|
移动支付市场增长迅速,更加便利但也有风险 1. 移动支付市场增长迅速
此外,发红包、转账等社交支付行为也带动了转账支付交易规模的提升。与2014年同期相比,用户支付习惯从PC端向移动端迁移的趋势已经十分明显。 除了第三方支付,传统支付机构中也有多家银行推出移动支付。银联全面布局小额免密免签服务,力拼小额支付市场。多家银行也陆续推出移动金融产品,把手机和银行卡合二为一。 目前,比较流行的几种移动支付方式包括二维码扫码支付、NFC移动支付(例如交通卡支付)和指纹支付。除此之外,光子支付、声波支付、刷脸支付、硬件支付等新的移动支付方式不断涌现。 2. 移动支付主流平台更加安全,行业安全能力参差不齐 相较于传统的支付方式,移动支付使得支付方式的信息流动更为通畅,支付行为也更加便利快捷。但便利与安全并不是一对必然的矛盾。以腾讯的移动支付平台为例,2015年财付通和微信支付的欺诈损失率是百万分之一,也就是一百万次交易中可能只有一次会遭到欺诈损失,相当于彩票中奖的小概率事件。而根据2015年中国银行业协会(中银协)发布的《中国信用卡产业发展蓝皮书》显示,国内信用卡的欺诈损失率是十万分之一。 可见,目前我国主流的移动支付平台的安全性还是相对较高的。
1.移动支付行业面临三大风险 有人的地方就有江湖,有钱的地方就有诈骗。随着移动支付市场的不断扩大,一些不法分子逐渐将黑手伸向这些用户。其作案手段专业化、团伙化,通过网络的联系,甚至一些素未谋面的犯罪分子开始分工协作,逐渐形成了黑色产业链。对于移动支付的用户来说,主要有下面三方面的风险: A.不法分子窃取用户隐私信息,进行精准诈骗和恶意营销 近年来,国内关于用户隐私信息被窃取的事件频频发生。2014年年底,铁道部官方网站(12306.cn)13万用户信息泄露,包括身份证、登录口令等,据调查分析应是撞库所致;2015年2月,优步(Uber)披露,5万名优步司机的个人信息被不知名的第三方人士获取,包括社保码、司机相片、车辆登记号等信息;4月,遍布19个省份的社保系统相关信息泄露达5279.4万条,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息;12月,据媒体消息,申通快递被黑客入侵系统,3万多条包含客户信息的快递单遭到泄漏。 网络黑色产业链已经呈现低成本、高技术、高回报的爆发性增长态势,越来越多的网络黑产分子通过拖库、撞库盗取用户个人信息,给网民造成了金融资产和个人信息安全等多方面的危害。 在这些泄漏的信息中,最容易被网络黑产集团利用牟利的就是个人姓名、手机号码、身份证号码和银行卡号这直接关系账户安全的四要素。这些信息大多会被出售给黑市中的诈骗团伙和营销团伙,用来进行诈骗和恶意营销。比如近年来时常发生的网购退款诈骗、网购机票退款诈骗等。 黑客通过入侵有价值的网络站点,盗走用户数据库,这个过程在地下产业术语里被称为“拖库”; 在取得大量的用户数据之后,黑客会通过一系列的技术手段清洗数据,并在黑市上将有价值的用户数据变现交易,通常被称作“洗库”; 最后黑客将得到的数据在其它网站上进行尝试登陆,叫做“撞库”。 因为很多用户喜欢使用统一的用户名密码,“撞库”也可以使黑客获得用户在多个平台的账号密码。 最后,黑产人员还会把多个不同类型的数据库整合成“社工库”。随着社工库的日益完善,大量网络用户的隐私信息、上网行为、以及与个人金融财产安全相关的数据被重新整合,多维度的海量信息让有强针对性的精准式诈骗场景频现。 B.木马病毒控制手机,钓鱼网站盗取用户信息 手机木马病毒是移动支付环境中最大的毒瘤,而绝大多数的手机病毒都是针对安卓系统进行攻击。由于安卓是一个以Linux 为基础的开源移动设备操作系统,开放性较高,让网络黑产人员有了可乘之机。 根据腾讯移动安全实验室的最新报告数据显示,2015年手机病毒包新增1670.4万,是2014年的10倍多。而其中新增的支付类病毒超过32.6万,全年被支付类病毒感染的用户高达2505万,平均每天就有81000人遭受支付类病毒的侵害。
