攻防之间:账号安全立体防护新探索 通付盾首席安全官 通付盾攻防实验室主任 风宁 一站式企业安全服务提供商 Total Security Solution for Enterprise �目录 一站式企业安全服务提供商 Total Security Solution for Enterprise 01 典型案例分析 02 账号安全现状 03 防护技术发展 04 总结 2 �退订短信引发的“血案” 一站式企业安全服务提供商 Total Security Solution for Enterprise 4月初某用户因为一条退订 短信导致三张银行卡数万元 存款三小时内陆续被转走。 涉及方 ü 短信-中国移动 ü APP-支付宝 ü APP-百度钱包 ü 银行卡-工商银行、 招商银行、中国银行 3 �案例还原 一站式企业安全服务提供商 3、收到10086短 信USIM卡验证码 1、收到订阅短信, 回复TD提示指令错误 S2 S1 2、再次收 到订阅短 信,提示 余额不足 Total Security Solution for Enterprise 5、用户手机无 信号,支付宝被 盗用,银行卡被 绑定并盗用 S4 S3 4、收到一 条订阅短信, 提示回复取 消+验证码, 用户按要求 输入 4 S5 �案例分析 一站式企业安全服务提供商 Total Security Solution for Enterprise 预热 准备 • 订阅短信 • 10086短 信 盗用用户的静态密 码在移动网站办理 增值业务,引起用 户注意 诈骗 实施 • USIM验 证码 • 获取验证 码 盗用用户的静态密 码在移动网站补卡, 并盗用其他用户139 邮箱发送钓鱼短信, 骗取验证码后补卡 5 资金 转移 • 第三方支 付账户 • 银行账户 在第三方支付账户 使用手机号码找回 密码,并绑定银行 卡快捷支付,转移 资金 �细思极恐 一站式企业安全服务提供商 Total Security Solution for Enterprise 数据泄露:用户泄露的数据包括身份证、 银行卡、手机号、139网站密码等 官方服务:诈骗分子全程使用官方服 务,手机端安全软件无法拦截 心理预期:订阅金额40元,造成用户余 额不足,暗示用户可能会欠费停机 诈骗分子对心理分析、漏洞利用花样翻新,普通用户防不胜防 6 �目录 一站式企业安全服务提供商 Total Security Solution for Enterprise 01 典型案例分析 02 账号安全现状 03 防护技术发展 04 总结 7 �黑产分工 一站式企业安全服务提供商 Total Security Solution for Enterprise 8 �数据泄漏/数据贩卖 一站式企业安全服务提供商 Total Security Solution for Enterprise 2015.01 机锋网数据2300万+条泄露,包 括用户名、密码、邮箱等 数据泄露 2015.03 IT168数据3000万+条泄露,包 括用户名、密码、邮箱等 2015.05 30余省市社保、户籍查询、疾 控等系统存在高危漏洞,仅社保类安全 漏洞涉及数据5279.4万,含身份证、社 保参保、财务、薪酬、房屋等 2015.10 国家旅游局漏洞涉及6000万客 户,6万+旅行社密码,百万导游信息, 含个人信息、详细行程等 2015.10 网易163/126邮箱数据泄露,总 量5.4亿+,含账号、密码、密码保护问 题、IP和出生日期等 撞库攻击 数据贩卖 账号盗用 诈骗欺诈 隐私数据 经济利益 安全报告显示2015年国内数据泄露50亿+,人均8条,线上数据真假难辨 9 �银行卡、身份证贩卖 一站式企业安全服务提供商 Total Security Solution for Enterprise 地下黑市可根据地区、卡类型、U盾、快捷方式等打包销售银行卡、身 份证,价格100~300元不等,定制要求价格更高 10 �黑产外围工具 一站式企业安全服务提供商 Total Security Solution for Enterprise 手机号码自动维护、自动接收验证码 结合伪基站传播、电信诈骗实施欺诈 0Day漏洞贩卖,病毒制作 社会工程学从内部更容易攻击得手 11 �目录 一站式企业安全服务提供商 Total Security Solution for Enterprise 01 典型案例分析 02 账号安全现状 03 防护技术发展 04 总结 12 �纵深多重账户防护体系 一站式企业安全服务提供商 Total Security Solution for Enterprise 层层把关,有效降低诈骗分子操作账户的成功率 第一重:增强验证 采用滑动验证技术,高 效识别诈骗分子的机器 操作和正常人工操作, 防范诈骗分子批量验证 账户信息。 