邵付东:各位来宾,大家早上好,我是来自腾讯的一个一线安全工程师,可能我的分享没有李教授和庄经理那样有战略高度,我是走在一线的与黑产对抗的工程师,所以我今天的分享可能会带着我最近工作的一些实际案例,还有我在和黑产对抗当中的体会跟大家分享一下,可能更加生动一点。
刚才两位专家分享到当前基于人安全的事情很多,这是很悲哀的一件事情。如果大家看到这些新闻的话,都会看到有被骗上千万,或者是因为被骗而自杀的一些案例。我自己亲身经历了两次案例,这是在去年2015年年初的时候,深圳公安找到我们,说现在的电话诈骗很严重,其中深圳的一位50多岁的阿姨,因为自己被骗了500多万跳楼自杀了。刚刚发生了这样一个悲哀的事情之后,当时深圳联通运营商找到我们说,我们可不可以做一些事情,可以减少用户因为这种被骗而导致倾家荡产之后产生的一些很委屈的事情。于是我们当时就思考,我们可不可以解决这样问题,于是就做了。
在做的时候就遇到了一个相当不幸的事情,我们的系统刚刚上线没多久,在2015春节过后的10多天时间内,我们就发现有一个人他可能现在正在被骗,于是联通就通知了警方,警方就在跟进了这个问题,这是华为的一个工程师,他相当有钱,在40多天的时间,在过年的时间他被骗了1127万。等到我们发现的时候,只帮他挽回了60万的损失,公安把那60万冻结了,这是一个很悲哀的事情。当时我觉得很不解,像这样高智商的一个人,为什么会被骗上千万的钱?对整个这个事情进行了一个很深入的研究。今天我的分享就是这样一些很悲哀的研究经历。
大家可以看到,在2015年公安部发布了全国我们有59万人被信息诈骗,或者是电话,或者是木马,或者是钓鱼网站的诈骗损失的金额是222亿元。不出我所料,今年估计还会比222亿要大。因为从我们现在很多的统计数据来看,今年的诈骗比去年还要猛烈,来得超出人的预期。而且大家可以看到,整个案值从几十万、几百万、几千万,到今年有人被骗了1.17亿,这是非常恐怖的一件事情。而且我相信在座的各位基本上都会收到这样一些电话,你可能没有相信,但是可能你的家人就有相信的。至少在我身边,我的同事有几个人都被骗了。很悲哀的是,被骗了之后他们没有说,为什么呢?因为他们会觉得,如果我被骗了之后告诉别人,会显得我的智商很低。
我做安全大概有8年的时间,我一直在做涉攻诈骗,尤其是移动互联网来了之后,他们做了转型。如果大家用Android的话,这种通讯的病毒是很肆虐的,今天收到你的小孩子成绩不好了,你什么颜色的车又违章了,赶紧去处理。用很多的这种病毒可以得到你很多的数据,知道里的身份证号码,知道你的职位,甚至知道你哪天要去出差。前一段时间深圳一个公司的财务被骗3千多万的,本质原因是因为他的老板手机被中了木马,坏人完全知道他的老板今天要接见谁,跟谁谈合作,伪装成他的老板,他就相信了。说得都对,老板住在哪里,今天正好接见深圳市的领导,今天正好去投资,很着急要投资,所以他就给了。坏人在骗你之前他做了很精准的研究,他有很多你的数据。大家可以在网上看到很多关于企业整个通讯录的贩卖,所以经常有人会假装成他是你的领导,会骗你。以前是撒网,现在这么多杀毒软件,这种不容易了,于是他就做精准,让你更相信。以前人家说能够被骗上千万我都不可思议,我自己没有这么多钱,不能被骗这么多。后来我知道了,他被骗不是一天,花了40天的时间骗他。你还有房产,你可以把房产抵押,你还有亲戚,可以找亲戚借一些。还帮着你想,说你住院生病了,找亲戚借钱,他可以为你想很多的理由,这样在一个人身上骗的钱很多。前几天我们协助深圳警方去柬埔寨抓了一批人,台湾一个很娱乐的媒体还报道了台湾电话诈骗的人,他们在柬埔寨的监狱里讲,现在我们骗几十万的人太傻了,至少几百万起,这是很悲哀的。
整个信息诈骗面临很严峻的挑战,他们与高科技的手段结合,打击难度大。以前是接触式的诈骗,现在你去街上捅一个人,抢人家的包包很容易被抓,因为摄像头可以定位什么地方做了案。但是基于网络,完全不知道你在哪里,而且现在可以在国外攻击国内,被抓捕的成本很大。对于公安来说也讲成本,对于他们来说,你抓我太难了,我就作案更疯狂一些。整个信息诈骗的处理措施不够健全,我骗了几千万,可能就坐几天的牢,所以这就形成了中国有很多产业聚集区,比如说大家都知道广西宾阳、海南等等一些群居式的作案,就是因为处罚力度太小了,太划算了,性价比太高。
