經(jīng)濟觀察網(wǎng) 記者 胡群 “遇到 ‘我想轉錢到你卡里,你再幫忙發(fā)給我朋友下,我微信限制轉賬了’這種情況,和對方視頻驗證發(fā)現(xiàn)是本人,依然要謹慎謹慎再謹慎。”2月17日,一位北京某高校老師在朋友圈里稱。當日清晨,她的一位朋友通過微信向她提出幫忙轉賬的請求,她打通了對方的微信視頻進行核實,在視頻中看到熟悉的面孔,但對方并未開口說話便匆匆關閉了視頻通話。
“我當時已經(jīng)知道他的微信號被盜,并未上當,但他仍有朋友被這種方式被騙走了14000塊。”她向經(jīng)濟觀察網(wǎng)稱,騙子通過微信向其他人提出上述幫忙轉賬請求,受害人進行了視頻審核,并收下騙子轉來的6000塊錢幫助其轉賬,但下午騙子就以急用錢為借口,向這位受害人借了14000塊,直到晚上才發(fā)現(xiàn)被騙。
視頻驗證是熟悉面孔,為何仍會被騙?
“身份核驗安全隱患為金融行業(yè)資產(chǎn)帶來了不確定性,攻擊行為和偽冒案例的日益多樣化為AI技術安全帶來了極大的挑戰(zhàn),如空照片挖孔、3D面具、深度偽造、語音合成、語音拼接等,針對不同攻擊行為亟待行之有效的防偽能力。”中關村(000931)科金AI安全攻防實驗室總監(jiān)馮月在接受經(jīng)濟觀察網(wǎng)采訪時表示,由于深度學習的發(fā)展,以及Deep Fake(一款備受爭議的換臉技術軟件)的出現(xiàn),導致“假臉”的制作門檻大幅度降低,普通人可以制作一個可能不存在的人臉或者是將人臉互換,形成的單幀圖片可以做到非常逼真。一般情況下,黑產(chǎn)會利用動態(tài)化處理軟件完成讓照片中的人物張嘴、轉頭等動作,之后再度采用其他軟件欺騙系統(tǒng),通過修改相關數(shù)據(jù)和設置,將提前做好的動態(tài)人臉視頻導入到App中,便完成認證,進而完成整個詐騙流程。
你的臉“值”多少錢?
移動支付已成為支付主流方式。中國互聯(lián)網(wǎng)絡信息中心(CNNIC)2021年9月發(fā)布的《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示,我國網(wǎng)絡支付用戶規(guī)模達8.72億,占網(wǎng)民整體的 86.3%。
當前疫情防控常態(tài)化使得無接觸認證、無感認證等身份識別需求激增,人臉識別技術憑借其便捷易用的特點,在金融領域發(fā)揮著重要作用,很多金融App可以通過人臉識別進行支付、轉賬等業(yè)務。指紋、刷臉等生物識別成為目前常用的移動支付驗證方式,其使用率已經(jīng)超過數(shù)字密碼驗證方式。
1月25日,中國銀聯(lián)發(fā)布《2021移動支付安全大調(diào)查研究報告》顯示,在移動支付驗證方式中,指紋、刷臉等生物識別方式認可度最高,其使用率已經(jīng)超過數(shù)字密碼驗證方式。從年齡上看,45歲以上人群更偏愛密碼支付方式,45歲以下人群更 偏愛指紋、刷臉等生物識別方式,尤其18-24歲年輕人群使用生物識別驗證方式的達到75%,高于平均水平9個百分點。受訪人群使用動態(tài)驗證碼核驗身份約占3成,其中46-55歲人群達到35%,高于平均水平6個百分點。
在科技帶來便利的同時也會被部分不法分子所利用,人臉識別技術所帶來的個人信息保護問題也日益凸顯,引發(fā)社會公眾的普遍關注和擔憂。馮月表示,在常規(guī)的人臉識別技術中,系統(tǒng)僅會對采集的視頻或圖片做基礎的質(zhì)量檢測和驗真,但是,這種基礎的驗真技術并無法有效識別人臉的真假,隨著偽造攻擊工具的演進,有效性會急劇降低,常見的,黑產(chǎn)便用照片或是視頻翻拍便可以達到魚目混珠的效果。這就衍生出了一系列安全問題。
