來源:創事記
歡迎關注「創事記」微信訂閱號:sinachuangshiji
「哪裡有人臉認證的需求,哪裡就會有生意。」
「代人臉認證」之所以能夠被定義為「黑產」,在於無論是上遊服務需求方,還是中遊的技術服務商,亦或是下遊的個人信息提供方,都遊走在灰色地帶。
而正是基於這條完整而縝密的供需產業鏈條,才讓月賺3萬的「代認證」工作生意興隆,並且師徒相承燈火旺盛;也讓加設了人工智慧和人臉認證的安全應用門檻形同虛設。
文/力琴 四月 編輯/四月
來源:機器之能(ID:almosthuman2017)
凌晨兩點,正是酣睡的好時間,昏暗的燈光下只剩下羅江快速敲打鍵盤的聲音。因行業的特殊性,羅江通常是夜裡上班,白天休息,此刻他精力充沛。
入行一年半,羅江起初靠傳授「代人臉認證」技術謀生,摸爬滾打積累熟人客戶,現在已經建立起一個小型工作室。
行情好的時候就做業務,行情不好就開課接生。
「只要技術好(代人臉認證),投入成本低,利潤可觀。行情好的時候,一個月賺3萬不成問題。」羅江說道。
他向機器之心展示了自己在2019年10月和11月的帳單,收入分別是2.63萬元以及3.22萬元。
有人的地方就有江湖,但這個江湖不太能見著光。這幾年,人臉識別認證應用在網際網路市場得到大規模的應用與推廣,已經形成一條完整的產業鏈,而通過幫助他人完成人臉識別認證,並從中牟利的黑產也應運而生。
在這條完整的產業鏈上:
處於上遊的需求人群,利用實名認證帳戶變現(薅羊毛)、推廣、倒賣實名帳戶;
中遊的技術服務商則以專門「代人臉識別認證」謀生,多以個體戶或者小型工作室形式運作,提供過人臉認證、註冊等服務,以及售賣過人臉認證軟體等;
而在下遊則是各種身份證、人臉照片、電話卡等身份信息的提供方。
在此次調查中,機器之心圍繞中遊進行展開,其營利模式包括兩類,一是通過多次代過人臉認證牟利;二是單次售賣「代人臉認證」(圈子裡也稱「過人臉認證」)軟體及方法。
為深入人臉識別認證黑產,我們潛入了一個名為「測試樣本」的社群。
每天,社群都被各種「賣料」、「過某App人臉認證」、「提供過臉技術」消息刷屏,這些群通常處於滿員狀態,群裡的討論異常熱鬧。
跟他們打交道,得懂「行話」,否則就會吃一鼻子灰。目前,一些平臺對於倒買倒賣的非法交易開始打壓,這些「賣料」和「過證」人頗為謹慎。
1
支付類認證需求旺盛
「哪裡有人臉認證的需求,哪裡就有生意。」
有需求就有市場。目前很多類型的App都會默認開啟「人臉認證」功能,以驗明使用者的真實身份。
透過各類賣家在社群散發的「過人臉認證」廣告,涉及的App類型包括幾大類:支付型、社交型、婚戀以及生活服務型。
有從業者告訴機器之心,很多買家對支付類的過人臉認證需求較為旺盛,這也成為他們最賺錢的「業務」。
支付類App以支付寶為代表。在支付寶應用中,通常涉及到推廣拉新、轉帳支付等都必須為真實用戶,需要首先進行身份驗證。所需信息包括姓名、身份證號碼,身份證正反面照片,掃臉認證身份,以及最後綁定銀行卡。
從業者羅江表示,現有專門針對支付寶帳號售賣和收號的賣家,大多數都有過人臉認證的需求。帳號分白號、V2、V3,等級不同,價格不同。
業內把只用手機號註冊的號稱之為白號;
通過人臉認證,綁定身份證的帳號為V2;
通過人臉認證,綁定身份證以及銀行卡的帳號為V3。
羅江表示,一個已經綁定身份的支付寶V2帳號,最多可賣到70元,V3帳號最高可賣幾百元。
至於購買支付寶帳號客戶的需求,多數用於參與支付寶拉新、薅羊毛、提升螞蟻花唄額度等。此外,機器之心還發現有部分買家涉及灰色金融交易,包括用非本人身份進行貸款和盜刷錢財等。
談到這方便,社群內回應很少;如果私信直接詢問盜刷和貸款,可能被拉黑。
羅江表示,「幹違法的事情不長久,如果你想這樣做,別人都不搭理你。」
但羅江並不認為自己的生意有任何違法違規的嫌疑,他提供的支付寶過人臉認證的方案,只是認證通過後的買家如何操作,羅江認為已經與他無關,便可撇清責任。
基於支付寶需要活體認證的需求,羅江通過單個生成的眨眼、搖頭等視頻來模擬活體,幫助用戶「騙過」應用,以此收費。
「一個視頻最低20元,一天就可以賣出幾百份」,羅江說道。按此計算,他的一天收入可到數千元。
不過,這並非是一項長久生意。
「最近受到支付寶升級、系統嚴查等影響,支付寶過臉的通過率低了很多。」羅江說道,群內頂著「支付寶」打廣告的人也漸漸少了。
