钓鱼欺诈是盗号最经典方式

评论
8 views

2009腾讯安全技术峰会上演讲实录:

主持人:今天下午的议题继续安全的问题。随着网络产业的繁荣,一些针对网玩账号和具体财产的问题也日益涌现,针对这些问题,下面请看卫鹏飞给我们带来的议题“网游账号安全之现状与未来”。

卫鹏飞:各位朋友大家下午好!今天我给大家交流的是网络账号安全的情况。其实主要是被盗。网络账号被盗主要有一些很古老的,比如键盘记录,当然现在最流行的是内存截取,还有一些比较高级的就是会话劫持。钓鱼欺诈现在不是最广泛的,但却是最经典的,有时候也是最有效的。

先来说一下现状,我列了一个提纲,总结了几个字,叫做有所保护。之所以说“有”,就是第二条防线,也就是说即使盗号者拿到了你的游戏帐户和密码,但是对于网游公司来说它还会建立一套防线,尽量减少玩家的损失。

比如说有上线时限,一般盗号者拿到密码以后会立即洗号,上线后需要几分钟才能进行交易,延长盗号周期。

还有就是限制异地交易,如果玩家在A城市登录后72小时未在其他城市登录,即为本地,其他城市为异地,异地无法交易,这样对于盗号者来说也是一种比较有效的降低他们效率的方式。还有一些大家比较常用的仓库密码,其实仓库密码对于很多游戏来说是形同虚设,甚至有的游戏的仓库密码还是本地的。

但是我们公司的仓库密码稍微好一点,也就是首先从机制上把非常关键的途径取消掉,完全采用图片传输来制作仓库密码。最后一个是角色状态回溯,这个不用多说,大家都知道,就是一些回放等。

这是一个仓库密码的案例(图),虽然限定了显示的是数字,但是我们采取的完全是图片传输,也就是说无论用户怎么截取都截取不到英文的,并且每次传输图片的数据是不一样的。当然,没有绝对的安全。可以采取截图或者截屏。需要想更多的方法从机制上来避免被截图,最好从机制上杜绝截图的可能,比如说使它在同一时间肯定是不会显示所有的图品,即使截图也要截非常多的图才能完整地截下来。

网页锁,登录游戏之前先登录网络解锁。总的来说,稍微脱离了本机客户端,有点效果,但是效果不是太大。

电话锁,其实就是你的游戏账号绑定一个手机或者固话,你要登录的时候先打一下电话,然后给你开通几分钟的安全登录通道,这样就等于多加了一道账号登录凭证。据我所知目前搜狐公司应用得比较多。当然网易等一些其他公司也有用,只有搜狐目前用得最多。缺点是什么呢?伪造。大家也知道,现在手机可以任意发送某某的号码,比如我们这种方式可以保证大部分玩家的安全,对于小部分伪造的来说,他们毕竟不容易获得账号的电话号码,所以也不是很多。

手机锁,这几年也应用得比较广泛。有的人把它成为手机密保。它与密保的差异是手机锁可以锁定账号。下面的手机密保还会另外说。网易公司有使用手机锁,巨人公司也有使用手机锁。这其实和电话锁比较相似。

硬件锁,顾名思义,就是绑定机器的硬件信息,尽可能地使得取得你的硬件信息与其他的机器是不同的。但是它的缺点是会被伪造,特别是你取得信息比较少,比如只取一些地址,很容易被伪造的,所以尽可能多取一些硬件信息,使得被伪造的可能性降低。之前我也测试过一家公司的游戏,他号称是除非你搬走电脑,你才能登录这个电脑上的游戏账号,接着根据我们的测试最后它非常狭隘,当然效果也很不好。

“保”。矩阵密保,目前是使用最广泛的一种保护方式。现在各个公司几乎都推出了密保卡,有实务卡,有电子卡,还有把这个卡存到手机里面作为手机密保卡,这种方式最大的优点就是免费、容易部署,根据我的公司还有我交流的其他公司使用情况来看,这种方式是目前应用最广泛的一种安全保护手段,也大大降低了各公司被盗号的机率。当然,缺点也是有的,后面再说。

下面说到手机密保和密保卡装在手机里面是不一样的。手机密保其实就是相当于硬件密保,只不过它的载体换成了手机。目前移动也推出了一种密保,它的优势是更难被截取,麻烦是必须要专门换,并且是收费的。根据我们的预测,这种手机密保卡以后肯定会取代实务的密保卡,并且也会取代硬件密保,因为硬件密保的成本比较高。现在大家都有手机,下载手机软件也比较方便。

硬件密保,也就是动态令牌,比如盛大密保、网易将军令。动态令牌比电子卡还要安全,但是它的成本较高,对于玩家来说使用是一样的。动态令牌,包括之前的电子卡都有一个风险:会话劫持,目前还没有比较好的方法去防御会话劫持,包括盛大密保、电子密保都有被盗的案例,但只是个案。

“护”。客户端内置查杀木马引擎。在客户端中我们做一些自身的防护,简单来说,客户端内置一个查杀木马的引擎,如果发现当前环境中有木马会做一些针对的处理。其实腾讯的QQ医生也是属于这种类型的查杀引擎,QQ启动的时候会先扫一下有没有木马。并不是每个公司都会自己做这种模块,所以很多公司都会与杀软安全公司合作,比如有360合作的,有瑞星合作的,内置他们的专业引擎效果就非常好。大家一起努力。

安全合作。网游公司不仅与安全厂商合作,网游公司内部也有一些安全技术的合作机制,大家互相交流些信息,交换些样本,共同防御木马。其实最主要的也是最根本的是互联网网民的安全意识,这是一个非常老的话题,似乎没什么效果,但是也必须要提,只有大家的安全意识提高了,大家知道某些网站是不能去的,自己要防护好,才会有一个更安全的网络环境。

非明文处理。现在很多木马能够直接截取账号密码还有仓库密码,根本原因就是因为这些密码是不能以明文出现的。下面用一个密保卡来简单解释一下。这是某一张密保卡,它在处理的时候就没有采用非明文的方式处理,也就是说,这张密保卡在截取的时候输入玩家所需要的值和坐标。GPR是盛大的,对于木马来说它可以防止部分木马修改客户端。