騰訊邵付東:守護網民安全,大數據驅動反詐騙
責編:rhliu |2016-06-29 13:02:40邵付東:各位來賓,大家早上好,我是來自騰訊的一個一線安全工程師,可能我的分享沒有李教授和莊經理那樣有戰略高度,我是走在一線的與黑產對抗的工程師,所以我今天的分享可能會帶著我最近工作的一些實際案例,還有我在和黑產對抗當中的體會跟大家分享一下,可能更加生動一點。
剛才兩位專家分享到當前基于人安全的事情很多,這是很悲哀的一件事情。如果大家看到這些新聞的話,都會看到有被騙上千萬,或者是因為被騙而自殺的一些案例。我自己親身經歷了兩次案例,這是在去年2015年年初的時候,深圳公安找到我們,說現在的電話詐騙很嚴重,其中深圳的一位50多歲的阿姨,因為自己被騙了500多萬跳樓自殺了。剛剛發生了這樣一個悲哀的事情之后,當時深圳聯通運營商找到我們說,我們可不可以做一些事情,可以減少用戶因為這種被騙而導致傾家蕩產之后產生的一些很委屈的事情。于是我們當時就思考,我們可不可以解決這樣問題,于是就做了。
在做的時候就遇到了一個相當不幸的事情,我們的系統剛剛上線沒多久,在2015春節過后的10多天時間內,我們就發現有一個人他可能現在正在被騙,于是聯通就通知了警方,警方就在跟進了這個問題,這是華為的一個工程師,他相當有錢,在40多天的時間,在過年的時間他被騙了1127萬。等到我們發現的時候,只幫他挽回了60萬的損失,公安把那60萬凍結了,這是一個很悲哀的事情。當時我覺得很不解,像這樣高智商的一個人,為什么會被騙上千萬的錢?對整個這個事情進行了一個很深入的研究。今天我的分享就是這樣一些很悲哀的研究經歷。
大家可以看到,在2015年公安部發布了全國我們有59萬人被信息詐騙,或者是電話,或者是木馬,或者是釣魚網站的詐騙損失的金額是222億元。不出我所料,今年估計還會比222億要大。因為從我們現在很多的統計數據來看,今年的詐騙比去年還要猛烈,來得超出人的預期。而且大家可以看到,整個案值從幾十萬、幾百萬、幾千萬,到今年有人被騙了1.17億,這是非常恐怖的一件事情。而且我相信在座的各位基本上都會收到這樣一些電話,你可能沒有相信,但是可能你的家人就有相信的。至少在我身邊,我的同事有幾個人都被騙了。很悲哀的是,被騙了之后他們沒有說,為什么呢?因為他們會覺得,如果我被騙了之后告訴別人,會顯得我的智商很低。
我做安全大概有8年的時間,我一直在做涉攻詐騙,尤其是移動互聯網來了之后,他們做了轉型。如果大家用Android的話,這種通訊的病毒是很肆虐的,今天收到你的小孩子成績不好了,你什么顏色的車又違章了,趕緊去處理。用很多的這種病毒可以得到你很多的數據,知道里的身份證號碼,知道你的職位,甚至知道你哪天要去出差。前一段時間深圳一個公司的財務被騙3千多萬的,本質原因是因為他的老板手機被中了木馬,壞人完全知道他的老板今天要接見誰,跟誰談合作,偽裝成他的老板,他就相信了。說得都對,老板住在哪里,今天正好接見深圳市的領導,今天正好去投資,很著急要投資,所以他就給了。壞人在騙你之前他做了很精準的研究,他有很多你的數據。大家可以在網上看到很多關于企業整個通訊錄的販賣,所以經常有人會假裝成他是你的領導,會騙你。以前是撒網,現在這么多殺毒軟件,這種不容易了,于是他就做精準,讓你更相信。以前人家說能夠被騙上千萬我都不可思議,我自己沒有這么多錢,不能被騙這么多。后來我知道了,他被騙不是一天,花了40天的時間騙他。你還有房產,你可以把房產抵押,你還有親戚,可以找親戚借一些。還幫著你想,說你住院生病了,找親戚借錢,他可以為你想很多的理由,這樣在一個人身上騙的錢很多。前幾天我們協助深圳警方去柬埔寨抓了一批人,臺灣一個很娛樂的媒體還報道了臺灣電話詐騙的人,他們在柬埔寨的監獄里講,現在我們騙幾十萬的人太傻了,至少幾百萬起,這是很悲哀的。
