演讲主题:微信安全生态
演讲嘉宾:古开元 腾讯公司微信安全总监
古开元:大家好我叫古开元,来自腾讯,目前负责微信安全。我在业务安全领域已经工作了10年,所以说这里可能借此机会,也跟大家分享一下我们刚才提到“微信支付”以及微信的生态。
我想从微信生态介绍一下我们所面临的风险与挑战,以及最后我们做什么,以及我们未来准备做什么。
先给大家介绍一下三个数据,第一今年Q2整个微信月活跃数达到8.06亿。注册公众号超过两千万,支付绑卡用户超过3亿,许总刚才提到了我们每天微信支付笔数达到数以,金额和来往流水就更加多,这个数字是非常巨大的,都是过亿的。
那么它背后对于微信来说,它想打造的一个是?有人说微信是超级APP,有人说是网络VS,但是对于微信本身是想做一个连接器,我们想连接一切。
这是我们一直提倡的方式,会有具体连接人,以前我们用电话用短信沟通,但是今天在座各位可能听我们讲座的时候,可以手机按着点点,发语音,发视频,或者我们看一下“朋友圈”甚至支付红包做沟通,它已经改变了我们生活方式。
我们还可以连接服务,我们早上起来第一件事情打开手机看一下,我们买一个早餐,我们上班坐“滴滴打车”空闲的时候我们看看公众号,看看朋友圈。
到公司想喝一杯咖啡,明天“双十一”看看商城有什么想抢购的东西,晚上吃饭的时候我们打开微信游戏,整个环节大家可能离不开微信,把整个服务连在一起。
大家可以看APP使用时间,微信已经占50%以上,它已经改变了整个的衣、食、住、行、玩,所以回到到微信支付,我们希望人人都是ATM。主持人说现在身上不带钱包,我们不想每天出去以后带着一个很厚重的钱包,不想跟别人支付的时候找一堆零钱给我们。
我们买单的话刷一下二维码就支付了,我们亲友之间可以直接发红包了,甚至我们贷款,我们买保险都可以在这上面去完成,它今天已经变成了一个支付方式,并且改变了支付方式。
我说了这么多,微信做一个生态,已经连接着服务,连接人,连接支付,甚至连接应用,连接我们硬件等等。它已经改变了我们整个生活方式,背后生态非常强大。
这么一个重要的生态背后,其实面临着很多的风险与挑战的。比如说盗号和盗卡这是我们一直以来从安全出现以来一直面临的一个问题。
这几个数字,我们每天在微信上,有来自于数百万的IP,他们对于几千万帐号发起几亿攻击,这是每天,可能大家坐着的时刻,背后就有很多攻击在发生了。
如果大家碰到右边这样一个微信,那恭喜你,你的密码可能泄露了。比如说社工诈骗成为最主要的矛盾,而不是之一,就是最主要的。我们提到仿冒诈骗就有点像电信,公检法。
对于微信资金笔数最大的就是仿冒,仿冒领导诈骗一般额在几万到上百万,非常大!
我记得2014年时候我们在深圳网监拿到一个区,南山区网络诈骗半年达到千万级别。
虚假红包是微信平台最多的,我相信很多平时群里面可以看到发的一些红包,但是被我们拦截了,那是整个微信平台最得多,每天有几千万次。另外一个礼品免费送,这是整个微信客服团队收到最多投诉的一种诈骗方式。
这个二维码比较新颖的诈骗,就是“十一”国庆的时候,就是违章二维码,这种诈骗方式成本低,转移成本也很低。我在二维码的这个诈骗场景上,第二天我就收到了一个水电通知单,其实我就在想,如果我是骗子的话,我在水电通知单下面加一个二维码。
我也加一个很贴心的话,现在缴费不复杂了,扫二维码就可以缴费了。这是一个顶点的,我在水电箱下塞一个缝,我说是102块钱,你扫一下可能就是钱到了,很简单,成本非常低。
所以现在诈骗是最主要的矛盾,没有之一。
当然网络赌博是最近微信平台上出现的新型的恶意的黑产。这是公开按键数暴露最多黑产类型。
红包金融大家很熟悉,群里正常接龙很多次,但是被不法分子利用,形成一个比较恶劣的赌博方式。这种红包金融相对好一些,牛牛、扫雷、PC蛋蛋,时时彩等等,这只是冰山一角。线下赌博搬到线上。“扫雷”大家知道怎么扫吗?
