小心网络黑产盯上你的“脸”
经济观察报 2022-02-19 19:21

“遇到 ‘我想转钱到你卡里,你再帮忙发给我朋友下,我微信限制转账了’这种情况,和对方视频验证发现是本人,依然要谨慎谨慎再谨慎。”2月17日,一位北京某高校老师在朋友圈里称。当日清晨,她的一位朋友通过微信向她提出帮忙转账的请求,她打通了对方的微信视频进行核实,在视频中看到熟悉的面孔,但对方并未开口说话便匆匆关闭了视频通话。

“我当时已经知道他的微信号被盗,并未上当,但他仍有朋友被这种方式被骗走了14000块。”她向经济观察网称,骗子通过微信向其他人提出上述帮忙转账请求,受害人进行了视频审核,并收下骗子转来的6000块钱帮助其转账,但下午骗子就以急用钱为借口,向这位受害人借了14000块,直到晚上才发现被骗。

视频验证是熟悉面孔,为何仍会被骗?

“身份核验安全隐患为金融行业资产带来了不确定性,攻击行为和伪冒案例的日益多样化为AI技术安全带来了极大的挑战,如空照片挖孔、3D面具、深度伪造、语音合成、语音拼接等,针对不同攻击行为亟待行之有效的防伪能力。”中关村科金AI安全攻防实验室总监冯月在接受经济观察网采访时表示,由于深度学习的发展,以及Deep Fake(一款备受争议的换脸技术软件)的出现,导致“假脸”的制作门槛大幅度降低,普通人可以制作一个可能不存在的人脸或者是将人脸互换,形成的单帧图片可以做到非常逼真。一般情况下,黑产会利用动态化处理软件完成让照片中的人物张嘴、转头等动作,之后再度采用其他软件欺骗系统,通过修改相关数据和设置,将提前做好的动态人脸视频导入到App中,便完成认证,进而完成整个诈骗流程。

你的脸“值”多少钱?

移动支付已成为支付主流方式。中国互联网络信息中心(CNNIC)2021年9月发布的《中国互联网络发展状况统计报告》显示,我国网络支付用户规模达8.72亿,占网民整体的 86.3%。

当前疫情防控常态化使得无接触认证、无感认证等身份识别需求激增,人脸识别技术凭借其便捷易用的特点,在金融领域发挥着重要作用,很多金融App可以通过人脸识别进行支付、转账等业务。指纹、刷脸等生物识别成为目前常用的移动支付验证方式,其使用率已经超过数字密码验证方式。

1月25日,中国银联发布《2021移动支付安全大调查研究报告》显示,在移动支付验证方式中,指纹、刷脸等生物识别方式认可度最高,其使用率已经超过数字密码验证方式。从年龄上看,45岁以上人群更偏爱密码支付方式,45岁以下人群更 偏爱指纹、刷脸等生物识别方式,尤其18-24岁年轻人群使用生物识别验证方式的达到75%,高于平均水平9个百分点。受访人群使用动态验证码核验身份约占3成,其中46-55岁人群达到35%,高于平均水平6个百分点。

在科技带来便利的同时也会被部分不法分子所利用,人脸识别技术所带来的个人信息保护问题也日益凸显,引发社会公众的普遍关注和担忧。冯月表示,在常规的人脸识别技术中,系统仅会对采集的视频或图片做基础的质量检测和验真,但是,这种基础的验真技术并无法有效识别人脸的真假,随着伪造攻击工具的演进,有效性会急剧降低,常见的,黑产便用照片或是视频翻拍便可以达到鱼目混珠的效果。这就衍生出了一系列安全问题。

一般情况下,黑产会利用动态化处理软件完成让照片中的人物张嘴、转头等动作,之后再用其他软件欺骗系统,当App需要通过摄像头进行人脸验证时,启动“外挂”,通过修改相关数据和设置,将提前做好的动态人脸视频导入到App中,便完成认证。

国家互联网应急中心曾在2021年6月对人脸识别身份认证漏洞的风险进行过描述:一些App由于设计过程中存在安全缺陷,导致攻击者可以利用公开获取的用户照片替换活体检测采集的照片,进而破坏人脸识别身份认证机制,登录用户账号并窃取用户敏感信息等操作。