整個信息詐騙面臨很嚴峻的挑戰,他們與高科技的手段結合,打擊難度大。以前是接觸式的詐騙,現在你去街上捅一個人,搶人家的包包很容易被抓,因為攝像頭可以定位什么地方做了案。但是基于網絡,完全不知道你在哪里,而且現在可以在國外攻擊國內,被抓捕的成本很大。對于公安來說也講成本,對于他們來說,你抓我太難了,我就作案更瘋狂一些。整個信息詐騙的處理措施不夠健全,我騙了幾千萬,可能就坐幾天的牢,所以這就形成了中國有很多產業聚集區,比如說大家都知道廣西賓陽、海南等等一些群居式的作案,就是因為處罰力度太小了,太劃算了,性價比太高。
我們跟進的過程當中也在了解,跟大家分享一下壞人作案產業鏈的一些運作流程。比如我們可以知道,對于這種電話詐騙而言,很多臺灣的人可以招募一大堆以出去打工為由的在廣西的人,他們會到柬埔寨、肯尼亞、馬來西亞、緬甸這樣一些地方,這些都是以工作的形式去的。去那些地方來騙國人,他們會找專業的人,專業的人去租用很多改號的工具進行這種改號,來撥打電話,編寫好很多的劇本,找專業的人進行洗錢。整個通道上,他的分工很細,如果你要去打擊很難,因為這個產業鏈不像傳統的,可以有實體,可以跟蹤的。對于像支付類的病毒也是一樣的,有整個制作木馬的人,還有很多傳播木馬的,甚至還有很多洗錢的。大家可以看到,像這種洗錢的通道,很多時候通過支付寶走,或者是通過京東買一些虛擬的東西,虛擬的東西之后再走線下去消費,其實這個時候警察要去抓捕的話是非常難的。
我們針對像這種愈演愈烈的情況我們做了一些什么事情?因為壞人也是用大數據,而且壞人也是精準涉攻。在這個時候,其實你要打擊他是很難的,如果撒網式的詐騙,有很多聚集的行為。但是當走到精準的時候就很難了,我只騙你,相當于把受害者和普通大眾進行分開是一件非常難的事情,需要有一些技術上的升級。于是我們說,我們能不能提出利用一些大數據的方法來解決這樣一些問題。光有大數據也是不夠的,于是我們還想說,因為整個防詐騙是產業的合作,是說你要從全維度,比如我們說從教育維度,從打擊維度,從預防維度來制作。于是我們當時在騰訊內部發起了一個守護者,希望聯合警方、運營商、公安和銀行,保證壞人騙不到你,即使騙到你,他的錢也轉不出去,如果實在騙了,我們有辦法打擊他,把他抓回來,至少可以挽回廣大群眾的損失。
整體的守護者思路就是,我們會成立一些反詐騙實驗室,去研究一些針對壞人現在的一些行為,進行一些研究,對于這種壞人施騙過程當中的一些環節,我們把這些環節把控好,從而能夠提高壞人的成本。當然我們也知道,把壞人干掉是不可能的,因為總有利益。但是我們希望壞人的成本越來越高的話,可能會減少一些受害者。
在壞人作案的環節當中有幾個基礎的要素是他們一定要使用的,比如說他會通過電話號碼,這是天然的與個人綁定的屬性而騙你。還有他可能會傳播一些惡意的網址,可能會傳播一些惡意的程序,最后他還會通過銀行卡去洗錢,還有一些PC的木馬。壞人基本上要作案繞不過這些關鍵的要素,如果我們能夠對這些關鍵要素進行監控,我們把這些關鍵要素,比如說對于電話號碼,我們在運營商的網絡對他進行一些阻斷和提醒,這樣壞人提示得手的概率就會低一些。
這是我們在整體做了對于欺詐電話號碼的研究,每天有250萬,最早的時候我們很天真,說把這個號碼讓運營商阻斷是不是問題就可以得到解決?發現這個事情并沒有那么好,因為每次阻斷壞人都會變了號碼,其實沒有太大的效果,只是減低了一點點而已。后來我們想這樣不行,我們提出了更多的,我們基于話單的發現受害人,我們不打擊你的號碼,我們只是讓你騙不成功,轉換了一些思路去做,在這個實踐上取得了一些比較好的成果,后面會給大家一些實際的介紹。
對于這種網址安全的事情,以前我們基于文本的內容去檢測,后來發現文本其實很難去檢測,因為你檢測了,別人也在對抗。后來我們基于整個網址傳播的一個渠道行為,因為你要去騙人家,總是要去傳播。那么我們針對你的傳播渠道進行這種行為上的一些檢測,就是說你總會找到一些離群的行為特征。我們通過這個行為特征去檢測,就能夠很好的把這樣一些惡意網址檢測出來,同時我們把這樣的能力開放給業界,基本上你可以看到,有網址存在的地方都會有我們的服務,我們有足夠強的能力,覆蓋在壞人做惡的鏈條上。
