NSC2014腾讯移动安全实验室陆兆华

腾讯《天下无贼》移动神偷-手机诈骗的威胁防御

各位朋友下午好,我是来自腾讯移动安全实验室安全专家陆兆华,我们这边其实也有自己的安全的软件,除了我们企业的安全以外,还有在客户端当中腾讯电脑管家,我带来的是手机诈骗的危险与防御。大家9月份看到过这样的新闻,就是李若彤(音)的经纪人赵宇电信的诈骗,100万元转走,诈骗当中其实有可能不是用很高深或者很厉害的技术,现在金额一直往上涨到1000多万了,所以我这边更加的去整个去介绍的,会是一些真真实实的这种很平常的一种案例和不是很高深的,跟手机相关诈骗的案例,他是怎么被骗的呢?卖一个关子,后面会把手法介绍给大家。我们先看几组数据,我们跟深圳警方合作比较的深,那么深圳警方2013年开始了叫反诈骗的热线,不到2年的时间就是接到群众的电脑40万人次,劝阻1.6万人,涉及的金额达1.43亿元。这个整个的量蛮高的,另外就是腾讯手机管家的数据,从2014年上半年用户举报的还有诈骗里类似的是7.33%。…下面是病毒,病毒的话,整个病毒数其实100多万了,上半年有30多万的发现,那么中毒的用户是9千万,几年加起来两亿多,病毒在疯狂的增长,从上面看,就是跟照片相关是哪一些呢,短信的照片,电话照片,手机病毒照片,这是常见的手机诈骗,而且很多不是用APP或者说漏洞等等的。

我们先看一下,短信诈骗有什么样的案例,我相信先给一个样本,看电视节目被抽中奖了吗?你的手机号码被中国好声音栏目组抽中奖,然后有奖金,有网址,网址是进去右边的网页,很真的,很像的,除了中国好声音,爸爸去哪儿都是很常见的手法,他是怎么样诈骗用户的呢?先给这样一条短信你中奖了,你点击进去手机号和验证码录入进去,…电话当中以你中了一个大奖,然后大奖要交手续费…甚至奥迪的跑车,让你转帐,我们碰到的一个案例,就是被骗13万。然后还有第二种短信也是,我觉得很常见,现在一直一直都有,这更隐蔽的手法是用官方号发,就是你的短信积分满足兑换现今,很多人知道自己有积分,有的人会动心的,这个网址不是官方的网址,大家不知道,点上去就是银行的网站,然后让你填身份的信息,填完了最后让你激活这个提款,你下来就是一个木马,木马的作用我后面讲。这里就是普通用户收不到的就是伪基站这个很简单,他有一个电脑的主机,伪基站主机加信号的发射器,里面有群发的软件,这样的一个设备就能够发出任何一个号码,包括110,95588,10086等等的这样,普通的用户分不清,这个设备很小。除了这些我在说几个案例,大家很熟的,比如说房东转帐。这种就是很低级的,真的就是快要交房租的就转过去了,现在快到双11了,最近的案例一直在上涨,就是淘宝店面失效了,给你一个电话,就是他是知道你近期有过淘宝的订单然后给你发短信的,你打到这个号码,整个语音过来,就是像淘宝客户的语音,然后人工引导你去转帐。

三是机票的一个取消,也是要有一个电话打过去,很真的,让你一步一步的给他帐户进行转帐。短信诈骗,是现在用户遇到最普遍的电信诈骗,他成本很低,伪基站在市面上5000—2万的设备,请一些人,各个地方发,他犯法了。其他的一些群发的短信和通道,就是几分钱一条短信,加上他在黑市上买一些资料,无论是一些电话或者说一些订单等等那个成本不高,在这快当中是最普遍的,就是每一个人我要做调查的话,一个月当中接到几条是不奇怪的,第二个电话诈骗,这边部分和短信诈骗有点像,他比较多的是,诈骗分子是主动的呼出的,比如前面说的李若彤被骗的案例,就是他知道电话是经纪人的打过去地告诉他,他们是公安的,他涉嫌一个案件,还知道他今天早上飞北京,恐吓他你一下飞机,我们就把你抓住,然后他就害怕了,然后给你一个网一看,确实是通缉很真的网址,就是把他的姓名身份证信息都在上面了,他真的怕了,然后让他协助调查,就是让他木马下来了,插6盾了,就是在电脑上操作,100多万就转走了。

这里有一个概念叫公检法,就是假公检法,公安检察院法院,冒充这样的一些普通的老百姓都会比较的进而远之的部门,信用卡就是在远处的地方就是被倒刷了,要多少多少钱,因为以你的身份证等级的,就是恐吓了,要给保证金,或者你要协助调查,后面有一个安全的帐户,你把钱转到安全的帐户,第二就是传票,告诉你有传票,就是涉嫌到洗黑钱或者犯罪诈骗等等的,这里很多的案例,从几十万到一百多万都不等,在上面当中,这也引出来在技术上有两块让普通的用户不好去识别的,第一个是网络的电话,网络电话就是像前面带加号的,比如说+95599,这个在上面就出现了,然后就是跟公安相关的+区号110。这种是一个网络的电话,落地到中国,就是这样拨出去的,这个诈骗性很高,除了网络电话以外,还有一个叫改号的软件,这也是利用了以前电信协议当中的一些漏洞去做的,他理论上可以改,任何的一个号码,在你手机上显示,你搜到这个号码是什么号就是110服务的号码,然后加语音的模仿,或者工作人员等等,再加上公检法等等,基本上用户的辨别很难。

