2017年8月16日,第三届中国互联网安全领袖峰会(Cyber Security Summit,简称CSS2017)在京召开。由腾讯安全与国际支付行业巨头Visa联合主办的金融安全分会场,是当天备受关注的分论坛之一。来自金融、安全等多领域专家以“数字时代的支付安全与未来商务”为主题,共同探讨如何应对新常态下的移动支付安全,如何通过开放式合作、共同打造可持续发展的产业生态环境。
在金融安全分会场,腾讯移动安全副总裁胡振东围绕“安全新常态下如何应对移动支付安全挑战?”进行了主题分享。他指出,当前移动支付安全迎来严峻挑战,除了常见的木马病毒、诈骗、钓鱼网址等威胁形式,身份认证技术也是支付安全的挑战之一。腾讯专注于支付安全领域的技术研究,并坚持开放共享,愿将自身技术能力输出给更多行业合作伙伴,共建支付安全生态防护体系。
(腾讯移动安全副总裁胡振东发表演讲)
支付安全威胁步入新常态,腾讯手机管家成第一道防线
随着移动支付市场爆发性增长,安全已成为这个行业绕不开的难题。腾讯移动安全实验室发布的《2017年上半年手机安全报告》显示,2017年上半年支付类病毒感染用户数达502.4万,大家的“电子钱包”仍面临严重威胁。更令人担忧的是,移动支付安全威胁趋于多样化、常态化,使得防御难度大大增加。不法分子通常将木马病毒、诈骗电话/短信、钓鱼网址、风险WiFi和虚假二维码等手段捆绑起来联合作战,以实现“利益最大化”。
胡振东表示,腾讯手机管家作为移动安全领域的第一道防线,拥有强大的病毒查杀与支付保护能力,可以拦截各种诈骗电话和短信,识别短信中的恶意网址和风险WiFi,防止病毒窃取手机支付验证码短信,并进行微信等支付安全和账号保护,在各个风险环节建立精准有效的防御体系,全方位、立体化守护用户手机和财产安全。
另外,据胡振东介绍,通过腾讯手机管家的“安全信用指数”,可全方位立体评估支付安全风险。基于腾讯安全云库大数据、社交大数据、麒麟伪基站监测数据、外部风险WiFi感知等,手机管家可对用户的安全意识、风险历史、外部环境、行为习惯、设备防护情况进行五维立体评估,输出用户安全评估画像并给出评分,分数越高表明安全性越高。如果检测到用户遭遇社工欺诈转账,会提前给出预警、及时止损,如是正常的支付交易,则提供风控担保,确保交易环境安全。
(腾讯安全信用指数,为用户提供全方位立体安全风险评估)
移动支付安全面临的另一大挑战,是如何准确鉴别用户身份的真实性,即如何证明我是我。目前指纹解锁、数字加密等身份认证技术多以牺牲可靠性来换取便捷性,不法分子一旦成功获取密码信息或复制指纹,其盗取账户资金的过程将变得更加简单。胡振东指出,人工智能新时代下,我们通过移动终端来探索身份认证的新方式,借助机器学习用户交互行为,来对用户进行身份鉴权。为了认证支付者身份的唯一性,腾讯正在探索一种更为智能的验证技术,我们称之为“图灵盾”,其主要利用基于用户行为特征的AI无感知身份认证技术,可在多场景下综合判断当前使用者是否为手机主人,从而实现账号防护、支付安全、手机防盗、隐私保护等。在实际应用场景中,“图灵盾”可实现免密解锁、免密支付、自动登录等,让复杂的二次身份验证流程简单化,同时安全系数更高,可靠性更强。
开放合作,共建支付安全生态防护体系
在胡振东看来,新秩序、新常态下的移动支付安全挑战绝非一己之力能够应对,唯有开放合作,集合各个产业链伙伴的安全力量,才是有效的解决之道。腾讯安全作为CSS安全领袖峰会的发起方,在不断强化自身安全研发能力及创新能力的同时,不断向全行业输出更强的技术实力,倡导并坚持开放合作,打通产业间的壁垒,持续推动建立安全生态防护体系。
2016年,腾讯安全联合实验室累计挖掘谷歌、微软、苹果、adobe等国际厂商共计269个漏洞,位居国内第一,持续帮助各大厂商提升安全防护能力。腾讯御安全作为服务于广大应用开发者的专业级APP防护平台,打造了漏洞检测、安全加固、实时监控、云端风控四层防御,实现APP的全面防护。为防护WiFi上网入口安全,腾讯还联手TOP10的WiFi提供商建立“安全WiFi联盟”,并推出国内首个“五星WiFi”标准。
目前,腾讯安全云库已经全面开放,与合作者共享包括诈骗电话、银行账号、木马病毒、钓鱼网址等典型诈骗数据样本,以集合运营商、银行机构、第三方支付平台等产业链的力量防范电信网络诈骗,全方位保护用户财产安全。正是看重腾讯海量大数据资源优势,苹果多次与腾讯展开了合作,借助腾讯手机管家实现iOS骚扰诈骗电话拦截和垃圾短信识别,在Safari浏览器中内置腾讯安全云库能力,实现欺诈网址识别。
胡振东表示,面对愈加复杂的移动支付安全威胁,腾讯目前的行动或许只是冰山一隅。不管是打击电信网络诈骗,还是应对木马病毒攻击,都需要建立开放共享的数据平台和合作模式,腾讯愿意开放自己的核心技术和数据能力,与更多合作伙伴共建支付安全生态防护体系,守护用户财产安全。