2
黑產還盯上了社交App
過臉認證蛋糕很大,就連社交類App的過人臉認證也被「黑產」盯上。
陌生人社交行業從2011年開始,先是誕生諸如陌陌、探探等平臺級的陌生人社交產品。多數陌生人社交App基於「LBS定位+看臉」模式運作,機器將通過人臉識別判定所傳照片是否為真人頭像。
用戶上傳照片後,還需要通過人臉識別進行真人檢驗,檢驗成功後才擁有配對選擇的權利。由於平臺缺乏監管,黑灰產無孔不入,詐騙、涉黃等事件時常發生。
為規範網際網路婚戀交友行業經營行為,今年10月24日,探探、陌陌、百合佳緣、有緣網共同發起《網際網路婚戀交友行業自律公約》。
《公約》對「用戶實名認證」提出了明確的限制,要求通過動態驗證碼、人臉識別、人工審核等方式完成實名認證,而未經實名認證的用戶則無法進行發帖、評論等交互服務。
新京報曾曝光探探的人臉認證問題,該名記者將自己的頭像順利地認證為明星照片。探探是一款知名陌生人社交軟體,用戶通過觀看照片、信息等資料,滑動手指來進行配對。
新京報記者用藝人頭像通過探探的真實頭像認證
在探探進行真人認證通常需要兩步。首先,上傳的圖片要通過審核,之後用戶通過人臉認證才可成功。認證之後探探頭像下方會出現一個藍V的標誌。
因為陌生人社交軟體的特殊屬性,相關平臺一直是電信詐騙、非法引流等諸多黑色產業鏈的重要上遊之一,此前,石家莊的一位探探用戶劉茜(化名)就發現自己的照片被用於網絡招嫖。
而盜用他人身份認證漏洞的存在則讓詐騙犯們更加輕鬆地繞過AI技術的安全關卡。
「代過各大網站,隨機動作,人臉驗證,全能選手,需要的私聊。」在一個近500人滿員內部社群裡,一位暱稱為「五八網絡科技工作室」的賣家不停吆喝著。
他稱其可以通過「過App人臉認證」技術,破解多款App的動態人臉認證,幫助買家完成實名認證,其中包括58同城、陌陌、世紀佳緣、伊對等。
各個平臺人臉代認證的價格不一樣,58同城是40元,陌陌是80元、世紀佳緣是130元、伊對160元。
機器之心聯繫到賣家,親自「體驗」了一回「代認證服務」。
正常情況下,通過一個App的實名認證需要通過三重認證手續:手機號驗證、身份證認證和人臉認證。
第一步,只需要購買可查收手機驗證碼的手機卡就可以完成,單價在五到十幾元不等。
後續兩道關卡則需要買「料」,即指買入身份證正反面以及半身照片,料的成本較低,通常不超過五元。
我們以三元的單價購入了十套身份證信息,每套內含高清身份證正反面,以及一張半身照。
賣家只要求我們提供手機號和驗證碼,不到五分鐘,就完成了一次「非本人身份」的「實名認證」。在我們的帳號下,已經成功了綁定他人的身份證帳號和姓名。
58同城帳號被「代人臉認證」
在58同城,完成人臉認證的用戶可擁有發布、網鄰通、金融產品以及商業推廣的使用特權。
這位賣家表示,目前在對接一家公司的過人臉需求。
「一個公司,幾百人,一個人5個帳戶,都要做。」暱稱為「五八網絡科技工作室」說道,「公司客戶通常就是大生意了。」
3
800元!人臉過證技術包教會
「過人臉」認證教學演示過程
在內部社群裡,羅江直接把業務貼在了暱稱欄——「過各種人臉,出優質視頻」。
羅江稱:「破解58人臉認證,這套『過App人臉認證技術』僅需800元,包教會。」
我們以「求學」為由深入了解了這項神秘的「黑科技」。
所謂的「過人臉認證技術」並不僅指單個技術,而是由多個軟硬體方案組合而成。據羅江介紹,可提供電腦版和手機版兩套方案:
逍遙模擬器破解版、CrazyTalk、三色工具箱、虛擬攝像頭,三者構成電腦版的配置;如果要在手機端使用,則需配備一臺小米4或者OPPOR9、華為,外加刷機包。
通過他發來的演示視頻,我們看到網盤裡的文件夾有動態製作工具軟體包——CrazyTalkv6.1、三色工具箱。
CrazyTalk是一款CG動畫製作專業軟體,由軟體公司Reallusion推出,目前已經迭代到第八代,主要用於面部動畫製作,該軟體使用語音和文本對面部圖像進行生動的動畫處理。
在羅江演示的CrazyTalk文件夾裡,有多個搖頭、抬頭、眨眼等ctildle格式的腳本,其中文件名涉及聯通、陌陌、58同城等平臺。
「現在只教58同城的過人臉方法,很簡單」,羅江說道。「只需要提供身份證大頭照或者手持身份證照片即可。至於其他平臺的『刷臉』都可以自己去揣摩。」
在這個小型的過認證工作室裡,羅江主要負責拉業務,教學的任務則由他的徒弟「小點」負責。