第二重:预警密码风险 采用谛听反撞库技术识 别诈骗分子连续尝试登 录行为,及时发现高危 账号风险,提醒用户更 改密码。 13 第三重:多因子认证 用与账号绑定的终端设 备确认关键交易信息, 终端设备本身即起到类 似U盾的作用,比短信 验证码更安全。 �验证技术发展 一站式企业安全服务提供商 Total Security Solution for Enterprise 验证码是区分机器人与正常用户操作的安全工具,防止批量注册、撞库、 刷票、灌水等,一般在注册、登录、留言回复、绑定、支付等场景使用 输入验证 用户识别扭曲的文字或 数字,输入到验证框内, 实现方式简单,容易被 破解、用户体验差 V1.0 交互验证 通过点击、拖动、扭转 等交互方式完成验证。 用户体验很好,但存在 被绕过风险 V1.1 14 风险验证 2014年底,谷歌推出新 一代验证码技术,前台 一次点击,后台分析风 险判断是否机器人操作 V2.0 �滑动验证 一站式企业安全服务提供商 Total Security Solution for Enterprise 滑动验证结合多项创新技术,采用机器学习、风险分析实现人机特征 筛选,识别率高达98%,支持海量并发极速响应,适用于网上银行、 直销银行、第三方支付等系统的防撞库、防程序访问多种场景 特征检测比对 (频次、速率、轨迹等) 风险模型分析 (IP、设备、时间等) 机器学习算法 (爬虫、工具、脚本分析等) 15 �真实性核验 一站式企业安全服务提供商 Total Security Solution for Enterprise 拖库 撞库 银行 卡买 卖 虚假 信息 身份 证买 卖 账号密码 IP 机器访问 地址 设备属性 银行卡号 黑客 工具 黑产 黑色产业链 地下黑色产业链分工细 化,各类数据买卖造成 真实度缺失 身份号码 手机号码 欺诈 业务欺诈 不法分子利用黑产数据注 册账号、提交信息,进行 盗号/盗卡等欺诈行为 16 真实度判定 引擎 大数据关联 大数据处理 权威数据源 威胁情报 安全 身份核验 多维度、多来源的身份数 据核验,判定真实度,防 范欺诈,对抗黑色产业链 �基于大数据的真实性核验示例 一站式企业安全服务提供商 Total Security Solution for Enterprise 类型 单项核验 身份证号码、 有效期(可选) 是否盗用身份证 身份证交易、身份证盗用 地址信息、 联系方式(可选) 是否虚假地址及常用地址 虚假地址、地址盗用 设备属性 是否虚拟机、模拟器 非物理设备欺诈 IP地址 是否合法有效IP地址 VPN/代理访问 账号、加密后的密码 是否撞库、密码危险度 拖库、撞库 银行卡、身份信息 用户是否拥有此银行卡 银行卡片交易、盗卡 访问属性 是否机器访问 机器访问、爬虫 多项核验 综合核验 17 �设备标识 一站式企业安全服务提供商 Total Security Solution for Enterprise 在线设备标识:采集设备多种属性,通过算法计算⽣生成全⽹网唯⼀一的 设备ID,识别精准、防伪造、非真实设备告警 ×【识别精准】解决刷机、改号软件等造成的设备识别故障 ×【防伪造】只有经过规定路径才能访问,对抗接⼝口攻击 ×【非物理设备】识别模拟器、小型机等 ×【非正常软件】刷机软件、⼀一键改号等 18 �大数据身份核验应用 一站式企业安全服务提供商 Total Security Solution for Enterprise 识别身份证+30分 三要素鉴权 +10分 补充户籍信息 户籍+身份核验 +10分 总分数>=75 完成核验 手机用户 识别银行卡+30分 大数据身份核验服务 (基于输入内容动态生成核验项,实时核验达到阈值完成核验) 身份验证 +20分 身份信息 银行卡信息 户籍信息 四要素鉴权 +20分 户籍核验 +20分 PC用户 19 常用地址 (收货) 地址核验 +10分 总分数>=75 所在地核验 完成核验 +5分 �常用身份认证方式 一站式企业安全服务提供商 Total Security Solution for
2016-《风宁-攻防之间:账号安全立体防护新探索》
温馨提示:如果当前文档出现乱码或未能正常浏览,请先下载原文档进行浏览。
本文档由 张玉竹 于 2022-04-08 09:44:37上传分享
