起底人臉識別黑產:APP人臉認證可作假,花百元探探上可變臉明星

黑產從業者已經盯上人臉識別這塊「新蛋糕」，人臉「代認證」也成為一條黑產鏈條，並呈團隊化發展。黑產從業者可將照片製成MP4格式的短視頻來繞過人臉識別服務商的認證系統。他們用這個技術來做拉新項目賺取推廣佣金，一天賺幾百不成問題。

張嘴-搖頭-張嘴-點頭，11月17日晚，剛剛被製作完成的視頻在電腦屏幕上播放。視頻是用一位陌生女性的照片做成的，將被用來在APP上實名認證。而這位女性並不知情。

「甚至可以在本人不知情的情況下註冊公司、擼貸。」黑產從業者稱。

新京報記者調查發現，黑產從業者已經盯上人臉識別這塊「新蛋糕」。目前，不少APP應用均上線人臉認證這一功能，包括社交軟體探探。人臉「代認證」也成為一條黑產鏈條，並呈團隊化發展。通過一名黑產從業者，記者在探探上成功通過人臉認證並「變臉」某知名藝人。還有黑產從業者將照片製成MP4格式的短視頻來繞過人臉識別服務商的認證系統。而這項繞過人臉識別的黑客技術正在網上被售賣，售價888元。

在其背後，更是牽出個人信息販賣黑產。據黑產人士稱，認證通常需要姓名、身份證號和大頭照。黑產業內通常將以上資料統稱為「料」，販賣人士則被稱為「料商」。據透露，每條料子價位在1元左右。黑產人士用這個技術來做拉新項目賺取推廣佣金。「一天幾百不成問題。」

律師表示，越來越多人意識到人臉識別可能帶來的風險問題，期望國家司法層面對該問題給予明確。

黑產代做人臉認證：記者在探探變臉知名藝人

「在軟體上看著挺好的，聊得也不錯，但是見面後卻發現和照片根本不一樣。」使用探探一年的用戶羅婷（化名）告訴新京報記者，她在線下約見的過程中，曾遇到過多位「照騙」。探探用戶用「照騙」來稱呼那些圖片和真人不匹配的用戶。

探探是一款知名陌生人社交軟體，用戶通過觀看照片、信息等資料，滑動手指來進行配對。左劃不喜歡，右滑喜歡。按規則，當兩位用戶同時喜歡對方時方可進行聊天。在探探進行真人認證通常需要兩步。首先，上傳的圖片要通過審核，之後用戶通過人臉認證才可成功。認證之後探探頭像下方會出現一個藍V的標誌。

記者發現，網上有多位店家表示可以提供學生認證、藍V認證等多項服務。

11月10日，新京報記者在某電商平臺搜索關鍵詞「人臉認證」後，發現首頁一款商品宣稱可以通過「探探人臉認證」。記者在淘網上與之取得聯繫後，為規避平臺監管，對方發來了她的微信號並要求記者添加。

「不做個藍V頭像你讓大傢伙兒怎麼信你？」為了吸引客源，賣家程曉彤（化名）在朋友圈寫道。

「男號還是女號？」程曉彤問。據其介紹，只需80元便可以通過探探的真人認證。交易步驟並不複雜，除付款外，記者需要將想使用的人臉圖片上傳探探並通過平臺初步審核，還需要向她提供帳號和密碼，她就可以進行認證操作。

程曉彤表示，代做認證對帳號註冊時間也有限制，「滿月才能做。」也就是，帳號需註冊後三十天方可被操作。「有封號風險哦，封號概率大概為百分之二十。」程曉彤解釋，風險來源「主要是換機登錄有風險」。

「我們有專門的技術負責這塊兒。」另一名做探探人臉認證的商家告訴新京報記者，並且要價100元。與程曉彤不同，該商家強調其「0風險」。

11月17日上午，新京報記者暗訪時在網絡隨機下載了藝人文章的一張照片，將其上傳至探探。不久，第一重審核通過。下午2點，記者付款並將登錄驗證碼發送給上述商家後，一臺位於大連的設備登錄了記者的探探帳號。幾分鐘後，對方發來信息，「好了，你可以登錄帳號看了。」此時，記者發現探探帳號頭像已經成為了藝人文章，並且通過了探探的真實頭像認證。