另外,钓鱼网站也是网络黑产窃取用户信息的一个惯用手段。所谓钓鱼网站即域名和页面都和正常网站非常相似的假网站,通常会模仿银行或者电信运营商的官方网站,诱导用户在钓鱼网站上输入个人信息。 C.用户安全意识偏低,给不法分子可趁之机 由于移动支付方兴未艾,用户群体还未形成成熟、谨慎的支付习惯,安全意识不高。 根据腾讯各大安全平台数据显示,2015年移动支付安全领域,受骗群体以男性为主,在所有受骗人中男性占71%,而女性只占29%。年龄则集中在19-35岁 的青年群体。而资金受损最严重的五大省份分别是广东、山东、福建、河北、湖北,资金受损最严重的五大城市分别是北京、重庆、广州、深圳和上海。 2015年10月,国家网络安全宣传周在启动仪式上发布了《我国公众网络安全意识调查报告(2015)》。在25万多的调查者当中,定期更换密码的被调查者仅占18.36%,更有17.05%的被调查者从来不更换密码。同时,我国多账号使用同一密码的问题也非常突出,我国超七成被调查者存在多账号使用同一密码的问题,特别是青少年多账号使用同一密码的比例高达82.39%。这样的密码设置习惯使黑产分子拖库、撞库的成功率更高。 同时该调查报告显示,青少年利用搜索引擎搜索下载手机软件的比例达41.94%。这些下载渠道往往审核机制不完善、安全检测能力差等,是恶意程序发布和扩散的重要原因。 2.用户需重点关注的三大侵害场景 上文中提到了移动支付行业面临了三大风险,那么,不法分子具体又是如何来侵害用户的呢? 场景一:伪装成孩子成绩单、聚会相册、小三短信,携带手机木马链接 (假冒成绩单)
(小三短信) 手机木马短信已经成为不法分子经常使用的诈骗方式。犯罪分子通过伪基站伪装成学校老师,同学,甚至小三向周围的手机用户发送木马短信,只要一点击短信链接,各种网银账号密码、短信验证码就很大可能被木马盗取,转发到犯罪分子手中,后果不堪设想。 今年上半年,许多手机用户收到了通讯录好友以照片分享为名的短信。短信直呼其名,迷惑性极高。只要点击短信中的链接,就会自动安装相册木马病毒,进而自动向手机通讯录中的联系人群发该钓鱼短信。同时还会拦截用户银行短信验证码并转发至指定号码,盗刷其银行卡。雷霆行动及腾讯手机管家团队协助广州警方抓获该犯罪团伙,发现该相册病毒控制了上万部手机,窃取了400多万条短信。
场景二:假冒银行、电信或者第三方支付机构网页,诱导用户透露账号及个人信息
(假冒运营商和银行客服的钓鱼短信)
(伪装成银行网站的钓鱼网站) 在上面的图片中,诈骗团伙就是利用伪基站,假冒银行、电信的钓鱼短信,点击链接之后会出现一个和官方网站及其相似的页面,但会诱导你填入个人银行账号信息,实现盗取个人信息从而盗刷网银。 今年6月3日,雷霆行动及腾讯手机管家团队协助广州警方成功破获了冒充“10086”进行短信诈骗的特大电信网络诈骗案。经初步统计,该团伙共发送木马短信150万余条,截获事主手机信息逾1.5万条,盗刷金额近50万元。
(广州警方抓获犯罪嫌疑人)