假如说庄稼就说一个数字,一个100,一个3,100代表押100块钱,3代表如果领取随机红包是3,那你就给我100块钱,如果你中我的雷给我100块钱,如果不中的话我给你100块钱。
这很简单,一次赌博可能就是一分钟内完成了,所以一个群里,假如说一个赌博群,一天流水几十万,或者上百万之间。然后还有一个比较有趣的例子,我们做技术,每天监控背后的一个数据曲线。
我们就会发现近段时间,每天晚上9点35分我们支付曲线,一般是比较平稳的,平滑的。但是9点35哪一个点有一个尖峰,就这样一个点直接上去,我们百思不得其解,这是系统BUG导致的还是什么?
后来我们发现9点35是香港六合彩开彩的时间,有一个断崖式的增长,很有意思!
除了这些之外,刚才讲了我们列举大家比较观众的,包括色情,敲诈,刷单,薅羊毛,这个恶意黑产在微信非常多。
我们不断的反思,怎么样形成这种情况呢?我们有两点总结,第一个就是各个分会场讲这一点,就是网络黑产专业化,集团化和产业化。因为到了今天,这已经发展非常成熟了,我记得,前几天公司内部专门讲诈骗分享,城市网络诈骗黑产从业者已经达到100万者,黑产从业者已经100万,他们黑产利润是在一千亿 左右,就是黑产的利润。
只是单单诈骗场景就达到这么多,2016年上半年公安部公布的诈骗报案金额达到110多亿。就是报案时候亏这么多了,就是100多亿。
所以这背后有多大的一个产业在后面?这已经非常成熟了。我再举一个例子,我们看坏人每天恶意新增手机号,微信号是用手机注册的,而且不能重复注册,一年可能一个手机号一年注册两次,不能随便重复注册的。
但是我们发现每一天来自于恶意手机这种新的手机号,就是近几十万,这个具体的不太好说,一天就是几十万。一年365天下来就接近了上亿,我都不知道这些手机号从哪里来的。
这代表背后有很大的黑产链,我们也可以到黑产群调查,黑手机,黑帐号,被盗的号支付,还有这种硬件,到处都是可以批量生产和购买,包括银行卡,信息,盗卡盗刷,身份证,银行卡,电话号码。
只要做一件事情就可以了,木马这一套东西都给你,你定向把木马传到手机里,让他诱变用户点击安装,你盗手机验证码,可能就会盗到用户的绑卡,绑到自己的卡上消费别人。
这个我不讲了,这是一个非常成熟的产业。
在另外一方面,我们反思,这里有这么大一个,除了黑产本身利润很大之外,还有一个层面。就是我们觉得整个数字化社会化发展太了快,就是两个数字。
下面就是一亿,那边是8亿。一亿代表的是我们当时QQ在线用户数达到1亿的时候,互联网发展十几年之后我们才达到这个数。但是从1到8亿我们只用两到三年,就是几年时间,时间大大缩短了。
这缩短的时间带来什么问题呢?第一我们网民意识没有跟上,PC时代能够PC的这一部分人都是高精端人,大学生,买得起电脑,因为PC操作复杂,他们经过了互联网洗礼,各种安全软件的告警,弹窗。
没有像今天8亿的时候,大家想想您的父母,我的岳母今年64岁,现在买菜的时候也不带钱了就带手机,到超市里刷一下,买水果就刷一下她都不带手机了,我很惊讶她怎么学会的。
我儿子6岁读一年级,每天跟我父母视频,然后还发语音,他才6岁。大家发现这8亿减1,这1亿里多少网民用户,虽然享受着移动互联网便利的红利,但是他们又成为网络黑产的一部分红利。
以前黑产只盯着这一亿里面高精端抠一小部分人,但是7亿大肥肉摆在这里了。很简单一个二维码,今天自己可以实现。你去把水电费改一下加一个二维码塞到门缝下,说扫一扫可以马上把水电费交了,我相信你们一天收入很多。
当然我不是交大家犯罪啊,我只能说这个成本很低,但是很多人去扫,钱就过去了。这就是说网民意识没有跟得上发展,这就是一个大跃进。
