“明天你到领导办公室来一下”“你购买的商品缺货需要退款”“您的工商银行积分即将过期”……不少人都遇到过类似的诈骗信息。你是否注意到,一些诈骗电话在你接听之前已被标记出来,部分诈骗短信则被直接拦截?“魔高一尺,道高一丈”,由腾讯安全牵头的全国首个反信息诈骗联盟“天下无贼反信息诈骗联盟”最近宣布,2015年该联盟直接劝阻2.2万余人被骗汇款,涉及金额1.8亿余元,帮助2.14万名事主快速拦阻被骗资金3.54亿余元,避免和挽回群众的损失5.34亿元。
每年春节前后都是网络诈骗高发期,日前,记者走进腾讯安全,听专家们讲述网络诈骗形势的变化,以及在小小的手机屏幕背后,互联网安全厂商与犯罪分子展开的一场“看不见的硝烟”战争。
“精准大额”成为新趋势
腾讯安全云高级总监邵付东在腾讯安全团队工作已有6年。“安全公司在PC时代主要是修漏洞,防止恶意插件和灰色插件,再后来就是防治游戏盗号木马、验证用户下载的各种程序,"杀"掉其中的木马,逐渐发展出诸如云引擎这样的特有的安全技术,犯罪分子用简单粗暴的方式来骗钱的路子基本堵死了,他们只有另寻新的路径。”
这个新的路径就是移动互联网。邵付东对2014年夏天爆发的一场被称为“XX神器”的手机蠕虫病毒记忆犹新。“这款手机蠕虫病毒其实是给用户通讯录中的每个电话号码发送一条短信,"(手机联系人姓名)看这个+****/XXshenqi.apk",在PC时代,一天能有几百万人下载一个木马已经不得了了,但这个蠕虫的蔓延完全是指数级的。这充分体现出移动互联网网络诈骗的新变化,利用掌握的用户个人信息来获取信任。”
安全对抗由此从“广撒网”变成了“点对点”的精准对抗。“和互联网安全厂商一样,诈骗团伙也开始掌握用户的"大数据",并由此形成一条黑色产业链。有人专门盗取数据,比如拖库攻击,有人专门清洗数据,还有编剧根据社会工程学来写一个剧本,然后再有人按照剧本实施。”邵付东告诉记者,“这样精细化的分工,一是让链条更长,更难打击,二是对用户的诈骗趋向于情景化,比如你在网上刚买了东西,骗子马上冒充店主打来电话,告诉你这款商品现在缺货,随即给你一个链接让你点击退款,你一点击就会中了木马。精准诈骗让网络诈骗从针对群体的微利模式走向针对个体的暴利模式”。的确,据媒体公开报道的深圳地区涉及案件中,单一案件损失金额最高已达1600万元,而动辄损失百万元以上的案件更是屡见不鲜。
腾讯安全云部副总经理李旭阳告诉记者,移动互联网兴起带来的诈骗手段的变化,也让受害者的身份出现了变化。“过去人们常常说"智商低才被骗",但现在,"高知人群"成了大额诈骗的重灾区,腾讯通过数据分析发现,40岁以上中老年人最容易上当受骗,占受骗总人数的62%,他们的文化程度相对较高,往往受了骗还不愿声张。”
环环相扣合力打击“蔓延速度快,防范难度高,金额损失大。这些新的形势变化,让安全对抗方式也必须随之升级,其中特别重要的就是,团结各方、抛除成见、开放能力,用协同方式共同对用户进行保护。”邵付东表示。
天下无贼反信息诈骗联盟由此应运而生。腾讯副总裁丁珂介绍,这个成立于2013年底的网络安全联盟首创“警企民”协作体系。“通过建立信息诈骗数据库并开放共享,建立警方、银行、运营商和腾讯等网络公司的快速协同机制,针对信息诈骗形成事前教育、事中受理、事后打击的闭环。”拿查询和举报渠道来说,网民们可以通过天下无贼微信公号、首都网警微信公号、天下无贼官网、腾讯手机管家来查询和举报信息诈骗。
