新聞中心
行業動態 | 釣魚網站與病毒頻發背后 網絡支付黑色利益鏈
互聯網+時代,越來越多的消費和支付從線下轉移至互聯網。而春節紅包大戰,以及Apple Pay的高調入華,更讓移動支付日益普及。但隨之滋生的,是日益增多的互聯網支付安全風險。
2015年7月,中國互聯網協會發布的《中國網民權益保護調查報告(2015)》顯示,中國互聯網用戶近一年來因個人信息泄露、詐騙信息等問題,導致總體損失約805億元。
互聯網支付的安全問題已經不容小覷。這背后的黑色渠道和利益鏈是怎樣實現的?互聯網支付安全的未來又在哪里?
網絡支付的陰云
安全風險始終成為籠罩在互聯網支付之上的一層陰云。
從發送釣魚網站鏈接到病毒木馬植入,互聯網用戶的銀行賬戶、社交軟件賬號等核心信息被非法竊取,錢包正在遭遇空前危機。
據《華夏時報》記者了解,釣魚網站主要是采用模仿正規網站域名、篡改正規網站頁面等方式,得到用戶提供的銀行卡號、密碼、賬戶等信息。
有業內人士對記者表示,其實無論怎樣偽裝,釣魚網站的詐騙都有幾個常規步驟:誘導用戶點擊陌生鏈接,然后跳轉至釣魚網站,得到個人信息、銀行卡賬號及密碼,再通過木馬攔截用戶手機來自銀行的驗證碼及消費提示進行盜刷。
而隨著智能手機的普及,釣魚網站也逐漸瞄準了移動支付領域。
獵豹安全專家李鐵軍對記者表示,這幾年手機端的釣魚網站明顯增多。“最常見的還是通過偽基站發送短信。在我們見到的直接造成財產損失的案例中,占絕對主流。”
“對方通過偽基站的方式進行短信群發,偽造假銀行網站的非常多,基本國內的商業銀行都被模仿過。”他對記者說。
而來自騰訊的《2015互聯網安全報告》也顯示,在釣魚網站的分布上,除了傳統的虛假網購、中獎詐騙外,仿冒手機銀行、運營商的釣魚網站開始呈現爆發式增長。此外,仿冒證券公司的虛假投資網站也在2015年達到高峰。
面對移動支付安全問題頻發的情況,李鐵軍對記者表示,手機的防范難度很高,這個跟手機和電腦系統的差異有關系。電腦殺毒軟件的權限很高,但手機不一樣。例如蘋果就可能不會有任何這方面的提醒。
此外,通過惡意鏈接、二維碼以及偽裝APP將木馬植入手機,也是一種重要方式。
春節期間的紅包大戰已經泄露了紅包木馬的巨大能量。
據記者了解,搶紅包神器、紅包大盜等木馬通過竊取用戶社交賬號及密碼,或者以偽APP等方式做為入口,植入手機木馬病毒,留存用戶銀行卡號、身份證號等敏感信息后,從而對用戶的銀行卡進行盜刷。
騰訊發布的上述報告顯示,目前手機上常見的支付病毒有10種,其中16.81%的支付類病毒會隱藏自己的真實目的,以躲避安全軟件的查殺。此外,竊取隱私數據的支付病毒占比則達到14.80%。
黑色地下產業鏈
在釣魚網站與病毒木馬頻發的背后,是網絡支付詐騙行業背后的暴利。
此前據獵網平臺于2015年11月5日發布的首個《現代網絡詐騙產業鏈分析報告》顯示,去年1-9月,共接到全國網民舉報網絡詐騙案件20086起,涉案金額高達8901萬元,人均損失4431元。
而據其初步統計,網絡詐騙產業的從業人數至少有160萬人,“年產值”超過1100億元。
據記者了解,獵網平臺由北京市公安局網絡安全保衛總隊與360互聯網安全中心聯合發起成立,目前是國內第一個網絡詐騙全民舉報平臺。
而在高昂利潤的驅使下,網絡支付詐騙早已形成了一條完整的黑色地下產業鏈。
上述業內人士對記者表示,在這套產業鏈上有負責制作網站的開發者,負責批發零售的“包馬人”,還有實施“種馬”的拉單人,以及最后的洗白銷贓環節。
“這是一個很完整的產業鏈。行騙的是一批人,做網站的是另一批人,之間都互不了解,也根本不需要見面,全在網上進行交易。”他對記者說。
據記者了解,在這條地下產業鏈中,涉及支付類的病毒木馬售價通常高達數千元甚至上萬元。而且通常還帶有使用期限,到期需要再度續費。
但高價并不能阻礙“包馬人”的熱情,因為這其中的利益更為豐厚。