第二个整个安全基础设施没有跟得上我们进步的,就是说二维码是一个好产品,但是二维码在很多安全体验数据上没有配套的完善。包括在安全提醒,包括在我们POS机上,其实POS机没有很好的一个……这只是一个改进,对接了二维码,但是没有对应安全措施做在里面,所以引发了很多这种问题。
第三个也是关于移动支付相关的,移动支付解决了这些黑产的套现取现最后一公里的问题,怎么说呢?比如说电话诈骗,现在公检法,骗到以后,会让这些人去银行转帐,你就拿着卡,先把卡找到,密码想起来,走到银行去到ATM,或者柜台转给这个人。
这中间其实是很长的一公里,可能花掉半个小时和一个小时,在这半个小时一个小时之间,用户可能突然想“不对啊”很多诈骗前面骗得很好好,但是最后80%可能会醒悟的,但是现在不一样,移动支付便利,一下子三秒钱,密码一输钱过去了。
钱过去以后才想,这个人我不认识,这么一大笔钱没有发票,我怎么找他,如果不给我发货怎么办?但是这一下已经晚了,移动支付虽然便利,确实带来一个问题,帮助黑产解决了最后一公里的套现和循环的问题。
这里我讲的是带来一个风险,那回到我们微信本身,我们做了大量的工作。并不是说这里不安全,在我们技术条件下应该都是安全的。所以我们一直在行动,在努力,在做很多事情。从两方面。
第一微信生态,除了微信自身内循环,也包括微信连接的各个业务。第三方,机构,这两块我们都需要做。对于我们自身内部三方面,产品体验,这腾讯是以产品为王的,我们产品讲的是安全体验。在我们安全团队有一个叫做安全无处不在,而你却感受不到他。
我们希望把安全体验融在每一个产品步骤当中,用户更加早接触到的时候,才能够提高自身免疫力,安全的免疫力。所以我们做很多工作,也许我们做得不够好,但是我们朝着这个方向努力。
技术方面,腾讯有十几年的技术能力。每天达到几百T,有时候甚至上千T数据。特别是到今天一个转变,我们技术已经走上深度学习,积极挖掘,我们也在这种进一步转变。
我们每天流水,您每一次操作,加好友,用户发朋友圈,每一次跟别人去支付,每一次操作行为都有着背后大数据和技术团队的支撑。
我们大家可能看不到,背后可能几万次运作,计算机CPU也在运转,当你鉴别这一次操作是否安全,是否对方是可疑的诈骗,这样存在一个恶意的行为。
这一块我们能保证足够感知,事中拦截,事后做到很好的追溯。
另外在刑事方面,我们从来都是零容忍,在刑事打击方面从来都是零容忍。骗子只要侵犯用户资金,财产,安全,我们会配合公安机关重拳出击进行严厉打击,这是去年数据,抓了1000多人,损失1800万。
“十年树木,百年树人” 网民意识还是一个问题,长久还是需要这方面加强,我们线上线下做很多教育,包括推送文章。
走到高校和社区组织很多这样的活动,发现非常不错。现在用户在接受,对我们这些影响到,相信大家微信群和朋友圈发这种养生消息,应该会少很多吧,这个是各种谣言会少很多。这也是得到了一些比较好的效果。
智慧安全连能赋能这是今天主题,产品技术形式和教育,都是我们腾讯内部内循环的事情,但是这是不足够的。
我们为什么有大量手机号?恶意的手机每天有几十万从哪里来?我们其实并不知道,可能是电信运营商那边的怎么管理,我们也不是很清楚的。我们很多合作伙伴,京东,滴滴,美团一起合作。
有很多帐户操作的时候,那边诈骗,刷单,或者做其他事情的时候我们并不清楚,我们可能只做了身份认证连接,对于他们来说不知道这个帐户信息。
对我们来讲不知道在那些平台上做了什么事情,这里是割裂的。所以这也是最近最近反思,未来去做的一些更加开放的一些态度。就是把微信安全进行连接赋能,我们要把微信能力覆盖到每一个业务,每一个机构,每一个第三方去。
让他们享受到,第一我们给他们提供帮助,第二希望回到我们这边整体,我们把整个生态变得更加健康、绿色。
微信是一个“生活”方式,我们这边说微信是一个“安全”方式,谢谢各位!