一般情況下,黑產(chǎn)會利用動態(tài)化處理軟件完成讓照片中的人物張嘴、轉頭等動作,之后再用其他軟件欺騙系統(tǒng),當App需要通過攝像頭進行人臉驗證時,啟動“外掛”,通過修改相關數(shù)據(jù)和設置,將提前做好的動態(tài)人臉視頻導入到App中,便完成認證。
國家互聯(lián)網(wǎng)應急中心曾在2021年6月對人臉識別身份認證漏洞的風險進行過描述:一些App由于設計過程中存在安全缺陷,導致攻擊者可以利用公開獲取的用戶照片替換活體檢測采集的照片,進而破壞人臉識別身份認證機制,登錄用戶賬號并竊取用戶敏感信息等操作。
如果說上述黑產(chǎn)從業(yè)者的詐騙技術較為初級,現(xiàn)在騙術已升級。
“安全行業(yè)與黑產(chǎn)在人臉識別領域的攻防博弈已經(jīng)經(jīng)歷過多次迭代,從早期的圖像級到中期的應用級,再到后期的算法級,金融行業(yè)和安全公司通過一系列手段對黑產(chǎn)的攻擊方式進行了有效防護,然而對抗并未停止,人臉攻防進一步深入到了移動操作系統(tǒng),為企業(yè)防護帶來了新的挑戰(zhàn)。”2月14日,中國工商銀行(601398)金融科技研究院發(fā)布的《2021年網(wǎng)絡金融黑產(chǎn)研究報告》顯示,隨著人臉識別攻防技術不斷發(fā)展和反復博弈,人臉識別應用場景已成為了黑產(chǎn)對抗的主戰(zhàn)場,除大家熟知的照片活化攻擊外,2021年又出現(xiàn)了新的攻擊手法,黑產(chǎn)精心設計了人臉欺詐場景并使用了新型攻擊技術,讓“刷臉”再次面臨新挑戰(zhàn)。
“視頻來電慎接聽,人臉竊取需防范。”《2021年網(wǎng)絡金融黑產(chǎn)研究報告》指出,黑產(chǎn)從業(yè)者通過視頻通話竊取受害人的人臉信息。黑產(chǎn)從業(yè)者一般假冒公檢法機關或銀行工作人員,恐嚇受害者涉嫌“洗錢”“藏毒”“欠貸”等案件,要求受害者通過視頻通話進行身份核實。視頻通話過程中,黑產(chǎn)從業(yè)者要求受害人完成指定人臉動作,同時開啟錄屏功能獲取受害人的人臉信息。與利用活化軟件生成的合成視頻相比,通過視頻通話獲取到的人臉視頻是受害者本人完成的人臉識別動作,不存在合成及偽造特征,很難被人臉算法識別。考慮到人臉特征具有唯一性,一旦被黑產(chǎn)竊取,將直接導致人臉認證失效,造成資金和財產(chǎn)損失。因此在接聽視頻來電前,一定要核實對方身份信息。
網(wǎng)絡黑產(chǎn)猖獗
2021年全年,小盾安全共檢測到9381個黑產(chǎn)團伙作案行為,平均單個團伙賬戶數(shù)量在500左右,一般為專業(yè)工作室模式,利用自有群控設備或者租用云控服務,配合改機工具、模擬器、ip 代理、接碼平臺、打碼平臺等完成批量化作弊行為。
《2021移動支付安全大調(diào)查研究報告》顯示,網(wǎng)絡詐騙受到損失的人群比例較2020年更高,2021年遭遇過網(wǎng)絡詐騙且有損失的人群比例較去年增加了6%,達到了14%,平均受損金額為1650元,比2020年降低了272元。從年齡上看,00后是移動支付風險的高危人群,銀行卡出借比例較高,網(wǎng)絡詐騙導致經(jīng)濟損失的比例居于首位。中老年人也是遭受詐騙的主要群體,主 要集中在四線、五線城市和各個鄉(xiāng)、鎮(zhèn)、村,普遍受科普程度較低,以網(wǎng)絡直播詐騙為主要渠道,且通常數(shù)額巨大。從職業(yè)來看,大學生遭遇網(wǎng)絡欺詐的風險較高,近半數(shù)有使用第三方信用貸款賬戶的習慣。另外,網(wǎng)店店主、自主創(chuàng)業(yè)者也是遭受網(wǎng)絡詐騙較多的人群。