如果说上述黑产从业者的诈骗技术较为初级,现在骗术已升级。

“安全行业与黑产在人脸识别领域的攻防博弈已经经历过多次迭代,从早期的图像级到中期的应用级,再到后期的算法级,金融行业和安全公司通过一系列手段对黑产的攻击方式进行了有效防护,然而对抗并未停止,人脸攻防进一步深入到了移动操作系统,为企业防护带来了新的挑战。”2月14日,中国工商银行金融科技研究院发布的《2021年网络金融黑产研究报告》显示,随着人脸识别攻防技术不断发展和反复博弈,人脸识别应用场景已成为了黑产对抗的主战场,除大家熟知的照片活化攻击外,2021年又出现了新的攻击手法,黑产精心设计了人脸欺诈场景并使用了新型攻击技术,让“刷脸”再次面临新挑战。

“视频来电慎接听,人脸窃取需防范。”《2021年网络金融黑产研究报告》指出,黑产从业者通过视频通话窃取受害人的人脸信息。黑产从业者一般假冒公检法机关或银行工作人员,恐吓受害者涉嫌“洗钱”“藏毒”“欠贷”等案件,要求受害者通过视频通话进行身份核实。视频通话过程中,黑产从业者要求受害人完成指定人脸动作,同时开启录屏功能获取受害人的人脸信息。与利用活化软件生成的合成视频相比,通过视频通话获取到的人脸视频是受害者本人完成的人脸识别动作,不存在合成及伪造特征,很难被人脸算法识别。考虑到人脸特征具有唯一性,一旦被黑产窃取,将直接导致人脸认证失效,造成资金和财产损失。因此在接听视频来电前,一定要核实对方身份信息。

网络黑产猖獗

2021年全年,小盾安全共检测到9381个黑产团伙作案行为,平均单个团伙账户数量在500左右,一般为专业工作室模式,利用自有群控设备或者租用云控服务,配合改机工具、模拟器、ip 代理、接码平台、打码平台等完成批量化作弊行为。

《2021移动支付安全大调查研究报告》显示,网络诈骗受到损失的人群比例较2020年更高,2021年遭遇过网络诈骗且有损失的人群比例较去年增加了6%,达到了14%,平均受损金额为1650元,比2020年降低了272元。从年龄上看,00后是移动支付风险的高危人群,银行卡出借比例较高,网络诈骗导致经济损失的比例居于首位。中老年人也是遭受诈骗的主要群体,主 要集中在四线、五线城市和各个乡、镇、村,普遍受科普程度较低,以网络直播诈骗为主要渠道,且通常数额巨大。从职业来看,大学生遭遇网络欺诈的风险较高,近半数有使用第三方信用贷款账户的习惯。另外,网店店主、自主创业者也是遭受网络诈骗较多的人群。

“40岁以下为主要被害人群,老年人诈骗相对并不多见”。腾讯发布的《电信网络诈骗治理研究报告2021年》显示,从被害人年龄构成来看,40岁以下的年轻群体所占比例高达79%,50岁以上的被害人占比仅有8%,但随着我国社会老龄化程度加深、进程加快,老年人将成为中国网民不可忽视的重要组成部分,银发群体的网络安全问题也需要予以重点关注。

“整个黑色产业链由来已久,互联网时代以来我们将黑产的演变分为4个阶段。”小盾安全发布的《2021年度业务风控洞察报告》称,分别为蛮荒时代、野蛮生长期、初见规模期,以及黑产出海期。

2010年前为黑产的蛮荒时代,以PC为代表的互联网时期,黑产主要的盈利方式是靠控制个人电脑作为“肉鸡”通过DDoS攻击、刷广告、安装流氓软件等方式变现。这个周期掌握“肉鸡”的数量决定了获利规模的上限。

2013年前后,伴随着O2O的兴起,随着大量资本的涌入,黑产扩张用于用户拉新,账号价值凸显,也是在这个时期,黑产围绕“账号体系”的产业链条逐步形成,包括号商、接码平台、打码平台、群控等,从而进入野蛮生长期。

2015年前后,网贷行业进入繁荣期,这一阶段也是风险集中暴发的时期,由于其泛金融的属性需要较严格的KYC认证,也就是在这个阶段整个围绕“KYC 套件”的产业链逐渐形成,包括:二要素、三要素、人脸、活体等,黑产初见规模。

从2019年开始,出海成为很多国内企业的选择,不论是电商、社交还是泛娱乐企业都纷纷加入到出海大军。彼时国内监管政策趋严,国内黑产也开启出海的航程。基于国内多年的技术积累,黑产企业在海外发展更为猖獗。

