當你鑒別這一次操作是否安全,是否對方是可疑的詐騙,這樣存在一個惡意的行為。
這一塊我們能保證足夠感知,事中攔截,事后做到很好的追溯。
另外在刑事方面,我們從來都是零容忍,在刑事打擊方面從來都是零容忍。騙子只要侵犯用戶資金,財產,安全,我們會配合公安機關重拳出擊進行嚴厲打擊,這是去年數據,抓了1000多人,損失1800萬。
“十年樹木,百年樹人” 網民意識還是一個問題,長久還是需要這方面加強,我們線上線下做很多教育,包括推送文章。
走到高校和社區組織很多這樣的活動,發現非常不錯。現在用戶在接受,對我們這些影響到,相信大家微信群和朋友圈發這種養生消息,應該會少很多吧,這個是各種謠言會少很多。這也是得到了一些比較好的效果。
智慧安全連能賦能這是今天主題,產品技術形式和教育,都是我們騰訊內部內循環的事情,但是這是不足夠的。
我們為什么有大量手機號?惡意的手機每天有幾十萬從哪里來?我們其實并不知道,可能是電信運營商那邊的怎么管理,我們也不是很清楚的。我們很多合作伙伴,京東,滴滴,美團一起合作。
有很多帳戶操作的時候,那邊詐騙,刷單,或者做其他事情的時候我們并不清楚,我們可能只做了身份認證連接,對于他們來說不知道這個帳戶信息。
對我們來講不知道在那些平臺上做了什么事情,這里是割裂的。所以這也是最近最近反思,未來去做的一些更加開放的一些態度。就是把微信安全進行連接賦能,我們要把微信能力覆蓋到每一個業務,每一個機構,每一個第三方去。
讓他們享受到,第一我們給他們提供幫助,第二希望回到我們這邊整體,我們把整個生態變得更加健康、綠色。
微信是一個“生活”方式,我們這邊說微信是一個“安全”方式,謝謝各位!