“40歲以下為主要被害人群,老年人詐騙相對并不多見”。騰訊發(fā)布的《電信網(wǎng)絡詐騙治理研究報告2021年》顯示,從被害人年齡構成來看,40歲以下的年輕群體所占比例高達79%,50歲以上的被害人占比僅有8%,但隨著我國社會老齡化程度加深、進程加快,老年人將成為中國網(wǎng)民不可忽視的重要組成部分,銀發(fā)群體的網(wǎng)絡安全問題也需要予以重點關注。
“整個黑色產(chǎn)業(yè)鏈由來已久,互聯(lián)網(wǎng)時代以來我們將黑產(chǎn)的演變分為4個階段。”小盾安全發(fā)布的《2021年度業(yè)務風控洞察報告》稱,分別為蠻荒時代、野蠻生長期、初見規(guī)模期,以及黑產(chǎn)出海期。
2010年前為黑產(chǎn)的蠻荒時代,以PC為代表的互聯(lián)網(wǎng)時期,黑產(chǎn)主要的盈利方式是靠控制個人電腦作為“肉雞”通過DDoS攻擊、刷廣告、安裝流氓軟件等方式變現(xiàn)。這個周期掌握“肉雞”的數(shù)量決定了獲利規(guī)模的上限。
2013年前后,伴隨著O2O的興起,隨著大量資本的涌入,黑產(chǎn)擴張用于用戶拉新,賬號價值凸顯,也是在這個時期,黑產(chǎn)圍繞“賬號體系”的產(chǎn)業(yè)鏈條逐步形成,包括號商、接碼平臺、打碼平臺、群控等,從而進入野蠻生長期。
2015年前后,網(wǎng)貸行業(yè)進入繁榮期,這一階段也是風險集中暴發(fā)的時期,由于其泛金融的屬性需要較嚴格的KYC認證,也就是在這個階段整個圍繞“KYC 套件”的產(chǎn)業(yè)鏈逐漸形成,包括:二要素、三要素、人臉、活體等,黑產(chǎn)初見規(guī)模。
從2019年開始,出海成為很多國內(nèi)企業(yè)的選擇,不論是電商、社交還是泛娛樂企業(yè)都紛紛加入到出海大軍。彼時國內(nèi)監(jiān)管政策趨嚴,國內(nèi)黑產(chǎn)也開啟出海的航程。基于國內(nèi)多年的技術積累,黑產(chǎn)企業(yè)在海外發(fā)展更為猖獗。
據(jù)騰訊披露,當前詐騙分子非法獲取公民個人信息,主要有三種方式。通過“流氓軟件”、釣魚網(wǎng)站、系統(tǒng)漏洞、“拖庫”等手段非法獲取公民信息;通過暗網(wǎng)等非法渠道購買他人非法獲取的公民個人信息;從企業(yè)工商信息查詢網(wǎng)站、企業(yè)官網(wǎng)、機關單位網(wǎng)站等公開渠道“爬取”公民個人信息。
2月18日,工信部通報2022年第一批侵害用戶權益的APP。“依據(jù)《個人信息保護法》《網(wǎng)絡安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī),我部近期組織第三方檢測機構對移動互聯(lián)網(wǎng)應用程序(APP)進行檢查,截至目前,尚有107款APP未完成整改。”工信部信息通信管理局表示,在檢測過程中發(fā)現(xiàn),13款內(nèi)嵌第三方軟件開發(fā)工具包(SDK)存在違規(guī)收集用戶設備信息的行為。
如何打贏與黑產(chǎn)的“持久戰(zhàn)”?