事實上，類似承諾可以通過人臉認證的服務，並非只存在於一個電商平臺，涉及的APP也並非只有探探。

在另一網絡平臺上，新京報記者通過關鍵詞搜索，瀏覽到多個與此相關的商品。其中一則商品資料寫道：「58同城人臉認證」，並註明「發帖更加穩定」。另一則商品說明表示，除了可以通過個人人臉認證外，還可以通過企業認證，業務範圍包括58同城、趕集網、個人招聘。該款寶貝售價為9元。

發布該則廣告的用戶方註冊平臺只有28天。截至11月10日，該款商品瀏覽量為104，有22人表示想要。因其在商品圖片上標註了微信號，所以該款商品成交量顯示為0。

一位接近黑產的人士向新京報記者表示，因基於軟體具有龐大的使用量、用戶具有社交需求，陌生人社交軟體一直是電信詐騙、非法引流等諸多黑色產業鏈的重要上遊之一。此前新京報曾報導，石家莊的一位探探用戶劉茜（化名）發現自己的照片被用於網絡招嫖。

過APP人臉認證技術被販賣，宣稱可擼貸、註冊公司

經新京報記者調查，目前不僅有代過人臉認證的黑產，網上甚至還有出售「過人臉認證」方法的。

一則用戶發布的廣告顯示：出售「過APP人臉認證」的方法，支持多款APP，並且包教會。據顯示，該款商品售價888元。「微信直接轉。」

為了證明該信息的真實性，廣告發布者Abby給新京報記者發送來一段小視頻，視頻內容為一位男性正在使用其出售的技術通過某軟體的人臉識別認證。當軟體提示請眨下眼或者左右搖頭時，屏幕顯示為一片空白。不過，這並未持續多久，幾秒之後，手機屏幕彈出的「溫馨提示」對話框顯示認證成功。屏幕顯示，該段視頻的拍攝時間為今年的11月7日下午。

「這就過了，我們的技術沒問題的。」視頻鏡頭轉向手機旁的電腦，這位手機顯示的被實名認證的男子姓名、身份證號和照片出現在屏幕上。

為深入調查，新京報記者以888元的價格購買了這套「技術」。付款後，Abby將技術老師劉濤（化名）介紹給了記者。「他（劉濤）會給你遠程操作，只要不是傻子包會。」Abby稱。

劉濤提供了兩份動作腳本，分別為眨眼-搖頭-眨眼-點頭和張嘴-搖頭-張嘴-點頭。在軟體中導入人臉照片並標記眉峰、眼角等人臉關鍵點後，本來一張二維的人臉圖片便可按腳本做出眨眼、點頭、搖頭、張嘴的動作。其原理為將一張人臉照片通過軟體套在動作腳本上並製成MP4格式的視頻，從而繞過服務商的人臉識別認證。

「說好聽點是繞過人臉識別，說難聽點我們就是（拿照片）做一個虛擬視頻。通過刷機劫持手機前置攝像頭，強行將其改為已經做好的MP4（一種視頻格式）。」劉濤透露，要用他的方法繞過人臉識別，需要使用與其製作的刷機軟體相匹配的手機。

劉濤表示，很多公司會讓第三方提供人臉識別服務，「但是，很多第三方人臉識別服務商做得並不好，很輕鬆就可以繞過。」「甚至可以在本人不知情的情況下註冊公司、擼貸（用她的身份貸款）。」

接單註冊、認證帳號，背後暗藏信息販賣

劉濤透露，他的客戶主要是購買技術用來做帳號註冊、認證。

「通過這種技術，做資金盤的拉新項目的話，一天幾百塊錢不成問題。」劉濤說，「花費時間也不會太長，幾分鐘就一單。」他口中的拉新項目，即通過實名認證APP獲取酬金。記者進一步追問獲悉，一單利潤大概在十幾元。

「接快眼推廣11元」，「趣步推廣12元」……在一個「快眼交流群」中，記者看到近乎刷屏的此類廣告，涉及趣步、鏈信、快眼等多個平臺。「『學員』這兩天操作快眼比較多。」劉濤表示，「他們（學員）會買別人的身份證資料，然後接單子來做。另外，QQ群貼吧內也有放單的、賣料的。」

該黑產從業者所謂的「料」，格式一般為身份證件照圖片文件，文件名稱為身份證號和姓名。11月17日上午，新京報記者在某貼吧看到，多條帖子含此類「賣料」的信息。

「我這邊手持的、大頭的都有。」秦磊（化名）發布的帖子顯示，帖中附有聯繫方式。在業內，秦磊被稱為「料商」。

因APP認證規則不同，所需要的「料」也不盡相同。「快眼所用到的料是身份證號、姓名和對應的大頭照。」劉濤說，「這也是大部分APP需要的料。」

以快眼為例，發布此類廣告的廣告主通常會在廣告中寫明每單酬金，並將自己的邀請碼給發布出來，黑產從業者需要輸入上述邀請碼並認證成功後，截屏發送給廣告主，廣告主便會將錢款發送到這些黑產手中。

