如果有一天,你想在某APP上註冊一個帳號,卻發現自己已經「被註冊」了,姓名、身份證號是自己的,但自己卻一點不知情,而且你在這個APP上本該享有的權益全部被用完了。
如果有一天,你莫名成為了某婚戀/交友/購物網站的實名認證客戶,而且這個「自己」大肆從事「殺豬盤」或者其他違法犯罪活動,直到警方找上門,你才發現自己竟然成為了「犯罪嫌疑人」。
如果出現上述情況,請不要覺得不可思議。雖然說諸多科技公司一再宣傳人臉技術識別技術的安全性,但是近期發生的多個案例表明,人臉識別技術的某些漏洞已經被攻破並被大肆應用。近期,警方抓獲了一個人臉識別認證黑產團夥,下面就為您客觀、真實揭秘這一犯罪過程,並評估風險,提出相關建議。
案件的起因很簡單。一名群眾準備在某機構網站辦理業務時,忽然發現自己早已經是該網站的註冊用戶。而按照這個網站的要求,必須要輸入姓名、身份證號、手機號、驗證碼,並且要進行人臉識別認證才可以註冊。
在黑市上購買一個人的姓名、身份證號很容易,找個接碼平臺也可以解決手機號和驗證碼的問題,但是臉長在自己身上,加上人臉識別環節應該是當前最安全的認證方式了,但為什麼這名群眾在不知情的情況下,還是被實名註冊了呢?
警方循線追蹤,經過艱苦努力抓獲了這個黑產鏈條的多名嫌疑人。為了解開謎團,辦案民警決定對關鍵的人臉認證環節進行偵查實驗,二弟得到允許後,到場見證了整個實驗過程。
一大早,二弟和辦案民警一起先去看守所把嫌疑人小李(化名)提了出來,並找出這個案件所有的檔案、作案工具,來到一間會議室。小李是案件中的「靈魂人物」,屬於那種可以傳授別人技術的「教練」、「師傅」,為了讓他知無不言、言無不盡,二弟給他倒了一杯溫開水。
嫌疑人小李及案件檔案、作案工具
(還有一臺筆記本電腦,沒有拍攝到)
嫌疑人經過這幾天的反省,基本上已經認識到自己的錯誤,雖然玫瑰金「手鐲」限制了他的自由,但是整個人情緒平穩,思路清晰,非常配合。在簡單的溝通交流後,小李開始給我們演練整個人臉識別認證的過程。
第一步:「查大頭」、「買大頭」
很多人都體驗過人臉識別認證,只要配合軟體要求作出點頭、搖頭、眨眼、張嘴等動作,確認你就是你之後,就會通過認證。但是小李他們既然做的是黑產,自然不會有人專門配合(甚至根本不知情),所以他們要用技術手段模擬出這些動作,而他們所需要的,僅僅是一張照片就可以了。
小李招收徒弟時打出的廣告,也特別強調了這一點——只需一張照片,就可以實現人臉識別認證秒過,而且還可以按照要求做出身份證正反面、手持身份證等全套資料,進而實現註冊帳號、解封帳號、額度提升、支付轉帳等各類業務。
人臉識別認證黑產發布的廣告
小李他們把找照片的過程叫做「查大頭」或者「買大頭」,「大頭」就是「大頭照」的意思。
所謂「查大頭」,就是知道了一個人的姓名、身份證號,想用他的身份註冊或辦理業務,就會找人去查大頭照。在這個案件中,某銀行信用卡發行部的人就參與了「大頭照」的查詢販賣。因為他們的系統有個功能,只要輸入姓名和身份證號就可以彈出身份證照片,以便業務員審核材料,但是這個業務員卻利用職務之便把這些照片拷貝下來,賣給「小李」他們。可惡的內鬼!
而所謂「買大頭」,就更直接粗暴了,那就是直接購買「姓名+身份證號+頭像照片」等全套材料。這類材料在黑市也是應有盡有,比如有些人在不正規的小額貸款公司貸款時,一般都會上傳自己的身份證正反面以及手持身份證照片,這些正是小李需要的資料。
小李電腦上保存的「大頭照」資料。此大頭照為合成照片,並已做技術處理,不代表任何一個人。
第二步:活起來、動起來
有了「大頭照」和照片主人的姓名、身份證號之後,下面要做的就是讓照片「活起來」,並且要像真人一樣「動起來」,做出相應的動作。小李打開筆記本電腦,嫻熟地進行操作。
他首先使用A軟體,按照自己的經驗對照片進行調色,然後將調色後的照片導入到B軟體,開始了下面的3D建模與渲染操作。
一番勾選、渲染之後,照片仿佛被注入了靈魂,開始「活起來」了,小李說,下面還要給照片注入「真氣」,讓他動起來,這就需要各類腳本的加持。
於是,他打開了電腦上保存的腳本庫,給我們展示了他的技術實力。
比如「搖頭」
比如「張嘴」
比如「眨眼」
當然,通過「腳本」的加持,還可以讓渲染過的照片做出各種動作,基本囊括目前人臉識別的主流動作。到這一步,已經完成了90%的工作量。
第三步:騙過攝像頭
行百裡者,半於九十。視頻識別認證一般要求人對著攝像頭做動作,在沒有真人的情況下,如何讓攝像頭相信他面前就站著一個真人,就特別關鍵。
有人說,可以把攝像頭對準電腦屏幕,再點擊播放那段做好的視頻不就行了。這個方法確實簡單,但卻行不通,因為大家都有這個常識,通過攝像頭去拍攝電腦屏幕時,會有雪花、條紋等,非常不清晰,騙不過攝像頭。這是因為手機攝像頭傳感器的像素陣列的空間頻率和電腦屏幕像素網格不同,會因空間混疊幹擾而出現「莫爾條紋」。
「莫爾條紋」示意圖
那怎麼辦?小李他們想出了一個更直接的辦法,直接「劫持」攝像頭:把做好的視頻事先保存到一個經過特殊處理的手機上,然後通過C軟體將視頻導入,這樣,在視頻認證環節需要人臉驗證時,會彈出「選擇媒體」的模塊,而不是直接啟動攝像頭。
經過特殊處理的手機,在連識別認證環節會出現此界面,而不是直接啟動攝像頭
通過這樣的操作,軟體會把這些導入的視頻認為是攝像頭拍攝的,如果所做出的動作符合要求,就會認為「這張照片」是真的人、可以信賴的人,進而通過認證。當然了,因為很多軟體的要求的動作都是隨機出現的,有的要求先眨眼再搖頭,有的要求先點頭再搖頭再眨眼,小李他們為了規避這一點,就會事先錄製不同組合的視頻,一個個去匹配。
小李通過這幾步操作,當著我們的面註冊了幾個網站和APP 的會員,看得人目瞪口呆。當然,二弟是不願意放過這千載難逢的機會的,我又和小李深度聊了一下關於這類黑產鏈條的內幕,也解答一下此刻可能縈繞在你心頭的疑問。
01 這條產業鏈存在多久了?
