网购安全现状与防护 金山网络/姚辉
个人简介 姚辉,(网名:haiwei) 2004年加入金山,做过病毒分析、写过驱动,设计过反病毒引擎 目前是金山毒霸的技术Leader 11.03.2017
内容提纲 网购安全现状数据分享 典型案例分析 毒霸对网购的保护和防御策略 11.03.2017
1 钓鱼网站数量 2011年新增钓鱼网站在45万个左右,年底相比年初约增长了一倍
2 钓鱼网站拦截次数 金山毒霸2011年,每月钓鱼网站的拦截次数在 4亿~11 亿之间
3 遇到钓鱼网站的几率 网民访问到钓鱼网站的概率为 5~7%之间,呈现稳步上升态势
4 钓鱼网站类型分布 淘宝网最受钓鱼网站制作者垂青,占总量的 28.21%
5 网购被骗调查 据金山毒霸安全中心 2011年中对 1000 余名网购被骗受害者专题调查,全国各地均有网民受害,近7成受害者被骗金额在 500元以下。
6 被盗原因调查 在 2011 年上半年的网购安全专题调查中,统计受害者的被骗或被盗的入口,有 60%通过聊天工具发生。
典型网购被骗案例 11.03.2017
7 骗买家 买家搜索低价商品找到骗子卖家
7 骗买家 骗子通过聊天诱骗用户点击名为实物图的exe程序
7 骗买家 改进版
7 骗买家 骗子传送文件给买家时,杀毒软件报毒,为达到继续欺骗的目的,骗子在收到买家质疑时,会借口是杀毒软件误报,甚至会建议关闭杀毒软件。
骗买家 通过第三方Loader漏洞加载木马母体dll,逃过安全软件防御 8 骗买家 通过第三方Loader漏洞加载木马母体dll,逃过安全软件防御 木马母体dll释放木马主体,并创建傀儡进程如:“notepad.exe”,并把木马主体注入进去 到此,木马已经“欢快”的跑在用户电脑上
7 骗买家 小结一下: 低价诱惑难以抵挡 上网看毛片是刚性需求 玩游戏用外挂也是刚性需求
8 木马主体流程 定时枚举IE窗口 通过向IE窗口发送WM_HTML_GETOBJECT消息获得IHTMLDocument2指针,以便获取用户访问的网址和其它数据,以及“篡改”订单数据 从“云端”取得事先准备好的邮箱和一个字符串
8 木马主体流程 木马监控用户当前访问的网址与它所支持的网址进行匹配,如: 支付宝 快钱 盛付通 百度电子商务支付 易宝支付 银联在线
8 木马主体流程 木马对淘宝页面有特殊处理,当用户到达支付页面时,会“篡改”页面,让用户无法使用余额支付功能,迫使用户使用网银支付
木马主体流程 当用户选择网上银行,然后欲登录网银支付页面时,木马将用户的花费信息以及所使用的银行发送到木马作者域名空间中. 8 木马主体流程 当用户选择网上银行,然后欲登录网银支付页面时,木马将用户的花费信息以及所使用的银行发送到木马作者域名空间中. 然后根据获得的银行名称和木马所支持的钓鱼页面银行名单做对比,如果符合则开始进行为病毒作者购买联通充值卡.木马当前支持的网上银行有:中国农业银行,广发银行,中国银行,中国工商银行,中国民生银行 浦发银行 招商银行 等
木马主体流程 如果符合的话则木马会快速跳转到联通购卡面, 8 木马主体流程 如果符合的话则木马会快速跳转到联通购卡面, 木马自动迅速填写购买充值卡数量,其中需要填写验证码,这点木马不可绕过,所以木马会弹出一个页面,同步购卡页面的验证码来诱使用户填写验证码.
8 木马主体流程 然后根据用户使用的银行 以及所花费的金钱 订单数等生成一个假的支付页面,网址不会变,用户看到的是他真实的订单,实际上订单已经被“篡改”成购买联通充值卡,并且卡号和密码发送木马作者填写的邮箱中。 到此木马窃取用户网银金钱成功.当用户付完款后会提示交易超时等让用户在此付款直到卡内没钱.
8 木马主体流程
用户被骗过程总结 用户搜索低价物品找到骗子 骗子通过社会工程欺骗用户运行木马程序 木马程序通过第三方Loader漏洞逃过安全软件的防御 8 用户被骗过程总结 用户搜索低价物品找到骗子 骗子通过社会工程欺骗用户运行木马程序 木马程序通过第三方Loader漏洞逃过安全软件的防御 木马篡改交易订单,用户在不知情的情况下帮骗子购买物品
9 骗卖家 骗子买家拍下卖家商品 骗子向卖家发消息说无法支付,并发截图
网购安全防护 11.03.2017
边界监控 边界防御监控所有文件入口,发现未知文件要求进行云鉴定,反钓鱼系统针对用户访问的所有网页进行检查 11.03.2017
系统环境安全检测 当用户进入支付相关网页时,毒霸自动转成网购保镖模式,会对当前所有进程模块进行扫描,发现未知进程模块提示用户危险并建议结束或清除 11.03.2017
订单防“篡改” 防“篡改”机制从技术原理上抵御网购木马 11.03.2017
14 网购敢赔
谢谢! QQ:39531390 (haiwei) Email:yaohui1@ijinshan.com 11.03.2017