去哪儿风控揭秘(1)-如何对付网银大盗(木马钓鱼)

简介: 风控部门作为去哪儿的核心部门，它的组织架构及业务都有哪些呢？
曾经负责易宝支付风控体系的风控技术总监， 到去哪儿全面负责风控部门产品、技术、运营。
数据分析专业在团队中获得重视， 但也是以产品经理岗位出现，所以产品经理中有不少是有数据分析基础从业经历，比如，当时有一位产品经理是从百度支付过来的。

相关阅读：
比 REG007 更好用的查询手机注册网站的神器
清华大学团队：人脸识别爆出巨大丑闻，15分钟解锁19款手机
用照片做成动态图能从苹果手机盗走微信支付宝里的钱？
支付宝风险控制怎么做到的 ？
支付宝风控揭秘-2-在线支付及风险防范实务
黑客想要转走你支付宝里的钱会怎样？ AlphaRisk 如何对抗 ？
揭秘支付宝风控-1-复合事件处理
去哪儿风控揭秘(1)-如何对付网银大盗(木马钓鱼)
最早的支付网关（滴滴支付）和最新的聚合支付设计架构

1 在线业务-钓鱼案例及对策

木马样本分析

案件：受害人在QQ被骗接收到木马伪造的图片，打开后被植入
用户接受木马运行后 ：
衣服专柜细节图.exe 样本大小108 MB (113,685,977 字节)

1.木马尾部附加垃圾数据，增大体积，对抗云安全类安全软件

2.木马结束金山卫士相关进程KSafeSvc.exe 和KSafeTray.exe，使其失效

3.木马通过篡改browser UI CLSID注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32\，将其指向到
c:\windows\f6dk.dll(可能是随机名称），达到自启动的目的

4.木马释放c:\windows\cttyogon.exe并运行
这个程序会释放c:\windows\tddownload\51kakeycode.dll和c:\windows\tddownload\scvhost.exe
并执行scvhost.exe
接着退出
scvhost.exe进程会等待支付面出现，进行页面跳转和篡改，从而进行网银窃取
5.木马的cttyogon.exe进程会修改注册表：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN
下iexplore.exe 为0 ，关闭系统默认的LMZL（Local Machine Zone Lockdown本机域锁定功能），使IE的域安全提示失效
启动后，访问易宝支付网站的IP

2 风控管理架构

3 风控体系

4 风险分类及危害

1 资金风险

2 交易风险

3 账户风险

4 商户风险

5 合规风险