如果有一天,你想在某APP上注册一个账号,却发现自己已经“被注册”了,姓名、身份证号是自己的,但自己却一点不知情,而且你在这个APP上本该享有的权益全部被用完了。
绿园网站制作公司哪家好,找创新互联公司!从网页设计、网站建设、微信开发、APP开发、响应式网站等网站项目制作,到程序开发,运营维护。创新互联公司于2013年创立到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联公司。如果有一天,你莫名成为了某婚恋/交友/购物网站的实名认证客户,而且这个“自己”大肆从事“杀猪盘”或者其他违法犯罪活动,直到警方找上门,你才发现自己竟然成为了“犯罪嫌疑人”。
如果出现上述情况,请不要觉得不可思议。虽然说诸多科技公司一再宣传人脸技术识别技术的安全性,但是近期发生的多个案例表明,人脸识别技术的某些漏洞已经被攻破并被大肆应用。近期,警方抓获了一个人脸识别认证黑产团伙,终结诈骗团队有幸参与关键作案过程的还原工作。下面二弟就为你客观、真实揭秘这一犯罪过程,并评估风险,提出相关建议。
案件的起因很简单。一名群众准备在某机构网站办理业务时,忽然发现自己早已经是该网站的注册用户。而按照这个网站的要求,必须要输入姓名、身份证号、手机号、验证码,并且要进行人脸识别认证才可以注册。
经常关终结诈骗的粉丝都知道,在黑市上购买一个人的姓名、身份证号很容易,找个接码平台也可以解决手机号和验证码的问题,但是脸长在自己身上,加上人脸识别环节应该是当前最安全的认证方式了,但为什么这名群众在不知情的情况下,还是被实名注册了呢?
警方循线追踪,经过艰苦努力抓获了这个黑产链条的多名嫌疑人。为了解开谜团,办案民警决定对关键的人脸认证环节进行侦查实验,二弟得到允许后,到场见证了整个实验过程。
一大早,二弟和办案民警一起先去看守所把嫌疑人小李(化名)提了出来,并找出这个案件所有的档案、作案工具,来到一间会议室。小李是案件中的“灵魂人物”,属于那种可以传授别人技术的“教练”、“师傅”,为了让他知无不言、言无不尽,二弟给他倒了一杯温开水。
嫌疑人小李及案件档案、作案工具
(还有一台笔记本电脑,没有拍摄到)
嫌疑人经过这几天的反省,基本上已经认识到自己的错误,虽然玫瑰金“手镯”限制了他的自由,但是整个人情绪平稳,思路清晰,非常配合。在简单的沟通交流后,小李开始给我们演练整个人脸识别认证的过程。
第一步:“查大头”、“买大头”
很多人都体验过人脸识别认证,只要配合软件要求作出点头、摇头、眨眼、张嘴等动作,确认你就是你之后,就会通过认证。但是小李他们既然做的是黑产,自然不会有人专门配合(甚至根本不知情),所以他们要用技术手段模拟出这些动作,而他们所需要的,仅仅是一张照片就可以了。
小李招收徒弟时打出的广告,也特别强调了这一点只需一张照片,就可以实现人脸识别认证秒过,而且还可以按照要求做出身份证正反面、手持身份证等全套资料,进而实现注册账号、解封账号、额度提升、支付转账等各类业务。
人脸识别认证黑产发布的广告
小李他们把找照片的过程叫做“查大头”或者“买大头”,“大头”就是“大头照”的意思。
所谓“查大头”,就是知道了一个人的姓名、身份证号,想用他的身份注册或办理业务,就会找人去查大头照。在这个案件中,某银行信用卡发行部的人就参与了“大头照”的查询贩卖。因为他们的系统有个功能,只要输入姓名和身份证号就可以弹出身份证照片,以便业务员审核材料,但是这个业务员却利用职务之便把这些照片拷贝下来,卖给“小李”他们。可恶的内鬼!
而所谓“买大头”,就更直接粗暴了,那就是直接购买“姓名+身份证号+头像照片”等全套材料。这类材料在黑市也是应有尽有,比如有些人在不正规的小额贷款公司贷款时,一般都会上传自己的身份证正反面以及手持身份证照片,这些正是小李需要的资料。
小李电脑上保存的“大头照”资料。此大头照为合成照片,并已做技术处理,不代表任何一个人。
第二步:活起来、动起来
有了“大头照”和照片主人的姓名、身份证号之后,下面要做的就是让照片“活起来”,并且要像真人一样“动起来”,做出相应的动作。小李打开笔记本电脑,娴熟地进行操作。
他首先使用A软件,按照自己的经验对照片进行调色,然后将调色后的照片导入到B软件,开始了下面的3D建模与渲染操作。
一番勾癣渲染之后,照片仿佛被注入了灵魂,开始“活起来”了,小李说,下面还要给照片注入“真气”,让他动起来,这就需要各类脚本的加持。
于是,他打开了电脑上保存的脚本库,给我们展示了他的技术实力。
比如“摇头”
比如“张嘴”
比如“眨眼”
当然,通过“脚本”的加持,还可以让渲染过的照片做出各种动作,基本囊括目前人脸识别的主流动作。到这一步,已经完成了90%的工作量。
第三步:骗过摄像头
行百里者,半于九十。视频识别认证一般要求人对着摄像头做动作,在没有真人的情况下,如何让摄像头相信他面前就站着一个真人,就特别关键。
有人说,可以把摄像头对准电脑屏幕,再点击播放那段做好的视频不就行了。这个方法确实简单,但却行不通,因为大家都有这个常识,通过摄像头去拍摄电脑屏幕时,会有雪花、条纹等,非常不清晰,骗不过摄像头。这是因为手机摄像头传感器的像素阵列的空间频率和电脑屏幕像素网格不同,会因空间混叠干扰而出现“莫尔条纹”。
“莫尔条纹”示意图
那怎么办?小李他们想出了一个更直接的办法,直接“劫持”摄像头:把做好的视频事先保存到一个经过特殊处理的手机上,然后通过C软件将视频导入,这样,在视频认证环节需要人脸验证时,会弹出“选择媒体”的模块,而不是直接启动摄像头。
经过特殊处理的手机,在连识别认证环节会出现此界面,而不是直接启动摄像头
通过这样的操作,软件会把这些导入的视频认为是摄像头拍摄的,如果所做出的动作符合要求,就会认为“这张照片”是真的人、可以信赖的人,进而通过认证。当然了,因为很多软件的要求的动作都是随机出现的,有的要求先眨眼再摇头,有的要求先点头再摇头再眨眼,小李他们为了规避这一点,就会事先录制不同组合的视频,一个个去匹配。
小李通过这几步操作,当着我们的面注册了几个网站和APP 的会员,看得人目瞪口呆。当然,二弟是不愿意放过这千载难逢的机会的,我又和小李深度聊了一下关于这类黑产链条的内幕,也解答一下此刻可能萦绕在你心头的疑问。
01 这条产业链存在多久了?