“这其实相当于在网民可能遭遇损失的各个节点竖起一道道高墙。”深圳市公安局网络安全检查分局副局长薛克勋告诉记者,去年天下无贼反诈骗联盟曾经协助广州警方破获10086短信特大电信诈骗案,成功抓捕了整个诈骗黑色产业链上27名嫌疑人,并缴获大批嫌疑人用于作案涉案物资。在另一大案中,联盟协助深圳警方瞬时开启资金诈骗止付机制,接到报案后仅用不到15分钟便拦下某公司被骗赃款共计1456万元。
在腾讯副总裁马斌看来,联盟未来还要继续扩容,形成2.0版的反诈骗防御体系,即在线下警企民反诈骗闭环的基础上,反诈骗阵营向线上扩容,建立线上反诈骗预警、诈骗资金拦阻及诈骗黑名单机制,在用户消费及转账等场景进行布防;建立用户信息保护和监督机制,并对造成用户消费信息泄露等服务机构进行公示和督促整改。
目前,腾讯正探讨在内容上拓宽与相关机构合作的范围。邵付东刚刚“搞定”了和招商银行打击伪基站的合作。“简单说,诈骗分子刚刚背着背包发出一条伪基站的短信,我们马上就从用户那里能够收集到短信中附带的恶意网址,在几十秒时间里完成检测,然后实时把这个数据提供给招行,招行一边进行防范,一边通过公安来协助关停,同时通知其他安全软件进行拦截。而在用户端,对发生的这一切几乎是无感知的,用户只会发现收到一条短信,但附加网址却打不开。”
从“大数据”到“深数据”
仅有联盟是远远不够的。在邵付东看来,联盟是扩大安全打击的火力范围,而大数据的技术创新才是为精准打击提供的“核武器”。“我们投入了500多台服务器,包括微信、QQ、浏览器、搜索引擎,所有这些产品线上收到的网址,都要先来这里和恶意网址比对一次,每天有300亿次的请求进来,对恶意网址进行7000万到8000万次的拦截。通过长期积累,我们已掌握大量数据。”
利用大数据分析,邵付东的安全团队几乎对“骗子”了如指掌:“我们不但能够定位这些人,还能分析他的传播行为和宿主行为,描述他们演化的特点。比如我们现在已经掌握知道:有人在海南儋州做盗号木马,有人在广东电白专门打仿冒谁谁谁的电话,有人在福建安溪仿冒公检法,有人在广西宾阳以QQ社工为主骗海外留学生,甚至连这些团伙的话术文本模式和特点我们都已掌握。”
李旭阳向记者透露,目前基于8亿用户举报及联盟成员单位的数据共享,其中包括诈骗电话、银行账号、木马病毒、钓鱼网址等典型诈骗数据样本,腾讯技术团队以这些大数据作为基础,开发出一个能够自主完成“学习、分析、发送预警信令”的“反诈骗大数据引擎”,通过这个引擎,2015年将深圳地区公检法类诈骗降低了70%,铲掉“10086积分兑换诈骗”“相册木马”等数个信息诈骗团伙。“对于诈骗电话号码,我们不但接受用户举报,也利用机器学习,比如我们判断出主叫和被叫的位置,通话的时间和时长,甚至它和之前标记的骚扰电话是不是一个号段等等,再给它一个标签,当用户再接到这个电话时,就会被事先提醒,防患于未然。”
邵付东介绍,未来网络安全技术演进的方向,是从“大数据”到“深数据”。“如果你是学生,又有一段时间居住在海外,对安全软件来说,就可以调高对你遭遇留学生在线视频诈骗的警惕程度。比如关注有没有新人加你,新人和你聊天多不多,有没有共同好友,甚至和你聊天的这个人有没有异常行为,有没有搞过可疑支付等等。这些就是数据联动。其实就意味着,我们能够判断出用户可能遭遇的诈骗场景,并且为他们提供场景安全。对诈骗分子也是一样,我们甚至可以预先找到这个人,并且判断出他大概会做什么。”
“打击信息诈骗统一战线不存在旁观者。”丁珂说。而邵付东的说法更加直白:“搞网络安全就是要有个傻劲儿,和诈骗分子的对抗是一场基于技术的持久战。”