据腾讯披露,当前诈骗分子非法获取公民个人信息,主要有三种方式。通过“流氓软件”、钓鱼网站、系统漏洞、“拖库”等手段非法获取公民信息;通过暗网等非法渠道购买他人非法获取的公民个人信息;从企业工商信息查询网站、企业官网、机关单位网站等公开渠道“爬取”公民个人信息。

2月18日,工信部通报2022年第一批侵害用户权益的APP。“依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,我部近期组织第三方检测机构对移动互联网应用程序(APP)进行检查,截至目前,尚有107款APP未完成整改。”工信部信息通信管理局表示,在检测过程中发现,13款内嵌第三方软件开发工具包(SDK)存在违规收集用户设备信息的行为。

如何打赢与黑产的“持久战”?

针对黑产发展的严峻趋势,一方面政府出台政策并采取一系列手段予以打击,科技公司也在发挥着越来越重要的作用。

公安机关通过“断卡”行动、国家反诈App等一系列手段对黑产进行打击,有效降低了黑卡数量,阻断了黑产活动的源头。在国家的重拳打击下,对黑产从业人员起到了有效的威慑作用,黑产进一步向隐蔽化、随机组团化转移。

自2020年10月“断卡”行动开展以来,各地各部门集中打击犯罪团伙,清理电话卡、银行卡,从根源上有效遏制电信网络诈骗案件快速上升势头,2021年6月至9月全国电信网络诈骗犯罪发案连续4个月实现同比下降。随着“断卡”行动深入推进,电信网络诈骗团伙获取“两卡”的寄递贩卖通道受阻,诈骗窝点用于作案的“两卡 ”严重不足,大量涉案资金被冻结,一些诈骗分子甚至直接利用本人银行账户转账洗钱,犯罪团伙作案成本大幅提升,对电信诈骗活动实现重创。

2021年9月,银保监会办公厅发布加强人脸识别技术应用安全管理的相关通知,要求各机构要全面梳理涉及人脸识别的业务场景和应用系统,开展风险排查和整改,如发现正在使用的人脸识别技术存在安全漏洞要尽快升级或修复,对存在风险隐患的应用系统要尽快实施安全加固或改造。

2022年1月18日,中国信通院云计算与大数据研究所牵头编写的国内首份《人脸信息合规操作指南 可信人脸应用守护计划》指出,当前我国已初步构建了人脸信息保护的法律规范体系。《刑法》及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对非法买卖人脸信息等犯罪行为进行了明确规定,《民法典》《个人信息保护法》以及《关于审理使用人脸识别技术处理个人信息相关民事案件适用于法律若干问题的规定》对于规范人脸信息处理活动提供了坚实的依据,相关法律法规及标准规范不断更新完善。

2021年11月,中国信通院公布了“可信AI:人脸识别评估”首轮成果,中关村科金、腾讯云、百度、京东、蚂蚁金服等7家知名企业顺利通过此次评估且系统安全防护能力达到优秀级。据公开资料显示,中关村科金的多模态防伪与安全平台目前支持防伪能力检测类型已达11种,其中呈现式活体攻击单帧静默错误接受率低至0.5%;深度伪造单帧检测错误接受率低至0%;身份证伪造单帧检测准确率高达99.2%。

冯月表示,到2023年,该产品防伪种类将超过30种,平均防伪精度普遍超过95%,有望服务超过300家企业。截至目前,得助多模态生物防伪与安全平台已在金融机构多个业务场景应用。例如,当前有“黑灰产中介”以牟利为目的,诱导消费者委托其代理维权,让金融机构不堪其扰的场景中,该产品可以用于识别代理维权机构,通过声纹识别和语音伪造检测,明确用户是否为本人。

腾讯卫士是一款集“用户举报、违规打击、用户教育”为一体的公益性综合安全服务平台,成立以来,已累计服务用户量1.5亿,受理有效举报量近6000万,打击违法违规账号超1000万。

“在产业数字互联的大时代中,黑产防护与数字化是一体两面,随着业务边界的扩大与增长,黑产隐蔽化、技术化、产业化的特点也愈发凸显,单靠某个企业单打独斗、闭门造车必然无法应对未来千变万化的黑产形式。需要通过国家、行业、机构多个层面的联合共建,强化黑产的抵御之路。”《2021年网络金融黑产研究报告》称。

经济观察网 记者 胡群

编辑/樊宏伟

最新评论