小李是2018年入行的,当然也是其他师傅带着他。其实,早在2017年的“3.15”晚会上,主持人就现场用一张照片破解了人脸识别软件,虽然第二天各大科技公司纷纷辟谣说人脸识别认证绝对安全,但是事实上,这条黑产链条一直存在并且逐步在发展壮大,技术也一直在进步。
2017年的“315”晚会上,主持人用一张照片现场破解了人脸识别软件
黑产链条猖獗到什么地步呢?按照小李的说法,不论是什么文化,“只要不是傻子”,花几百块钱就能包教会。如果你不想学,给你做一张会做各种动作的照片最低只收5毛钱,卖一套软件只需要35块钱。
当然, 并不是所有的广告都是真实的,很多人交了钱之后,并没有学到东西,而学到东西的人到最后基本都和小李一个结局被抓获。所以,千万千万不要去搜索模仿。
此类黑产做的广告
02.我们的资金还安全吗?
有人也许会问,目前我们每天都在使用人脸识别功能,比如手机开锁、支付转账、注册软件,解封账号、额度提升等,如果这个技术存在漏洞,那么别人是不是可以解锁我的手机,或者进行支付转账操作呢?
理论上是可以的。但请放心,实际上出现的概率微乎其微。据小李讲,目前干他们这行的,主要针对一些可以反复操作、延时操作的应用场景,最多的就是注册软件、解封账号、额度提升等,小李曾经做过某类社交软件账号解冻、贷款额度提升以及开通购物商城店铺等几类业务。
嫌疑人手机中的广告图片
手机开锁、支付转账类的人脸识别场景,需要验证的维度多、给的时间短,成功率极低,他只是听说有人破解过,但从来没有实现过。所以,大家暂时可以不必担心资金的安全。万一被攻克了,那些厂家会第一时间理赔的,他们也怕出事。
但是也要给这些大公司提个醒:目前,大家耳熟能详的几家大公司都中过招(为了避免恐慌和其他嫌疑人效仿,这里不再点名),这些大公司的技术人员们,不要老觉得自己的技术多牛逼,如果你不持续迭代更新,这些漏洞很容易被攻克、利用!
央视二套《第一时间》曾做过一期栏目,里面有黑产从业者在聊天中曾表示主流的网站都可以过。这些言论的真假未经过验证(也可能是吹牛逼),但真的需要引起各大公司警惕。
03.我们该如何防护?
虽然资金安全能够保证,但是如果别人拿着我们的身份注册一些账号,也会后患无穷。比如开头说的,如果有人帮你在婚恋交友网站注册账号,还去骗钱骗色,那很可能会被列为“嫌疑人”,有人用你的身份注册了政府机构网站的账号,办理了相关业务,那么你就办不了了。
但悲哀的是,因为公民信息贩卖的黑产链条非常猖獗,很多时候我们是无法主动防护的,唯一能做的:就是不要随便在不明软件上泄露自己的大头照信息。比如在某些娱乐性质的APP上上传图片以便生成相应搞笑图像,在某些不明软件上上传手持身份证照片等。这样,才能尽可能减少照片被利用的风险。
特别说明
1.人脸识别技术总体来说是安全的,目前掌握到的黑产,主要利用的是特殊应用场景下(远程、可多次试验)人脸识别技术的相关漏洞,文章标题中的“人脸识别技术被攻克”专指“小李”们掌握的这些“过人脸”技术。
2.央视等新闻媒体已经报道过该类黑产的产业链。为避免教唆,文中还是隐去了软件名字等关键信息。再次敬告,不要尝试搜索学习,结果只有两个:要么被骗,要么被抓。
3.除非特别声明,文中照片、视频均来自二弟现场拍摄,使用请先取得授权,并注明来源终结诈骗公众号。
特别鸣谢:深圳市公安局龙岗分局提供行动支持
腾讯守护者计划团队提供技术解读
终结诈骗 原创出品