小李是2018年入行的,當然也是其他師傅帶著他。其實,早在2017年的「3.15」晚會上,主持人就現場用一張照片破解了人臉識別軟體,雖然第二天各大科技公司紛紛闢謠說人臉識別認證絕對安全,但是事實上,這條黑產鏈條一直存在並且逐步在發展壯大,技術也一直在進步。
2017年的「315」晚會上,主持人用一張照片現場破解了人臉識別軟體
黑產鏈條猖獗到什麼地步呢?按照小李的說法,不論是什麼文化,「只要不是傻子」,花幾百塊錢就能包教會。如果你不想學,給你做一張會做各種動作的照片最低只收5毛錢,賣一套軟體只需要35塊錢。
當然, 並不是所有的廣告都是真實的,很多人交了錢之後,並沒有學到東西,而學到東西的人到最後基本都和小李一個結局——被抓獲。所以,千萬千萬不要去搜索模仿。
此類黑產做的廣告
02.我們的資金還安全嗎?
有人也許會問,目前我們每天都在使用人臉識別功能,比如手機開鎖、支付轉帳、註冊軟體,解封帳號、額度提升等,如果這個技術存在漏洞,那麼別人是不是可以解鎖我的手機,或者進行支付轉帳操作呢?
理論上是可以的。但請放心,實際上出現的概率微乎其微。據小李講,目前幹他們這行的,主要針對一些可以反覆操作、延時操作的應用場景,最多的就是註冊軟體、解封帳號、額度提升等,小李曾經做過某類社交軟體帳號解凍、貸款額度提升以及開通購物商城店鋪等幾類業務。
嫌疑人手機中的廣告圖片
手機開鎖、支付轉帳類的人臉識別場景,需要驗證的維度多、給的時間短,成功率極低,他只是聽說有人破解過,但從來沒有實現過。所以,大家暫時可以不必擔心資金的安全。
但是也要給這些大公司提個醒:目前,大家耳熟能詳的幾家大公司都中過招(為了避免恐慌和其他嫌疑人效仿,這裡不再點名),這些大公司的技術人員們,不要老覺得自己的技術多牛逼,如果你不持續迭代更新,這些漏洞很容易被攻克、利用!
央視二套《第一時間》曾做過一期欄目,裡面有黑產從業者在聊天中曾表示主流的網站都可以過。這些言論的真假未經過驗證(也可能是吹牛逼),但真的需要引起各大公司警惕。
03.我們該如何防護?
雖然資金安全能夠保證,但是如果別人拿著我們的身份註冊一些帳號,也會後患無窮。比如開頭說的,如果有人幫你在婚戀交友網站註冊帳號,還去騙錢騙色,那很可能會被列為「嫌疑人」,有人用你的身份註冊了政府機構網站的帳號,辦理了相關業務,那麼你就辦不了了。
但悲哀的是,因為公民信息販賣的黑產鏈條非常猖獗,很多時候我們是無法主動防護的,唯一能做的:就是不要隨便在不明軟體上洩露自己的大頭照信息。比如在某些娛樂性質的APP上上傳圖片以便生成相應搞笑圖像,在某些不明軟體上上傳手持身份證照片等。這樣,才能儘可能減少照片被利用的風險。
特別說明
1.人臉識別技術總體來說是安全的,目前掌握到的黑產,主要利用的是特殊應用場景下(遠程、可多次試驗)人臉識別技術的相關漏洞,文章標題中的「人臉識別技術被攻克」專指「小李」們掌握的這些「過人臉」技術。
2.央視等新聞媒體已經報導過該類黑產的產業鏈。為避免教唆,文中還是隱去了軟體名字等關鍵信息。再次敬告,不要嘗試搜索學習,結果只有兩個:要麼被騙,要麼被抓。
3.除非特別聲明,文中照片、視頻均來自二弟現場拍攝,使用請先取得授權,並註明來源終結詐騙公眾號。
來源:邯鄲市反電信網絡詐騙中心