(犯罪嫌疑人的短信群发器) 12月,深圳警方公布侦破一起特大网络电信诈骗案,涉及的团伙多达数十个。他们在一个多月内假冒银行客服进行了50多宗电信诈骗,受害人被骗的金额从几千块到几十万不等,受骗的人数还在不断上升。 场景三:通过免费WiFi和二维码进行侵害 随着移动互联网和智能终端的迅猛发展,WiFi覆盖率进一步深入各大城市,用户对于WiFi的使用率进一步提升。与此同时,WiFi的风险形势不容忽视。 根据腾讯移动安全实验室数据显示,腾讯手机管家用户每天有超过2亿次WiFi连接,其中每天约有60万次连接了风险WiFi。
此类风险主要是由于手机用户在使用免费WiFi过程中发生的信息泄露而造成的。黑客通过搭建与公共WiFi相近名字的伪冒WiFi局域网,由于伪冒WiFi的名称具有欺骗性,且不用登录密码,能诱使智能手机用户连接该WiFi局域网。用户在使用网络过程中的传输数据可被黑客监视,黑客可以从数据包里盗取各类用户登录信息,例如网银和支付账号、密码等,从而盗取用户资金。 在《我国公众网络安全意识调查报告(2015)》中,有80.21%的被调查者会随意连接公共WiFi。另外,7-19岁的青少年中,“经常扫二维码,不考虑是否安全”的比例也高达40.3%。 扫描二维码相当于点击链接,恶意二维码也正在成为黑产分子的一个新手段。扫描了恶意的二维码,手机也很大可能被植入木马病毒,或者打开一个仿冒的钓鱼网站。 今年3月,李先生在某电商网站购物时,看中一家网店的液晶电视,价格要比市面上的便宜近千元。李先生通过手机扫描了店主发来的二维码后,进入一个支付界面,输入银行账号和密码后点击支付,但发现支付失败。店主告诉他可能是系统出现故障,让他重新扫描。李先生先后扫描了七次,全都以失败告终。后来发现自己银行卡被扣17000余元。 3. 揭秘移动支付黑产协作链条,人员分布 在移动支付安全领域,目前已经逐渐形成了一条分工明确、作案手法专业的黑色产业链。犯罪团伙的组织架构与运作流程大致如下: 移动支付的黑产链条上主要有4个角色:木马制作者、包马人、接单人和洗钱人。木马制作者负责手机木马病毒包的开发、病毒服务搭建和下载URL的提供;包马人从木马制作者处购买或租用木马病毒,然后交由接单人通过钓鱼短信、钓鱼网站、恶意二维码等方式向用户进行传播。接单人把窃取到的用户隐私信息卖给包马人,包马人再将这些信息提供给洗钱人,洗钱人再利用这些信息盗刷用户的银行卡、销赃、变现。整条黑色产业链分工精细,并在每个环节瓜分利益。
根据腾讯雷霆行动的网络黑产大数据分析,移动支付黑产犯罪团伙具有很强的区域聚集性,整个行业的人员分布情况大致如下: 手机木马制作者约1.6万人,主要分布在上海、山西等地,从事洗钱套现的犯罪分子有2万人,主要分布在广西、广东、河南、山东等地。
除此以外,大量黑产从业人员分布在二三线城市,主要为年龄介于15-25 岁之间的无业年轻人,他们在移动互联网领域里能够很敏锐地察觉到敛财的机会,主要瞄准网上购物、网络银行、网络游戏和聊天等用户群体。 1. 组建对抗黑产的生态化联动力量 黑产团伙利用互联网技术跨平台进行信息窃取、诈骗、洗钱销赃,致使多个互联网平台及电商蒙受信誉及实际经济损失。网络黑产实际上是整个移动支付行业面临的共同挑战,打击黑产也需要强大的生态化联动力量。面对日益猖獗的手机木马,腾讯雷霆行动携手京东、微店、滴滴出行、58同城、大众点评等行业伙伴,启动“战马计划”。“战马计划”将发挥各家公司的优势,在黑产数据上互通有无,联合对移动支付黑产势力进行全面封堵,保障用户支付安全,逐渐建立起跨平台、跨行业的安全生态链。 截至2015年底,雷霆行动配合深圳、广州、北京、江苏、广西等多地警方侦破各类网络犯罪案件632起,抓获犯罪团伙嫌疑人1023人,涉案金额6850万元人民币,奖励举报人290万元。