电话诈骗当中还有一些从上一年比较多的就是熟人诈骗,就是猜猜我是谁,就是熟悉先聊家常然后后面借钱,后面比较新的就是我是领导明天到我办公室,最近半年当中,就是比较多的,最近我几个同事都接到这样的电话。他提的挺简单的,他模仿一个电话,就是领导的名义打给你,知道你的名字。他说我是领导,比较官方的口气,然后明天让你去他办公室,…因为要做关系,过一会儿,就是给现今不好,我给你一个帐号,你帮我做一些钱过去,也是做关系用的,中招的就是不敢想真的领导回拨电话确认,然后真的转走了。

第三就是手机病毒诈骗,手机病毒诈骗早上百度那边的同事也介绍了一下,大家看这个,就是伪淘宝的病毒,这个是一个视频在界面上很像,淘宝网的软件,他让你直接输入用户名和密码,输入之后会发生什么事情呢?看到就是我们软件拦截到的,就是准备发出去的短信,这个就是把你的输入帐号的密码转发出去了,在技术上很简单,他做了一个仿冒钓鱼的软件,他既不需要拿淘宝的软件二次打包,他自己把淘宝的软件里面几个界面复制出来,加入一些代码,加一个转发短信的代码,就完成了,整个程序就是几百K,很小,这种软件代表一个类别了,他的分解的界面就是这样的。我们直接把他的代码,他接受的手机号,这叫伪淘宝是仿冒的,这是第一种。

第二种,转发验证码的病毒,这个当中,我上次在(英文)的和各银行风控的同事了就是比较的头疼的,也很简单,这种转发,我在一些骗子群里面这个技术能做到22K,就是很小,这个意味着什么,你上去以后,不到一秒钟,下来了,下来就开始抓。这种转发从2013年4月份开始出来的。当时这里有一个案例是这样的,就是张先生是淘宝上的卖家,有一个买家就是要买他的东西,前面聊的很好,就是我在外面我的流量不够,有一个订货的订单,二维码你扫一下你可以看到了,扫一下就是说没有看到,最后几万块钱就没有了。现在就是在很多不同的方式,包括前面所说的10086还有95588这样的端口下发下来,积分兑现金这个程序的时候也是转发验证码,他要去配合一些去用,也就是说,他有密码,转发验证码的木马以外,他还有拿到姓名用户银行的帐号等等这样的信息。

他拿到你的身分证号了,然后帮你做了密码,在一些网站上面,他要去找回密码,他只需要用手机验证码加上身份证,他在网上操作的时候,这个网站会向这个手机发一条验证码的信息,那么这个验证码的  信息因为你有木马他把这个木马拦截转走了,就像你的手机在他手上,这个验证码,就是立即把你的登录的密码改了,在配合其他的信息,他可以做转帐或者付款。

第三种今天这个银行的悍匪,我有一个视频让大家看一下是什么样的病毒,首先这个银行的悍匪他不是打包到银行的软件里面,用这两台用户手机装的都是正版的软件,这个有一个游戏的软件,这个软件是病毒,下面银行的软件都是正版的,看到这个游戏的软件,我们在这里点击,比如工行的软件,这两个工行都是正版的,你会看到右边这个是正版的,点击之后是正常的,左边是出现了一个框,登录框有很多要填的信息,下面这里是工行的一个LOGO,就是仿冒工行就是做了一个页面,页面是让你填信息,就是用户真正到这一步之后,他会怀疑软件,工行让他去填,还是病毒去让他填这个信息?首先是手机号,注册的卡号,还有帐户的密码,手机登录的密码等等的这些信息,身分证号,当真的输入这个信息以后,就是发生什么情况呢?这也是拦截到的短信,把这个信息以加密的方式发出去,就是把这个信息钓鱼之后发出去,这个核心的主流上的技术不高深,也是很简单。

很简单两个一样的,就是他可能装了正版还是有风险,其他可能危害支付安全病毒,左边叫(英文),他可以直接的监控用户的一个输入的信息,输入的所有的信息,下面有一个图,就是上传到云端了,这个可以通过一些分析,得到一些帐号的信息密码的信息等等,右边这个就是隐私蛔虫,就是把你所有的短信彩信,视频通话转成语音发到云端。

这么多的短信电话还有病毒的诈骗,他背后是什么一些人做呢?我们看一下,整个产业链可以这样去分,左边这里技术含量稍微高一点,就是木马的制作,或者说做漏洞的安全攻击网站,在网站上面挂一些网站,可能是普通的网站可能是黄色的网站,或者是国产的网站,最多的。

