前段时间,朋友圈里流传一个故事:扫完二维码,自己账户里的几万元就被划走了。原来,二维码暗藏病毒,木马植入手机窃取了用户的账号密码,于是钱被转走了。
虽然这个故事并非发生在微信平台上,但是,庞然大物的微信平台,如果万一发生了此类事件,该怎么办?如何避免?今天,当互联网的漏洞越来越多地被暴露出来时,微信支付、微信账号的安全也日益成为浩大的工程。
建立首个银行账号黑名单库
银行恶意诈骗账号库补足了反信息诈骗链条的重要一环,让反诈骗的最后一环真正落地。
微信是腾讯公司目前最大的用户平台,也是中国移动互联网最大的入口,微信安全的重要性不言而喻。腾讯安全在做这个大课题时,称得上是颇下工夫。
近日,腾讯安全宣布由浦发银行、警方、腾讯公司三方共建的“恶意诈骗银行账号数据库”初步建成,它是腾讯安全的“安全云库”计划中的第三个数据库。腾讯公司副总裁罗道锋告诉《中国电子报》记者,此账号库是全国首个银行恶意诈骗账号库,补足了反信息诈骗链条的重要一环,让反诈骗的最后一环真正落地。
罗道锋解释,当网民通过PC或手机支付进行转账汇款时,腾讯的电脑管家及手机管家软件会进行实时监测,如果发现用户转入账号属于恶意诈骗的银行账号,安全软件会在第一时间提醒网民不要转款,让诈骗行为在最关键的一环中得到控制。
在记者看来,微信的安全核心大致分三个方面:第一是用户微信账号密码;第二是用户与微信挂钩的银行卡及支付密码;第三是平台系统的安全。而用户发生财产损失,不外乎是两种情况:一种是账号密码被盗,财产被动被转走;另一种是被诈骗,自己主动把钱转给骗子。对于前一种,安全的核心围绕如何保护用户的账号密码,对于后一种,安全的核心是如何在转钱的一刹那阻止用户,以及如果已经转账了,如何把钱追回。“恶意诈骗银行账号数据库”就是对后一种状况的应对措施。
用结盟形式强化安全能力
为了防止用户账号密码被盗、支付密码被拦截,腾讯安全使用了多重技术手段,实施“安全云库”计划。
其实,为了完成微信支付安全的上述诸多保障任务,腾讯安全展开了大范围的产业布局。
为了防止用户账号密码被盗、支付密码被拦截,首先,腾讯安全旗下的腾讯电脑管家和手机管家用了多重技术手段,包括对恶意App和病毒查杀、钓鱼网址拦截,特别是腾讯手机管家的“支付保护”功能,可检测手机WiFi联网安全、扫描二维码安全,安全短信可防止手机支付病毒窃取手机支付验证码,“账号宝”可保护用户QQ、微信账号安全,同时为微信支付提供单独密码,在支付完成后提供极速免赔付保障。
其次,实施“安全云库”计划。建立全球最大的风险URL网址数据库、全国最大的活跃电话号码库和全国首个恶意诈骗银行账号黑名单数据库。这些库的建成,腾讯安全需要借助手机管家的用户力量,以及与其他企业结成联盟的形式完成。罗道锋向《中国电子报》记者透露,电话号码库需要手机管家的用户标记诈骗电话,当手机管家的用户量越多时,标记出来的诈骗电话和诈骗短信的准确率越高。现在基本是依靠6亿多的安装量和热心用户的举报来维护电话库。
风险URL网址数据库则需要很多互联网伙伴一起来做,因为他们会在各自的领域分别掌握一些网址库的数据,一起做便能分享更多网址。1年前,腾讯和深圳市公安局发起成立了“反信息诈骗联盟”,现在这个联盟成员扩大到上百个,包括为数不少的互联网企业,如搜狗、京东、拍拍网、唯品会、搜狐搜易贷等。同时还包括安全企业,例如知道创宇、乌云平台、猎豹移动等,另外,还包括国有四大银行、招商银行、CFCA等金融机构。这个联盟可以帮助腾讯安全做到的事情之一就是共享一些数据、网址。
同时,腾讯还加入了安全联盟。知道创宇信息成都分公司总经理、安全联盟负责人代柏阳透露,安全联盟的共享数据中心有多方成员,例如腾讯、百度、金山、知道创宇等。这些公司,他们都有非常独到的安全能力,也有非常强大的安全团队。安全联盟成员将防黑客技术、钓鱼网址识别技术、欺诈信息识别技术、QQ入侵篡改网站的技术共享起来,能更快、更好地防止用户账号密码被盗,或是被骗走资金。
大数据分析成为杀手锏
得益于腾讯社交软件的庞大用户数量,腾讯能够识别出可疑账号。
事实上,不仅仅是风险URL网址数据库,“反信息诈骗联盟”还可以帮助腾讯安全实现多重目标。首个恶意诈骗银行账号库即是与浦发银行、警方合作的,他们都是联盟成员之一。
联盟成员的另一大块组成是商用WiFi厂商,他们的作用在于和手机管家联合为用户提供安全WiFi。网上有个段子说,黑客通过配置一款无线路由器并设置一个公共的免密码钓鱼WiFi,当有用户登录至该WiFi后,利用手机安全漏洞,黑客即可获得手机的完全控制权。当用户输入账号密码时,这些账户认证信息就会被黑客获取,其中就包括用户的支付短信验证码,从而转账和盗刷。这种公众场合的WiFi漏洞防不胜防,因为用户无法判断WiFi的合法性。因此,腾讯安全所做的,一方面是加强手机管家的查杀能力,另一方面是与商用WiFi厂商结成联盟,防止用户微信账号密码和支付密码被盗。
联盟成员还有一块不可忽视的力量就是警方。企业的力量仅仅止于预警、拦截、防护,对网络犯罪的惩治还是需要依靠政府的法制力量。警方自身也有责任和义务打击网络犯罪。腾讯安全一方面用自己的技术力量帮助警方,和警方建立很好的合作关系,另一方面也借助警方的力量,维护微信支付、QQ等等腾讯产品的安全。
在防止用户账号密码泄露或被盗取上,腾讯安全费了大量的力气,从技术上、从合作机制上两条腿走路。但是即使做好这些事情,也并不能百分之百保障用户账号密码安全。
当然,这世上也没有百分之百保障密码账户安全的办法,所以腾讯还有杀手锏——对用户资料和社交信息的大数据分析,可以判断出网络犯罪分子的账号和异常,从而阻止受骗用户转账。腾讯财付通副总经理张平透露,通过微信和QQ的社交大数据联动分析,腾讯曾在福建某县识别出600多个诈骗账号,一次性封停。这主要是得益于腾讯社交软件的大量用户数,腾讯能够识别出可疑账号。