通過QQ遠程操控,點點在我們的電腦上演示製作流程。
在Crazytalk軟體中導入人臉照片,一點一點地標記眉峰、眼角等人臉關鍵點。他還時不時提醒,圈定的位置要儘量貼合五官的輪廓,否則導出視頻後,就會容易被看出破綻。
整套素材的製作原理在於將人臉照片通過軟體套在動作腳本上,便可按腳本做出眨眼、點頭、搖頭、張嘴的動作,隨後經過格式工廠導出視頻格式。
最後通過將製作好的「活體視頻」投放在需要驗證的手機或者電腦攝像頭前端,完成驗證。
早些時候,《法治周末》曾披露破解某支付類App動態人臉識別的全操作流程。
準備條件包括:持有「高質量料子」(一手高清靜態正面人像大頭照、身份證正反面照)、「VR過人臉技術7.0刷機包」和一部「小米4」手機。
法治周末記者在賣家QQ遠程的協助下,成功把製作好的「眨眼」人像投放在電腦端。於偉力攝
在手機端製作活體視頻的要義在於,先通過刷機,下載臉部動畫製作工具等流程,順利製作出了活體動態人像視頻。與此同時,後臺系統可以自動抓取腳本,讀取文件,App動態人臉識別匹配成功。
小點表示,一般教人學習過人臉,只會教到如何標記人像,導入腳本即可,方法操作簡單。通常涉及如何製作腳本。
談及原因,小點激動地說道,「那我豈不是沒活路了?」
腳本成為破解過人臉認證的核心,不同App的過人臉識別腳本也有所不同。與小點類似的「過證技術老師們」靠著核心腳本立足行業,並不會輕易把鐵飯碗交給別人。
4
成立工作室,帶徒弟,規模化運營
在人臉識別黑產中,中遊參與者扮演著重要的角色。他們是專門從事人臉識別認證的人群,多數以工作室形式運作,提供過人臉認證、註冊等服務以及傳授過人臉認證技術等。
據羅江介紹,大多數工作室以個體為單位,參與運營的人員較少。多數人學會「過人臉認證技術」後,積累一定的客戶資源,便自己單幹掙錢。
目前,羅江的工作室只有兩人,與徒弟一同運作。他主要負責拉業務,接收有意學習過臉技術的人、同時兼做自己的過人臉認證業務。而徒弟小點則主要負責售後、教人學習技術以及兼作自己的業務。
小點的過臉認證技術由羅江傳授。他入行快一年,每月可掙2萬。每天晚上,羅江和小點都會按時上線,通過遠程指導教人「過人臉認證」。
「我只教人如何使用技術,至於他人要用技術去做什麼,我們一概不管」。
羅江目前帶過的徒弟不下20人,以前是給他打下手做業務。現在手下徒弟憑著技術和熟人人脈大多都可以單槍匹馬闖「江湖」。
對於從事人臉識別認證黑產的工作室而言,如果要保證業務經營正常,需要掌握兩項門道。一是擁有過硬的過人臉認證技術,製作動作腳本的能力;二是有靠譜的「料庫」,使用一手的身份證、上半身圖片等等。
行內經常強調採用高質量「料子」,即沒有重複使用的高清正面大頭照、手持身份證半身照和身份證正反照,採用這種料子通過動態人臉識別的成功率較高。
而反覆使用的「料子」,人臉認證系統會在識別時進行攔截,通過動態人臉識別的成功機率極低。
這個行業之所以能夠成為黑產,因為從上遊需求方到下遊的資源提供方,都在灰色地帶遊走。
羅江很清楚自己能做什麼,不能做什麼。他經常提醒帶過的徒弟,「管好自己就行,違法的事情幹不長久」。
作為老手,羅江也逐漸摸透這個行業的特點,能做的好項目斷斷續續,只要過人臉的需求一直存在,就沒有賺不到錢的生意。
「有些項目人家一升級,一升級就得等著,有時候還做不來。有的項目做不了也不用著急,那就等一等,做其他項目,能做就沒有絕對賺不到的錢。」
據前瞻產業研究院數據顯示,全球人臉識別技術行業市場規模為23.91億美元。整體來看,人臉識別技術行業市場規模不斷擴大,增速處於高速增長區間。
在國內,人臉識別技術正在大面積廣泛推廣,更多應用在安防和金融領域,例如學校、機場和銀行等。
我們尚不清楚現在開通人臉認證功能的App數量,但從這次調查來看,該類App已經十分廣泛,包括社交應用、支付類應用、婚戀網站、陌生人社交平臺、網約車等等。
而與此同時,國內對人臉識別技術使用涉及的隱私問題並不樂觀,尤其是對人臉識別數據及個人隱私信息的保護。目前我國並未針對人臉識別作出立法,對人臉識別數據的保護,也更多通過對公民信息和個人隱私的相關保護制度進行。
人臉識別技術在多行業、多終端應用的趨勢已經不可逆轉,但在不可估量的風險危機到來之前,落地應用這道門應該由誰來把守已經成為亟待解決的問題。
註:羅江和小點均為化名。