刑事打击案件: 2015年5月底,浙江金华骆某发现有人盗用他的银行卡在口袋购物(微店)上进行购物,卡内余额10000元被消费一光。雷霆行动与口袋购物随即配合警方进行调查。7月20日,北京警方分别前往天津和海南,陆续抓获犯罪嫌疑人张某、云某并刑事拘留。张某在网上购买到手机支付木马后,以短信群发的方式传播,来窃取被中木马用户的个人信息,并将拦截所得验证码交给云某,由云某在微店App上以购买游戏点券的方式套现。
(犯罪嫌疑人被捕) 今年5月底,京东也接到大量盗刷投诉。辽宁的庄某发现其银行卡在其不知情的情况下在京东消费7000元。 腾讯雷霆行动与京东配合辽宁警方进行分析和调查。7月29日,警方抓获犯罪嫌疑人刘某、苏某等4人并刑事拘留。经审讯查明,刘某购买手机木马并以短信群发的方式传播,窃取被中木马用户的个人信息,并将拦截所得验证码交苏某在京东上通过便捷支付以大量购买游戏点券的方式盗刷银行卡,购得点券贱卖给张某、胡某变现获利,该团伙通过相同手法,在京东商城作案30多起。
(犯罪嫌疑人被捕后接收审讯) 除此之外,雷霆行动还坚决打击利用微信、QQ红包开设赌局的非法行为。今年8月初,腾讯发现微信平台上有人利用红包进行非法赌博行为,立即联动警方进行案件调查。江苏警方经过一个多月的多方面工作和努力,截止到9月7日,共抓获主要嫌疑人6名,采取强制措施4名,涉案金额一千余万元,案件告破。2015年,腾讯配合警方攻破11起基于红包的赌博案件,涉及五省九市,共抓捕107人。
(盐城警方现场抓捕犯罪嫌疑人)
(现场搜到的作案工具,本子是记账用的,包内有数台手机) 2. 生物识别技术和大数据的应用,保障用户支付安全 A. 生物识别技术的应用 所谓生物识别技术应用,即通过指纹、虹膜、面部、声纹等本人独有的特征,来进行移动支付过程中的身份验证。 人脸识别是近年来非常活跃的研究领域。在移动支付场景下,人脸识别技术由于成本较低且便利性较高,得到了越来越广泛的应用。 微信支付目前也向一部分用户开启了人脸识别验证身份的功能。当微信支付的用户账户出现异常行为并被限制交易时,用户可以通过录制人脸识别视频解除限制。用户录制的视频上传后,将与公安部身份备案中的图像进行对比。审核成功后将可恢复账户正常使用,身份验证更加方便快捷,也能有效地防止网络诈骗分子盗用他人微信支付账户。
B.大数据的风控,拦截异常交易 随着黑色产业链的发展,欺诈分子在移动支付、手机银行上的欺诈和盗刷手法越来越隐蔽,越来越像“真实用户”,简单的方法和风控模型已经难以从海量交易中识别出欺诈交易,因此需要综合一切有效的数据,全面研究欺诈行为并研发相应的模型和策略,以及时、精准的识别欺诈帐户和交易。 下面这张图展示了腾讯移动支付的风控系统在识别、处理交易以及控制金融业务风险方面用到的系统和大数据方法。主要特点是充分利用了腾讯生态圈内庞大的大数据信息,能准确判断每笔交易的风险等级,从而作出相应的决策,保障每个用户的合法权益。
用户在微信支付、QQ钱包、财付通等腾讯移动支付平台发起交易时,交易细节就会传递到风控服务器上。通过大数据的分析,将及时快速识别该交易行为是否存在风险,并对风险交易实施拦截。例如,一旦发现本次交易的设备和地点与该用户往常的数据不一致,风控系统就会立即做出响应,及时拦截异常交易。 出于减少对用户正常使用的打扰、精确打击的初衷,强大的风控系统在大多数工作的时候是“润物细无声”的,但其实在用户交易的全过程风控是无处不在的。以微信支付为例,当微信账号登录时,系统将判断设备的可信性;在用户绑卡之后,系统将要求其设置支付密码保护;同时,用户还可以自行开通手势密码保护刷卡业务。微信后台服务器本身有7*24小时的安全扫描和保护机制,确保黑客无法攻击。