秦磊告訴記者，快眼一單正常價11元，除去認證費1.5元和料子2.5元，一單能掙7元。「十單就能掙70元。」不過，在劉濤看來，秦磊賣的料並不算便宜，每條「高達2.5元」。「我們一般買的料都是一塊左右每條，最多不會超過一塊五。」

「現在，至少有上百個APP可以用這個方法繞過。」劉濤說。隨人臉識別概念的不斷走紅，劉濤也變得忙碌起來，一天要向十幾個「徒弟」傳授或者指導「技術」。據劉濤透露，其一個月的收入在七萬至八萬之間。

重要的是，這一黑產鏈條已呈現團隊化運營。「我們現在有一個公司，還有一個陝西的（人）在給我們招人。」

11月17日，新京報記者成功用一位女性用戶的身份證號、姓名和照片繞過快眼的人臉認證。「快眼認證是最好通過的。」劉濤表示，「我們甚至可以通過這些信息在別人不知道的情況下註冊公司。」

不少APP拉新項目從業者認為，用「料」來做項目「十分可恥」。他們將這些黑產從業者稱之為「刷子」。在一些群中，如果有人表示自己是刷子之後會被群主直接踢出。

北京盈科（上海）律師事務所高級合伙人陳曉薇認為，被買賣的「料」包括了個人的姓名、身份證號和大頭照，能夠精準鎖定到個人，屬於《刑法》規定的公民個人信息。陳曉薇強調，「料商」可能涉嫌侵犯公民個人信息罪。

「在目前黑產呈現快速擴張態勢的背景下，刑法對此行為的規範明顯較弱。不管是司法解釋，還是立法層面，均應引起重視，儘快對非法提供人臉認證行為做出更為嚴格的法律規定。」陳曉薇向新京報記者表示。

用更高級算法防黑產「對人臉識別不可濫用」

11月18日，一名不願具名的人臉驗證安全專家對記者表示，目前許多人臉驗證攝像頭會採用更為高級的算法來防止黑產的破解。如有攝像頭會專門看人臉深度的位置，一些前置攝像頭會突然放大一下（亮度）來刺激瞳孔收縮，以此來確認通過驗證的是一個活人，這樣那些採用3D模擬的假人臉就無法通過了。

而對於採用導入事先編輯好的視頻來欺騙攝像頭人臉驗證的破解方式，該名專家表示，這種方式其實也已經「落伍」了。「以前人臉驗證會要求人在攝像頭前做出動作，一般有四組一共36個動作，這樣事先拍攝好的視頻可以嘗試多次，以三十六分之一的機率通過驗證。對於這種破解方式，只要採取更高級的算法就可以防禦，在黑產埠，目前最新的手法是黑客直接黑掉攝像頭，因為視頻採集人臉圖像時，攝像頭到伺服器中間不一定安全，可能有人會竊取流量，最後達到破解的目的，這更加難以防禦。」

安恆信息安全研究院院長吳卓群對記者表示，對於照片破解人臉識別的問題，其實是可以通過改進傳感器去解決的。「比如採用兩個攝像頭，一個攝像頭去識別是否為真正的人臉，如根據人臉皮膚反光、立體凹凸情況、動態行為等去判斷臉的真假，第二個攝像頭再去判斷是不是被驗證人的臉。」

據了解，目前人臉識別技術主要應用在金融和安防兩大B端領域，諸如機場安檢、學校等。備受青睞之下，安全和風險一直在對壘。人臉識別驗證背後，對隱私洩露的擔憂和「被繞過」的風險一直是外界的憂慮。

北京市京師（上海）律師事務所徐延軒認為，人臉識別在國內正大面積廣泛推廣，但與之相反的是國外比如美國舊金山市對人臉技術發出了禁令，歐盟也計劃採取人臉識別數據使用的立法。隨著個人隱私意識的提高，越來越多人意識到人臉識別可能帶來的風險問題，期望國家司法層面對該問題給予明確。

「人臉識別數據屬於個人信息的範疇。對人臉識別不可濫用，在追求技術發展過程中需要平衡對現有法律的尊重和個人信息的保護。必須時，也應該出臺相應法律法規規範該技術的應用。」徐延軒告訴新京報記者。