據記者了解,此前被宣判的浮云木馬的制作人,在兩個月里得到了20萬元的收入。而他開發的浮云木馬則涉嫌竊取了數百名網銀用戶的上千萬元。
而此前據記者登陸淘寶網發現,有眾多搶紅包神器出售,價格從幾元到幾千元不等。而這些搶紅包軟件往往被植入木馬,一旦安裝就可以用它來收集用戶的隱私信息、盜取賬號等。
李鐵軍也對記者表示:“這一行業一條龍下來的很少,大部分都是相互拆開。交易的方式也很成熟。”他同時還表示,微信內置的安全功能會對紅包木馬植入自動進行大規模攔截,因此紅包木馬不會是主流的欺詐方式。
網絡支付的復雜心情
用風聲鶴唳、草木皆兵來形容用戶對互聯網支付的復雜心情,并不為過。
一個典型的例子,是今年1月10日晚上,微信錢包用戶大規模解綁銀行卡的蝴蝶效應。
當晚微信朋友圈被微信公開課PRO版的“我和微信的故事”刷屏,而有關應用鏈接會盜取微信號和支付寶號的謠言也隨之擴散。
雖然各方隨即都進行了辟謠,但“微信之父”張小龍曾在隨后的發布會上感慨,“很多,真的是很多,是百萬級的用戶開始提現、解綁自己的銀行卡了,我們這個服務器也幾乎掛掉了。”
解綁事件無疑折射出用戶對互聯網支付風險的警惕。而這種警惕,則是源于層出不窮的互聯網安全信息風險中監管的缺失。
事實上,想要做到對互聯網支付的完全監管并不容易。
李鐵軍對記者表示,網絡支付詐騙越過了幾種監督渠道。“比如偽基站是通過騙子手中自身的設備發送,繞過了運營商的網絡,根本無法發現,成本還很低。”
據記者了解,偽基站發送的短信號碼可以隨便定義。詐騙者將帶有惡意鏈接的短信偽裝成銀行、電信的常用客服號碼發送,具有極大的隱蔽性和欺騙性。
此外,互聯網支付詐騙的風險很小。
獵網平臺分析顯示,網絡詐騙地下產業規模之所以迅速擴大,主要是由于網絡詐騙犯罪具有異地作案、小額多發、取證困難等特點,打擊難度大。
此外,目前針對互聯網支付產業鏈的相關法律還并未到位。而對移動支付過程中的金融風險監管也存在缺位。
而上述業內人士也對記者表示,由于產業鏈上各條分工嚴密,異地作案,很難追查到釣魚網站或者木馬背后的利益相關者。
互聯網支付的未來
盡管監管難以到位,但隨著互聯網支付規模,特別是移動支付規模的不斷增長,解決支付安全風險迫在眉睫。
在今年的全國兩會上,騰訊CEO馬化騰提出建議,要重點打擊電信網絡詐騙等新型犯罪。加大刑事案件打擊力度,遏制網絡黑客犯罪的蔓延趨勢。
此外,他還提出,企業要建設共同治理網絡安全的生態體系。
其中,互聯網企業應發揮大數據分析、云計算和云存儲能力,對用戶行為建立模型。而電信運營商則應禁止網絡改號電話等非法運營項目,加強對偽基站的打擊配合和重點地區的線路排查,清理二手4G卡買賣市場,落實手機卡實名制等等。
事實上,國家相關機構已經從法律和網絡上對網絡支付的風險作出限定。
在2015年6月底,十二屆全國人大常委會第十五次會議已經審議了《網絡安全法(草案)》,并于7月初向社會公開征求意見。
而《草案》的重要內容則包括,將我國公民個人信息保護納入法律正軌。
此外,在去年7月31日,央行在其網站公布了《非銀行支付機構網絡支付業務管理辦法(征求意見稿)》。該《管理辦法》傳達了明確的監管意見:鼓勵支付機構定位于支付通道,限制賬戶功能,賬戶功能僅限于小額支付。
但李鐵軍對記者說:未來互聯網支付詐騙依然會很嚴重,中國是移動支付做得最好的國家,問題是網民的安全意識還很薄弱。
他對記者表示,病毒的技術含量并不高,如果用戶提高防范意識,不隨意點擊短信里的陌生鏈接,不在釣魚網站輸入個人信息,則不會對用戶的財產安全造成損害。
他同時對記者表示,從技術上來說,也不可能消除支付詐騙。“騙子總是會隨著時代的發展而更新騙術,常騙常新。”
事實上,隨著微信的廣泛應用,微信虛假公眾賬號詐騙,微信投票、點贊詐騙,微信掃碼關注等新興詐騙方式已經興起。而互聯網支付的安全之路還任重而道遠。