針對黑產(chǎn)發(fā)展的嚴峻趨勢,一方面政府出臺政策并采取一系列手段予以打擊,科技公司也在發(fā)揮著越來越重要的作用。
公安機關通過“斷卡”行動、國家反詐App等一系列手段對黑產(chǎn)進行打擊,有效降低了黑卡數(shù)量,阻斷了黑產(chǎn)活動的源頭。在國家的重拳打擊下,對黑產(chǎn)從業(yè)人員起到了有效的威懾作用,黑產(chǎn)進一步向隱蔽化、隨機組團化轉移。
自2020年10月“斷卡”行動開展以來,各地各部門集中打擊犯罪團伙,清理電話卡、銀行卡,從根源上有效遏制電信網(wǎng)絡詐騙案件快速上升勢頭,2021年6月至9月全國電信網(wǎng)絡詐騙犯罪發(fā)案連續(xù)4個月實現(xiàn)同比下降。隨著“斷卡”行動深入推進,電信網(wǎng)絡詐騙團伙獲取“兩卡”的寄遞販賣通道受阻,詐騙窩點用于作案的“兩卡 ”嚴重不足,大量涉案資金被凍結,一些詐騙分子甚至直接利用本人銀行賬戶轉賬洗錢,犯罪團伙作案成本大幅提升,對電信詐騙活動實現(xiàn)重創(chuàng)。
2021年9月,銀保監(jiān)會辦公廳發(fā)布加強人臉識別技術應用安全管理的相關通知,要求各機構要全面梳理涉及人臉識別的業(yè)務場景和應用系統(tǒng),開展風險排查和整改,如發(fā)現(xiàn)正在使用的人臉識別技術存在安全漏洞要盡快升級或修復,對存在風險隱患的應用系統(tǒng)要盡快實施安全加固或改造。
2022年1月18日,中國信通院云計算與大數(shù)據(jù)研究所牽頭編寫的國內(nèi)首份《人臉信息合規(guī)操作指南 可信人臉應用守護計劃》指出,當前我國已初步構建了人臉信息保護的法律規(guī)范體系。《刑法》及《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對非法買賣人臉信息等犯罪行為進行了明確規(guī)定,《民法典》《個人信息保護法》以及《關于審理使用人臉識別技術處理個人信息相關民事案件適用于法律若干問題的規(guī)定》對于規(guī)范人臉信息處理活動提供了堅實的依據(jù),相關法律法規(guī)及標準規(guī)范不斷更新完善。
2021年11月,中國信通院公布了“可信AI:人臉識別評估”首輪成果,中關村科金、騰訊云、百度、京東、螞蟻金服等7家知名企業(yè)順利通過此次評估且系統(tǒng)安全防護能力達到優(yōu)秀級。據(jù)公開資料顯示,中關村科金的多模態(tài)防偽與安全平臺目前支持防偽能力檢測類型已達11種,其中呈現(xiàn)式活體攻擊單幀靜默錯誤接受率低至0.5%;深度偽造單幀檢測錯誤接受率低至0%;身份證偽造單幀檢測準確率高達99.2%。
馮月表示,到2023年,該產(chǎn)品防偽種類將超過30種,平均防偽精度普遍超過95%,有望服務超過300家企業(yè)。截至目前,得助多模態(tài)生物防偽與安全平臺已在金融機構多個業(yè)務場景應用。例如,當前有“黑灰產(chǎn)中介”以牟利為目的,誘導消費者委托其代理維權,讓金融機構不堪其擾的場景中,該產(chǎn)品可以用于識別代理維權機構,通過聲紋識別和語音偽造檢測,明確用戶是否為本人。
騰訊衛(wèi)士是一款集“用戶舉報、違規(guī)打擊、用戶教育”為一體的公益性綜合安全服務平臺,成立以來,已累計服務用戶量1.5億,受理有效舉報量近6000萬,打擊違法違規(guī)賬號超1000萬。
“在產(chǎn)業(yè)數(shù)字互聯(lián)的大時代中,黑產(chǎn)防護與數(shù)字化是一體兩面,隨著業(yè)務邊界的擴大與增長,黑產(chǎn)隱蔽化、技術化、產(chǎn)業(yè)化的特點也愈發(fā)凸顯,單靠某個企業(yè)單打獨斗、閉門造車必然無法應對未來千變?nèi)f化的黑產(chǎn)形式。需要通過國家、行業(yè)、機構多個層面的聯(lián)合共建,強化黑產(chǎn)的抵御之路。”《2021年網(wǎng)絡金融黑產(chǎn)研究報告》稱。
關鍵詞:
