前段時間,朋友圈里流傳一個故事:掃完二維碼,自己賬戶里的幾萬元就被劃走了。原來,二維碼暗藏病毒,木馬植入手機竊取了用戶的賬號密碼,于是錢被轉走了。
雖然這個故事并非發生在微信平臺上,但是,龐然大物的微信平臺,如果萬一發生了此類事件,該怎么辦?如何避免?今天,當互聯網的漏洞越來越多地被暴露出來時,微信支付、微信賬號的安全也日益成為浩大的工程。
建立首個銀行賬號黑名單庫
銀行惡意詐騙賬號庫補足了反信息詐騙鏈條的重要一環,讓反詐騙的最后一環真正落地。
微信是騰訊公司目前最大的用戶平臺,也是中國移動互聯網最大的入口,微信安全的重要性不言而喻。騰訊安全在做這個大課題時,稱得上是頗下工夫。
近日,騰訊安全宣布由浦發銀行、警方、騰訊公司三方共建的“惡意詐騙銀行賬號數據庫”初步建成,它是騰訊安全的“安全云庫”計劃中的第三個數據庫。騰訊公司副總裁羅道鋒告訴《中國電子報》記者,此賬號庫是全國首個銀行惡意詐騙賬號庫,補足了反信息詐騙鏈條的重要一環,讓反詐騙的最后一環真正落地。
羅道鋒解釋,當網民通過PC或手機支付進行轉賬匯款時,騰訊的電腦管家及手機管家軟件會進行實時監測,如果發現用戶轉入賬號屬于惡意詐騙的銀行賬號,安全軟件會在第一時間提醒網民不要轉款,讓詐騙行為在最關鍵的一環中得到控制。
在記者看來,微信的安全核心大致分三個方面:第一是用戶微信賬號密碼;第二是用戶與微信掛鉤的銀行卡及支付密碼;第三是平臺系統的安全。而用戶發生財產損失,不外乎是兩種情況:一種是賬號密碼被盜,財產被動被轉走;另一種是被詐騙,自己主動把錢轉給騙子。對于前一種,安全的核心圍繞如何保護用戶的賬號密碼,對于后一種,安全的核心是如何在轉錢的一剎那阻止用戶,以及如果已經轉賬了,如何把錢追回。“惡意詐騙銀行賬號數據庫”就是對后一種狀況的應對措施。
用結盟形式強化安全能力
為了防止用戶賬號密碼被盜、支付密碼被攔截,騰訊安全使用了多重技術手段,實施“安全云庫”計劃。
其實,為了完成微信支付安全的上述諸多保障任務,騰訊安全展開了大范圍的產業布局。
為了防止用戶賬號密碼被盜、支付密碼被攔截,首先,騰訊安全旗下的騰訊電腦管家和手機管家用了多重技術手段,包括對惡意App和病毒查殺、釣魚網址攔截,特別是騰訊手機管家的“支付保護”功能,可檢測手機WiFi聯網安全、掃描二維碼安全,安全短信可防止手機支付病毒竊取手機支付驗證碼,“賬號寶”可保護用戶QQ、微信賬號安全,同時為微信支付提供單獨密碼,在支付完成后提供極速免賠付保障。
其次,實施“安全云庫”計劃。建立全球最大的風險URL網址數據庫、全國最大的活躍電話號碼庫和全國首個惡意詐騙銀行賬號黑名單數據庫。這些庫的建成,騰訊安全需要借助手機管家的用戶力量,以及與其他企業結成聯盟的形式完成。羅道鋒向《中國電子報》記者透露,電話號碼庫需要手機管家的用戶標記詐騙電話,當手機管家的用戶量越多時,標記出來的詐騙電話和詐騙短信的準確率越高。現在基本是依靠6億多的安裝量和熱心用戶的舉報來維護電話庫。
風險URL網址數據庫則需要很多互聯網伙伴一起來做,因為他們會在各自的領域分別掌握一些網址庫的數據,一起做便能分享更多網址。1年前,騰訊和深圳市公安局發起成立了“反信息詐騙聯盟”,現在這個聯盟成員擴大到上百個,包括為數不少的互聯網企業,如搜狗、京東、拍拍網、唯品會、搜狐搜易貸等。同時還包括安全企業,例如知道創宇、烏云平臺、獵豹移動等,另外,還包括國有四大銀行、招商銀行、CFCA等金融機構。這個聯盟可以幫助騰訊安全做到的事情之一就是共享一些數據、網址。
同時,騰訊還加入了安全聯盟。知道創宇信息成都分公司總經理、安全聯盟負責人代柏陽透露,安全聯盟的共享數據中心有多方成員,例如騰訊、百度、金山、知道創宇等。這些公司,他們都有非常獨到的安全能力,也有非常強大的安全團隊。安全聯盟成員將防黑客技術、釣魚網址識別技術、欺詐信息識別技術、QQ入侵篡改網站的技術共享起來,能更快、更好地防止用戶賬號密碼被盜,或是被騙走資金。
大數據分析成為殺手锏
得益于騰訊社交軟件的龐大用戶數量,騰訊能夠識別出可疑賬號。
事實上,不僅僅是風險URL網址數據庫,“反信息詐騙聯盟”還可以幫助騰訊安全實現多重目標。首個惡意詐騙銀行賬號庫即是與浦發銀行、警方合作的,他們都是聯盟成員之一。
聯盟成員的另一大塊組成是商用WiFi廠商,他們的作用在于和手機管家聯合為用戶提供安全WiFi。網上有個段子說,黑客通過配置一款無線路由器并設置一個公共的免密碼釣魚WiFi,當有用戶登錄至該WiFi后,利用手機安全漏洞,黑客即可獲得手機的完全控制權。當用戶輸入賬號密碼時,這些賬戶認證信息就會被黑客獲取,其中就包括用戶的支付短信驗證碼,從而轉賬和盜刷。這種公眾場合的WiFi漏洞防不勝防,因為用戶無法判斷WiFi的合法性。因此,騰訊安全所做的,一方面是加強手機管家的查殺能力,另一方面是與商用WiFi廠商結成聯盟,防止用戶微信賬號密碼和支付密碼被盜。
聯盟成員還有一塊不可忽視的力量就是警方。企業的力量僅僅止于預警、攔截、防護,對網絡犯罪的懲治還是需要依靠政府的法制力量。警方自身也有責任和義務打擊網絡犯罪。騰訊安全一方面用自己的技術力量幫助警方,和警方建立很好的合作關系,另一方面也借助警方的力量,維護微信支付、QQ等等騰訊產品的安全。
在防止用戶賬號密碼泄露或被盜取上,騰訊安全費了大量的力氣,從技術上、從合作機制上兩條腿走路。但是即使做好這些事情,也并不能百分之百保障用戶賬號密碼安全。
當然,這世上也沒有百分之百保障密碼賬戶安全的辦法,所以騰訊還有殺手锏——對用戶資料和社交信息的大數據分析,可以判斷出網絡犯罪分子的賬號和異常,從而阻止受騙用戶轉賬。騰訊財付通副總經理張平透露,通過微信和QQ的社交大數據聯動分析,騰訊曾在福建某縣識別出600多個詐騙賬號,一次性封停。這主要是得益于騰訊社交軟件的大量用戶數,騰訊能夠識別出可疑賬號。
京公網安備 11010502049343號