我們還有基于APK的安全,剛才也講到了很多這方面的內容。我們也是一樣的,我們的思路是基于你的傳播行為,你的行為上有什么特點,你的傳播過程當中總會表現出和正常的程序不一樣的地方。我們做了這個事情,這是在2014年的時候,當時我們配合警方6小時就破案了“XX神器”。大家可以看到這個傳播非常異常,我們跟警方配合,就很快的定位了這個案件。這個小伙當時寫出來這個程序只是為了娛樂,沒想到壞人用到通訊錄上面。
在打擊社工詐騙方面是很難預防的,因為他和傳統的一些木馬檢測或者是網址檢測等等是稍微不一樣的,因為這里本質是人的弱點,他是利用你的弱點去做。我們說在打擊社工詐騙方面,我們有很多經驗。我們在QQ上,在微信上做了十幾年,我們一直對抗這樣一些壞人,而且對壞人有足夠的了解,騰訊有社交大數據,我們可以通過這些社交數據,有很多機器學習的機會,可以識別出一個好人和壞人的特征。
我們在打擊社工詐騙方面,在傳統的一些技術手段上,很多時候是事前的,比如我們經常用的是黑名單,我們發現黑名單攔截。最早我們也是這樣去做的,我們給他很多的網址、號碼和銀行卡,給到運營商和公安,希望他們能夠去封停,以為可以減少一些傷害,可以減少一點點,但是其實效果并沒有那么好。所以以前的事前教育,還有公安事后打擊的方式,其實在現在的情況下并沒有那么好。于是我們就基于多年的經驗提出了這樣一套打擊的方法,我們叫做事中打擊,就是說讓騙子騙不成功,你騙了幾個小時或者你騙了一天,最后這個錢轉不到你的手里,于是這個騙子的成本太高了,所以我們就有事中提醒的反詐騙的方法。
這是我們具體在實操中用到的一些案例,比如針對電話詐騙,這個其實是很難預防的,比如說你給他一個號碼,他馬上就改好了,他用沈陽、上海、深圳的電話等等,你封不掉這么多。我們就有一個鷹眼盒子的東西,你跟誰通話多長時間,基于這樣一些簡單的信息,我們可以實時的發現,此刻你是不是與壞人正在聯絡,如果是的話就給到你一個提醒。所有的社工詐騙就是如果你當時給他稍微一點點的提醒,他就不會被騙。所以很多的壞人騙這些人的時候,都會告知他說,讓這個受害者去賓館,不要與任何人電話,請你馬上把你的電話換掉,重新配置一張電話卡,本質的目的就是為了切斷他與外界的聯絡。人腦被洗腦的時候,被控制的時候,你稍微提醒一下,他馬上就會知覺,這是我們在做的一個思路。好了你騙,在中途讓騙子騙一會兒,讓子彈先飛一會兒,快成功之前,我趕緊提醒用戶,讓用戶不去轉錢,我相信這是對騙子最大的一個傷害。
我們做了這樣一個基于簡單話單的做法,當時和北京公安一起來做,在北京取得了比較好的效果。當時是準備了兩周的時間,我們每天大概有500個受害者,我們進行了兩三個月的實驗之后,每天損失挽回100萬,一年為北京市民因為電話詐騙挽回的損失在3個億左右,這是非常有意義的事情。我們把這些東西復制到與聯通總部的一些合作,在聯通總部也取得了很好的成績。
2016年大家可能偽基站收到的比較多,如果是北京的同學,對于偽基站這個事情會感受很強烈。經過五道口的人有沒有經過偽基站?用移動手機卡的人,如果沒有收到偽基站這是一個小概率的事件,北京的五道口偽基站非常多。現在偽基站是非常惡劣的一個事情,公安有20%的報告是關于收到一個偽基站被騙。招商的短信告訴你,基本上沒有職業敏感度的人都會去點。公安找到我們,問我們有什么方法解決,我們就利用已經有的一些數據,我們騰訊有足夠大的客戶端,有這么多LBS的數據,還有我們有這么強的網址檢測的技術。我們就利用我們整個的云端計算的能力,來定位全國現在的一些偽基站分布的情況,哪里有偽基站,這些偽基站在哪里傳播,傳播的估計是怎樣的,整個鏈條是怎樣的。這是我們當時實施的效果,可以看到北京的偽基站,大家可以看到異常的強烈,所以我說你在北京,不收到偽基站的概率是很低的。我們當時做了之后非常好,在深圳做了兩個多月,偽基站下降了74%,在廣州打擊了一個月,已經基本上沒有偽基站了。我們在一些情報里可以看到,發偽基站的人說再也不來廣東作案了,他們要轉移一些新的陣地,這是我們取得的一些非常好的成績。
整體是這樣的,社工詐騙是一個需要大家一起協同去做的事情,我們希望和公安、運營商和銀行一起,在壞人作案的各個鏈條上,都能夠對他進行有一些震懾性的阻斷和打擊的作用,從而提高壞人的作案成本,讓壞人轉行去做一些別的事情。我的分享就到這里,謝謝!