315 持续追踪 | “主板机”黑灰产业链、AI换脸诈骗、礼品卡隐形条款套路深......

新闻
2月前

又是一年 315。2023年的 315 晚会上,315 信息安全实验室技术人员实时监测了十余款应用软件的盗版版本,发现其中一款视频 APP 的破解版,被额外嵌入 3 款和官方版本毫不相关的第三方 SDK 软件包(点击链接跳转原文),精准锁定、实时捕捉和追踪用户动态,形成精准画像,从而推送大量广告,实现流量变现。

今年的 315 晚会聚焦“共筑诚信 共享安全”主题,将金融安全和数据安全列为重点关注领域,曝光了制造水军的“主板机”、AI换脸诈骗、同程金融App礼品卡套路多信息安全领域热点事件揭露网络诈骗、个人信息泄露等社会问题,为民众普及防范知识,共同筑牢安全防护墙。

图片

01

“主板机”黑灰产业链

网络水军手段曝光


图片


315 晚会上曝光网络平台上一些所谓“主板机”厂家宣称“可以将多部手机主板安装在同一主板机箱内,组装成一台主板机后同时控制 N 部手机,运行同一款软件,执行同一个操作”,凭借数量庞大的手机主板加持,组建成千上万台手机的网络矩阵,实现操纵游戏、控制发帖数量、操控网络投票等目的。


“主板机”在网络黑灰产种热销不断,还因为其能够随意更改账户 IP 地址,包括号、 IP、硬件、脚本等,从而逃避监管

图片


图片



虚假账号的批量注册也导致“羊毛党”可以规避业务安全规则,利用外挂软件频繁操作抢单、冒充新用户骗奖励等,造成电商平台或游戏应用资金浪费。


梆梆安全基于现阶段企业移动应用侧薅羊毛等安全现状,已构建覆盖软件生命周期全流程的闭环安全能力:“移动应用安全监测平台发现高频登录账号安全事件——从终端环境到网络行为实行安全监测——发现薅羊毛等移动端风险行为——利用API安全平台完成风险监控闭环验证”一方面移动应用除需要具备漏洞修复、应用加固、代码混淆、动态调试等基础安全防护能力外,另一方面需针对APP前端可信建立长效的监测防御机制,及时发现前端传输、应用、系统、ROM等各层面的安全风险,最后还需构建端到端的全渠道API安全防御思路,将APP侧的风险情报同步至轻应用侧进行联防联控,增强风险的监测、预警、处置、溯源能力,实现端到端的风险联动防御。


02

新技术犯罪层出不穷

再爆AI盗脸安全事件


图片


315 晚会在其保留节目“信息安全实验室”中穿插了一段对 AI 诈骗的科普,通过公布一系列利用 AI 技术进行的新型诈骗案例,发出消费风险提示和预警:诈骗分子利用 AI 技术,将他人的脸换成指定人的脸,冒充诈骗对象的亲人、朋友或重要关系人,以视频电话形式冒充受害者亲友被绑架、冒充熟人要求帮忙买机票、冒充公司老板要求银行转账,进而实施诈骗。

图片


图片



近年来,人脸识别技术因高效便捷被广泛使用,由此带来的个人信息及财产安全问题日益凸显,对于人脸识别安全隐患的担忧从未停止。


梆梆安全结合近年来人脸识别信息泄露等安全事件的实践,已实现对人脸识别绕过等安全风险的监测并将其落地,推出人脸识别专项安全评估、APP安全加固+通信协议保护SDK、移动应用安全监测平台在内的人脸识别业务安全防护解决方案,通过代码加密和通信协议的保护,提升人脸协议和数据破解篡改的攻击门槛;利用安全监测与业务系统的联动,解决应用运行过程种出现的前端技术类攻击行为,有效实现风险感知及防御。


03

借4万元到手2.8万元

金融 APP 礼品卡套路深


图片


“购买礼包的价格一共是40000多元,但是我实际到手只有28000多元。”315晚会曝光金融 APP 设置“买礼品卡回收”换现金的借贷模式,以“先买卡、再回收、再变现”的模式变相发放金融贷款,隐藏“现金贷”陷阱,通过高额的额外费用和隐形条款,导致用户实际借款金额远低于预期。

图片


图片



在移动端消费爆发式增长的今天,价格刺客行为在移动应用中屡见不鲜,利用虚假宣传、优惠福利等形式套路用户。梆梆安全基于多年来对移动应用安全风险的系统性发现和取证,将全力配合上级监管部门和手机产业链上下游进行应用支付生态治理,保障用户合法权益。

图片

截至目前,梆梆安全已为众多监管单位、研究机构和企业在个人信息保护及 APP 综合治理方面提供一站式产品及服务支撑,对于小程序、H5等系统或平台隐私合规的检测和监测技术也已全面覆盖。同时,梆梆安全技术专家围绕报告解读、法规解读、企业生态治理方案规划等为企业单位和监管机构提供全面的隐私安全合规治理保障。 

随着数字化、智能化进程不断加快,移动应用已经渗透到人民生活的方方面面,黑灰产业也随之扩大,应用没有防护无异于“裸奔”。面向未来,梆梆安全勇担“保护您的软件”使命,始终以客户为中心,通过专业的安全产品和服务为政府、企业、开发者和消费者打造安全稳固可信的网络空间生态环境。