我们跟进的过程当中也在了解,跟大家分享一下坏人作案产业链的一些运作流程。比如我们可以知道,对于这种电话诈骗而言,很多台湾的人可以招募一大堆以出去打工为由的在广西的人,他们会到柬埔寨、肯尼亚、马来西亚、缅甸这样一些地方,这些都是以工作的形式去的。去那些地方来骗国人,他们会找专业的人,专业的人去租用很多改号的工具进行这种改号,来拨打电话,编写好很多的剧本,找专业的人进行洗钱。整个通道上,他的分工很细,如果你要去打击很难,因为这个产业链不像传统的,可以有实体,可以跟踪的。对于像支付类的病毒也是一样的,有整个制作木马的人,还有很多传播木马的,甚至还有很多洗钱的。大家可以看到,像这种洗钱的通道,很多时候通过支付宝走,或者是通过京东买一些虚拟的东西,虚拟的东西之后再走线下去消费,其实这个时候警察要去抓捕的话是非常难的。
我们针对像这种愈演愈烈的情况我们做了一些什么事情?因为坏人也是用大数据,而且坏人也是精准涉攻。在这个时候,其实你要打击他是很难的,如果撒网式的诈骗,有很多聚集的行为。但是当走到精准的时候就很难了,我只骗你,相当于把受害者和普通大众进行分开是一件非常难的事情,需要有一些技术上的升级。于是我们说,我们能不能提出利用一些大数据的方法来解决这样一些问题。光有大数据也是不够的,于是我们还想说,因为整个防诈骗是产业的合作,是说你要从全维度,比如我们说从教育维度,从打击维度,从预防维度来制作。于是我们当时在腾讯内部发起了一个守护者,希望联合警方、运营商、公安和银行,保证坏人骗不到你,即使骗到你,他的钱也转不出去,如果实在骗了,我们有办法打击他,把他抓回来,至少可以挽回广大群众的损失。
整体的守护者思路就是,我们会成立一些反诈骗实验室,去研究一些针对坏人现在的一些行为,进行一些研究,对于这种坏人施骗过程当中的一些环节,我们把这些环节把控好,从而能够提高坏人的成本。当然我们也知道,把坏人干掉是不可能的,因为总有利益。但是我们希望坏人的成本越来越高的话,可能会减少一些受害者。
在坏人作案的环节当中有几个基础的要素是他们一定要使用的,比如说他会通过电话号码,这是天然的与个人绑定的属性而骗你。还有他可能会传播一些恶意的网址,可能会传播一些恶意的程序,最后他还会通过银行卡去洗钱,还有一些PC的木马。坏人基本上要作案绕不过这些关键的要素,如果我们能够对这些关键要素进行监控,我们把这些关键要素,比如说对于电话号码,我们在运营商的网络对他进行一些阻断和提醒,这样坏人提示得手的概率就会低一些。
这是我们在整体做了对于欺诈电话号码的研究,每天有250万,最早的时候我们很天真,说把这个号码让运营商阻断是不是问题就可以得到解决?发现这个事情并没有那么好,因为每次阻断坏人都会变了号码,其实没有太大的效果,只是减低了一点点而已。后来我们想这样不行,我们提出了更多的,我们基于话单的发现受害人,我们不打击你的号码,我们只是让你骗不成功,转换了一些思路去做,在这个实践上取得了一些比较好的成果,后面会给大家一些实际的介绍。
对于这种网址安全的事情,以前我们基于文本的内容去检测,后来发现文本其实很难去检测,因为你检测了,别人也在对抗。后来我们基于整个网址传播的一个渠道行为,因为你要去骗人家,总是要去传播。那么我们针对你的传播渠道进行这种行为上的一些检测,就是说你总会找到一些离群的行为特征。我们通过这个行为特征去检测,就能够很好的把这样一些恶意网址检测出来,同时我们把这样的能力开放给业界,基本上你可以看到,有网址存在的地方都会有我们的服务,我们有足够强的能力,覆盖在坏人做恶的链条上。
我们还有基于APK的安全,刚才也讲到了很多这方面的内容。我们也是一样的,我们的思路是基于你的传播行为,你的行为上有什么特点,你的传播过程当中总会表现出和正常的程序不一样的地方。我们做了这个事情,这是在2014年的时候,当时我们配合警方6小时就破案了“XX神器”。大家可以看到这个传播非常异常,我们跟警方配合,就很快的定位了这个案件。这个小伙当时写出来这个程序只是为了娱乐,没想到坏人用到通讯录上面。