当发生红包或转账这类用户与好友间的支付行为,微信也将对交易两方账号的安全程度进行判定,根据风险不同给与提醒、禁止交易等措施。 除了前期的风险评估、识别,和案件发生时与警方的技术联动,腾讯移动支付平台还有事后完善的赔付机制。 腾讯与中国人民财产保险股份有限公司(PICC)合作,推出全额赔付保障。用户如因使用腾讯移动支付造成资金被盗损失,将可获得100%全额赔付。全额赔付范围囊括了微信支付、QQ钱包支付、快捷支付和余额支付。如发现账户被盗,可通过拨打腾讯安全支付热线0755-86010333申请账户冻结和赔付。
3. 个人防范 面对移动支付领域的黑产分子,用户应该提高警惕,养成良好的支付安全习惯。虽然移动支付领域存在着一些安全风险,但只要稍加注意,都是可以很好地规避风险的。 首先,手机用户应养成使用安全软件来保护手机安全的良好习惯。可下载安装如腾讯手机管家一类的手机安全软件定期给手机进行体检和病毒查杀。 其次,对网络环境保持警惕,不要随意操作。冒充银行、运营商或亲戚朋友的钓鱼短信肆虐,用户一定不能随意点击任何不明链接,不连接安全性未知的公共WiFi,不扫描陌生二维码,尽量字官方渠道下载手机软件。 假如发现账户异常,应立刻报警并拨打腾讯安全支付热线0755-86010333。此外,用户可通过微信支付、QQ钱包中相关功能自助完成账户冻结。 要提高支付账号密码的安全性。不要用身份证号码、手机号作为密码,尽量用比较难以破译的密码组合,例如大小写混合等。不要多个账户使用相同密码,并定期更换密码。可以采用固定数字加动态数字的方式设置密码,定期更换动态部分的数字,以保障密码安全。 1.鼓励生物识别技术的发展和应用 智能手机的发展使便捷的生物识别技术和体验成为了现实,可以帮助各支付机构进行远程核身,而且生物识别被突破的门槛较高,能较好减少欺诈案例的发生,对反欺诈和盗号都是较好的解决方案。因此建议监管机构鼓励支付公司及相关金融机构进行生物识别技术的研发和试用,特别是人脸识别技术,使该技术的检测能力和体验都尽快达到支付和金融应用的要求。 优图团队是腾讯旗下专门研究机器学习、智能识别的团队。目前在人脸检测、五官定位、人脸识别,图片识别等领域都积累了完整的解决方案和领先的技术水平,并且已将技术成功落地到财付通、微众银行等腾讯平台。优图人脸识别和图片识别的核心能力已对外开放(http://open.youtu.qq.com),并且免费供开发者使用。
(腾讯优图团队合影) 2.建议Google增强Android短信读取权限的安全控制 短信作为移动支付的核心验证要素,由于Android系统的安全性不够,导致被病毒能够转移,产生批量的账号和银行卡盗刷案例。如果能推动Google加强短信读取权限的控制,相信能大幅减少病毒转移短信带来的风险。
3.建议Android移动设备预装安全防护APP 欺诈短信、支付类病毒、钓鱼网站是移动支付面对的主要安全问题,目前以腾讯手机管家、金山手机卫士为代表的安全APP都能对上述安全威胁进行部分的拦截和预警,减少受害用户损失。
4.呼吁运营商全面落实实名制 在移动支付黑产活动中,可以说大量的虚假手机号——通常称为“黑卡”是诈骗分子主要的作案工具:一是利用黑卡传播欺诈短信、木马短信,这是移动支付欺诈活动的源头;二是利用黑卡与受骗者电话或短信沟通,不断诱骗受骗者入局;三是利用黑卡改绑他人的银行卡进行转账、洗钱、提现,隐藏自己的真实身份,使得我们难以定位到资金接收方的真实身份。因此我们呼吁运营商全面、尽快落实手机号实名制,杜绝黑卡的出现,这样可以极大的提高诈骗分子的作案成本,也使其难以隐藏自己真实身份,大大减少支付类案件的发生。 |
|
|
