【芯盾时代】移动安全身份认证解决方案（16页）.pptx

《【芯盾时代】移动安全身份认证解决方案（16页）.pptx》由会员分享，可在线阅读，更多相关《【芯盾时代】移动安全身份认证解决方案（16页）.pptx（16页珍藏版）》请在三个皮匠报告上搜索。

1、芯盾 Trusfort移动身份认证安全解决方案,北京芯盾时代科技有限公司产品总监 杜旭,随芯而动 秉信而行,身份欺诈规模化 花样翻新速度快,2016年上半年安全联盟接收举报信息47.3万条，其中18.3万条被认定为恶意网址，占总量的将近40%。,恶意网址占很大部分，75.01%,35.5万条举报网址中，钓鱼欺诈（53.35%）,中奖、积分兑换、网银失效类钓鱼网站是主流,下载apk木马的网址,诈骗信息的传播途径以电话、短信为主,仿冒银行是诈骗的主要手段,越来越多的恶意网址必须在手机或微信端打开；包含apk木马链接的短信数量逐渐攀升；,信息盗取：撞库拖库,2011.10，CSDN网站640万用户资

2、料遭拖库泄密2011.12，天涯论坛4000万用户数据外泄2014.01，如家、汉庭等酒店2000万用户数据遭泄露2014.09，iCloud遭破解，明星照片泄露2014.12，12306订票网站13万余条12306用户数据网上售卖2015.02，Uber 5万名司机信息泄露2015.04，遍布19个省份的社保系统相关信息泄露达5279.4万条2015.10，网易163/126电子邮箱过亿数据泄漏2015.12，申通快递被黑客入侵系统，3万多条包含客户信息的快递单遭到泄漏,步骤一：账号窃取,社工库已收集上亿用户的撞库密码，可查询,北京芯盾时代科技有限公司,移动互联网领域，身份安全问题频发,互联

3、网业务（场景）,业务层面,用户名口令拖库暴力撞库数据链路攻击数据存储攻击业务逻辑漏洞攻击银行卡盗转盗刷恶意注册、登录刷单薅羊毛,攻击,设备层面,登录过程嗅探口令破解获取键盘输入获取应用反编译破解录屏和远程控制短信验证码截取权限及数据获取,用户层面,社会工程学电话短信欺诈口令猜测钓鱼攻击身份伪造,北京芯盾时代科技有限公司,短信窃取：基站无线拦截,运营商,银行,验证码短信,干扰信号，用户设备降频到2G（3、4G短信加密，2G不加密）,短信不加密，空口拦截,黑客,正常用户,步骤二：短信窃取,北京芯盾时代科技有限公司,设备绑定绕过方法,步骤三：设备绑定,Android手机系统堆栈,Hardware,H

4、AL,Linux Kernel,Android Runtime&Libraries,Android Framework,Android Applications,系统指纹：Android IDIMSIIMEI,内核指纹,硬件指纹,SE,SE指纹,设备指纹按照手机系统堆栈的层次可分为四个层次。一般手机APP仅采用最高层“系统指纹”进行设备绑定和验证。但在改串号软件中，IMEI、MAC、AndroidID等均可轻易被篡改，安全性很差。,改串号、改信息,北京芯盾时代科技有限公司,黑色产业链日益完善,央视集中报道5分钟网上买到上千银行卡信息几乎全部正确起底“电信诈骗术”之“验证码”骗局人行发布170，

5、261号文加强金融交易过程中的安全监管；认证安全事件波及银行、第三方支付、证券、P2P金融及互联网公司，各种盗转盗刷、身份欺诈、隐私盗取事件层出不穷；身份欺诈呈现专业化、规模化、组织化。2015年仅打码平台的充值客户数比2014年增长了27%，充值金额增长了40%，160万人的地下产业链；,国家重视,刚性需求,增长迅猛,上游,拖库/撞库/社工库伪基站/猫池僵尸/木马/蠕虫恶意软件/钓鱼网站打码平台刷单/刷串号,中游,身份信息窃取账号密码窃取短信验证码拦截恶意注册POS/WiFi窃取信息交易平台,下游,信息获取,实施攻击,钱财盗转支付盗刷盗买/盗卖欺诈勒索刷单/薅羊毛网络黄牛,1.阿里巴巴201

6、5数据风控年报,北京芯盾时代科技有限公司,芯盾时代：新一代智慧身份认证服务提供商,目标：利用创新的设备认证、生物认证、身份反欺诈技术和安全认证协议算法，对现有身份验证方式进行革命性的创新，为金融、政府、互联网及各行各业提供更安全、免密、智能的身份认证服务,1,2,3,4,账号+密码,账号+密码+验证码,账号+密码+U盾,芯盾身份认证,安全性：单因素认证，安全级别非常低，易受拖库撞库、社会工程学、口令窃取等攻击灵活性：普适性身份认证方式,安全性：伪双因素认证，安全级别低，易受短信验证码盗取攻击灵活性：简单方案，使用广泛。2015年中国短信验证码市场规模达50亿元,安全性：双因素认证，安全级别高，