第三个网络的制作,前面看到的就是中国好声音,还是移动的积分兑换的网站,这些都是钓鱼的网站,还有冒充公检法的网站,还有盗号,盗各种信息,还有这种技术的支持,这里一般左边是躲在背后的,中间有主要的环节,就是包马人,就是拿出技术的资源,然后做下游,接触最多的就是短信群发还有在手机上种木马是接单人,还有就是洗钱人,就是用户的密码等等的,或者说已经拿到很多的信息,这就由洗钱的人怎么销帐。最近的1000多万,就是在一个多小时以内,就转成100多个帐号,就把这1000多万传到100多个帐号,两个小时四个小时钱都取走了,就是400多张卡。最后就是一张卡取两万的方式做的。在行业内叫做车手。

那么这些人,就是从叫做历史悠久的诈骗村,在广西福建海南都有,这种村当中,就是据说在村里面就是姑娘嫁小伙就是看谁家骗的钱多。还有就是犯罪团伙的低龄化,都是以收徒为名就是鼓动去干。被抓的在宾馆以外,还有他用移动网络,就是山区里面做,这种山区可能行车的路都没有,警察上去以后就是人去楼空了,反侦查的能力很强,也给真正办案当中带来很大的一个难度很成本。然后我们怎么样来打击和防御呢?

在腾讯这边有一个天下无贼。就是发起的一个反诈骗的联盟,整个当中,我们现在运营的就是诈骗的信息库,就是这个信息就是包括腾讯的大平台,然后还有数据上的挖掘,比如说一些涉及诈骗的银行的帐号,或者银行的还有诈骗的电话私人的电话还有一些网址,诈骗的案例,怎么成果共享到联盟里面的各种的,比如说在腾讯,就是在手机管家当中,就是手机管家提示用户诈骗的短信或者诈骗的电话,接听的时候直接的显示出来,让用户有所防备,还有就是我们跟运营商家合作的就是把技术输出,在那边直接在网络上判断诈骗的短信和电话,就是直接的用数据的模型和我们整个数据库的一些成果。

然后我们做了两次试水,因为政策层面上的问题,这两次试水的成果和大家介绍一下,我们从数据库里面活跃多少天,被多少人举报了,比如说这样一个电话被1000多人举报,这是我们库里面能看到的,我们这里面有员工内部审核确认,我们就是形成黑卡的户,我们在6、7月份的时候,就是拿600多个黑卡的户,就是进行验证,就是这个欺诈帐户的交易,发现了5个可疑分子。第二次在9月份左右,拿了1900多个帐户,给公安,公安在这里面做比对,其中有230多帐户以前立过案,现在做的库有一定的价值,就是部分可以,我们以前跟一些银行聊过,就是我们这个库在银行应用的话,对他的用户就是遇到这个卡号的时候,就是给用户有一个提醒,就是有这些的应用,更深的应用就是把整个诈骗,不是到用户那一头的时候,就是到汇款那一步,被骗的时候,就是才把这个步骤迁移就是在诈骗分子发这个号的时候,就是那一部分把他卡断了。

除了黑卡黑号一个数据库以外我们还提供了我们内部叫TMSLITE深入的合作,这里不用SDK进行合作,就是各个金融类的移动按我们接口的标准调用我们手机管家的一些能力,比如说在启动的时候,可以调用扫描环境是否安全,在录入密码或者在修改密码的时候安全性特别重要的环节检测他的安全。

还有软件加固,这是现在比较通用的技术,腾讯有自己的技术进行提供,这里就是可以做反篡改,反二次打包。另外就是我们手机管家在客户端做了我们应该要做的防具,比如说诈骗短信的拦截,诈骗电话的提醒在技术上已经很承受了。另外就是在外围保护这一个支付类的软件,在运行的时候检测他的环境是否安全,还有就是前面说的,转发验证码的病毒,这种病毒来说,他就是有验证码过来,就是把他转走,他不知道,在手机管家可以做到有短信过来就是加密,加密之后他这个验证码拿不走。

最后一个小结就是,手机诈骗其实在警方那边,他们觉得都是治理比较的难,另外这是非接触性的犯罪,只要就是说上网,或者说利用一些网络的条件,或者通过手机的媒介就是把前面诈骗的那一部分就是触点已经做到了,在警方当中,就是不像一般的偷窃打架他可以加派警力可以做的,就是获利非常的可观,因此还不能怎么打下来,所以单凭一个环节,或者说一个角色去做很难做的,在腾讯这一块当中,有自己的优势,就是有我们整个大平台的大用户量和大的数据,然后这样可以联合警方运营商还有金融的企业,做到我们简单来说,就是在客户那一端可以做,跟行业协作,就是把整个反诈骗可以往前面前移,所以我们有天下无贼的防具,我们有一个周年庆,倒时候有更深的分享和了解沟通。谢谢大家!

 

上一篇:NSC2014创业与投资论坛

下一篇:沈逸:沉着应对美国网络安全新攻势