在打击社工诈骗方面是很难预防的,因为他和传统的一些木马检测或者是网址检测等等是稍微不一样的,因为这里本质是人的弱点,他是利用你的弱点去做。我们说在打击社工诈骗方面,我们有很多经验。我们在QQ上,在微信上做了十几年,我们一直对抗这样一些坏人,而且对坏人有足够的了解,腾讯有社交大数据,我们可以通过这些社交数据,有很多机器学习的机会,可以识别出一个好人和坏人的特征。
我们在打击社工诈骗方面,在传统的一些技术手段上,很多时候是事前的,比如我们经常用的是黑名单,我们发现黑名单拦截。最早我们也是这样去做的,我们给他很多的网址、号码和银行卡,给到运营商和公安,希望他们能够去封停,以为可以减少一些伤害,可以减少一点点,但是其实效果并没有那么好。所以以前的事前教育,还有公安事后打击的方式,其实在现在的情况下并没有那么好。于是我们就基于多年的经验提出了这样一套打击的方法,我们叫做事中打击,就是说让骗子骗不成功,你骗了几个小时或者你骗了一天,最后这个钱转不到你的手里,于是这个骗子的成本太高了,所以我们就有事中提醒的反诈骗的方法。
这是我们具体在实操中用到的一些案例,比如针对电话诈骗,这个其实是很难预防的,比如说你给他一个号码,他马上就改好了,他用沈阳、上海、深圳的电话等等,你封不掉这么多。我们就有一个鹰眼盒子的东西,你跟谁通话多长时间,基于这样一些简单的信息,我们可以实时的发现,此刻你是不是与坏人正在联络,如果是的话就给到你一个提醒。所有的社工诈骗就是如果你当时给他稍微一点点的提醒,他就不会被骗。所以很多的坏人骗这些人的时候,都会告知他说,让这个受害者去宾馆,不要与任何人电话,请你马上把你的电话换掉,重新配置一张电话卡,本质的目的就是为了切断他与外界的联络。人脑被洗脑的时候,被控制的时候,你稍微提醒一下,他马上就会知觉,这是我们在做的一个思路。好了你骗,在中途让骗子骗一会儿,让子弹先飞一会儿,快成功之前,我赶紧提醒用户,让用户不去转钱,我相信这是对骗子最大的一个伤害。
我们做了这样一个基于简单话单的做法,当时和北京公安一起来做,在北京取得了比较好的效果。当时是准备了两周的时间,我们每天大概有500个受害者,我们进行了两三个月的实验之后,每天损失挽回100万,一年为北京市民因为电话诈骗挽回的损失在3个亿左右,这是非常有意义的事情。我们把这些东西复制到与联通总部的一些合作,在联通总部也取得了很好的成绩。
2016年大家可能伪基站收到的比较多,如果是北京的同学,对于伪基站这个事情会感受很强烈。经过五道口的人有没有经过伪基站?用移动手机卡的人,如果没有收到伪基站这是一个小概率的事件,北京的五道口伪基站非常多。现在伪基站是非常恶劣的一个事情,公安有20%的报告是关于收到一个伪基站被骗。招商的短信告诉你,基本上没有职业敏感度的人都会去点。公安找到我们,问我们有什么方法解决,我们就利用已经有的一些数据,我们腾讯有足够大的客户端,有这么多LBS的数据,还有我们有这么强的网址检测的技术。我们就利用我们整个的云端计算的能力,来定位全国现在的一些伪基站分布的情况,哪里有伪基站,这些伪基站在哪里传播,传播的估计是怎样的,整个链条是怎样的。这是我们当时实施的效果,可以看到北京的伪基站,大家可以看到异常的强烈,所以我说你在北京,不收到伪基站的概率是很低的。我们当时做了之后非常好,在深圳做了两个多月,伪基站下降了74%,在广州打击了一个月,已经基本上没有伪基站了。我们在一些情报里可以看到,发伪基站的人说再也不来广东作案了,他们要转移一些新的阵地,这是我们取得的一些非常好的成绩。
整体是这样的,社工诈骗是一个需要大家一起协同去做的事情,我们希望和公安、运营商和银行一起,在坏人作案的各个链条上,都能够对他进行有一些震慑性的阻断和打击的作用,从而提高坏人的作案成本,让坏人转行去做一些别的事情。我的分享就到这里,谢谢!