如果有一天,你想在某APP上注冊一個賬號��,卻發(fā)現(xiàn)自己已經(jīng)“被注冊”了����,姓名���、身份證號是自己的,但自己卻一點(diǎn)不知情����,而且你在這個APP上本該享有的權(quán)益全部被用完了。
如果有一天����,你莫名成為了某婚戀/交友/購物網(wǎng)站的實(shí)名認(rèn)證客戶,而且這個“自己”大肆從事“殺豬盤”或者其他違法犯罪活動�,直到警方找上門,你才發(fā)現(xiàn)自己竟然成為了“犯罪嫌疑人”�����。
如果出現(xiàn)上述情況��,請不要覺得不可思議���。雖然說諸多科技公司一再宣傳人臉技術(shù)識別技術(shù)的安全性�����,但是近期發(fā)生的多個案例表明���,人臉識別技術(shù)的某些漏洞已經(jīng)被攻破并被大肆應(yīng)用����。近期����,警方抓獲了一個人臉識別認(rèn)證黑產(chǎn)團(tuán)伙,終結(jié)詐騙團(tuán)隊(duì)有幸參與關(guān)鍵作案過程的還原工作���。下面二弟就為你客觀���、真實(shí)揭秘這一犯罪過程�����,并評估風(fēng)險(xiǎn)����,提出相關(guān)建議。
案件的起因很簡單�����。一名群眾準(zhǔn)備在某機(jī)構(gòu)網(wǎng)站辦理業(yè)務(wù)時,忽然發(fā)現(xiàn)自己早已經(jīng)是該網(wǎng)站的注冊用戶��。而按照這個網(wǎng)站的要求����,必須要輸入姓名、身份證號����、手機(jī)號、驗(yàn)證碼����,并且要進(jìn)行人臉識別認(rèn)證才可以注冊。
經(jīng)常關(guān)終結(jié)詐騙的粉絲都知道�����,在黑市上購買一個人的姓名�、身份證號很容易,找個接碼平臺也可以解決手機(jī)號和驗(yàn)證碼的問題�����,但是臉長在自己身上,加上人臉識別環(huán)節(jié)應(yīng)該是當(dāng)前最安全的認(rèn)證方式了���,但為什么這名群眾在不知情的情況下�,還是被實(shí)名注冊了呢�?
警方循線追蹤,經(jīng)過艱苦努力抓獲了這個黑產(chǎn)鏈條的多名嫌疑人�。為了解開謎團(tuán),辦案民警決定對關(guān)鍵的人臉認(rèn)證環(huán)節(jié)進(jìn)行偵查實(shí)驗(yàn)�����,二弟得到允許后����,到場見證了整個實(shí)驗(yàn)過程。
一大早�����,二弟和辦案民警一起先去看守所把嫌疑人小李(化名)提了出來�,并找出這個案件所有的檔案��、作案工具�����,來到一間會議室。小李是案件中的“靈魂人物”����,屬于那種可以傳授別人技術(shù)的“教練”、“師傅”���,為了讓他知無不言��、言無不盡�����,二弟給他倒了一杯溫開水���。
嫌疑人小李及案件檔案、作案工具
(還有一臺筆記本電腦��,沒有拍攝到)
嫌疑人經(jīng)過這幾天的反省����,基本上已經(jīng)認(rèn)識到自己的錯誤,雖然玫瑰金“手鐲”限制了他的自由��,但是整個人情緒平穩(wěn),思路清晰��,非常配合��。在簡單的溝通交流后���,小李開始給我們演練整個人臉識別認(rèn)證的過程�����。
第一步:“查大頭”�����、“買大頭”
很多人都體驗(yàn)過人臉識別認(rèn)證���,只要配合軟件要求作出點(diǎn)頭、搖頭�、眨眼、張嘴等動作��,確認(rèn)你就是你之后�,就會通過認(rèn)證����。但是小李他們既然做的是黑產(chǎn)��,自然不會有人專門配合(甚至根本不知情)�,所以他們要用技術(shù)手段模擬出這些動作�,而他們所需要的,僅僅是一張照片就可以了�����。
小李招收徒弟時打出的廣告���,也特別強(qiáng)調(diào)了這一點(diǎn)——只需一張照片�,就可以實(shí)現(xiàn)人臉識別認(rèn)證秒過�,而且還可以按照要求做出身份證正反面、手持身份證等全套資料���,進(jìn)而實(shí)現(xiàn)注冊賬號����、解封賬號���、額度提升����、支付轉(zhuǎn)賬等各類業(yè)務(wù)。
人臉識別認(rèn)證黑產(chǎn)發(fā)布的廣告
小李他們把找照片的過程叫做“查大頭”或者“買大頭”���,“大頭”就是“大頭照”的意思�。
所謂“查大頭”����,就是知道了一個人的姓名、身份證號��,想用他的身份注冊或辦理業(yè)務(wù)����,就會找人去查大頭照。在這個案件中��,某銀行信用卡發(fā)行部的人就參與了“大頭照”的查詢販賣�����。因?yàn)樗麄兊南到y(tǒng)有個功能���,只要輸入姓名和身份證號就可以彈出身份證照片�,以便業(yè)務(wù)員審核材料,但是這個業(yè)務(wù)員卻利用職務(wù)之便把這些照片拷貝下來�����,賣給“小李”他們����??蓯旱膬?nèi)鬼!
而所謂“買大頭”�����,就更直接粗暴了��,那就是直接購買“姓名+身份證號+頭像照片”等全套材料����。這類材料在黑市也是應(yīng)有盡有,比如有些人在不正規(guī)的小額貸款公司貸款時����,一般都會上傳自己的身份證正反面以及手持身份證照片,這些正是小李需要的資料�����。
小李電腦上保存的“大頭照”資料。此大頭照為合成照片����,并已做技術(shù)處理,不代表任何一個人�����。
第二步:活起來�����、動起來
有了“大頭照”和照片主人的姓名�����、身份證號之后�,下面要做的就是讓照片“活起來”,并且要像真人一樣“動起來”�,做出相應(yīng)的動作。小李打開筆記本電腦�,嫻熟地進(jìn)行操作。
他首先使用A軟件,按照自己的經(jīng)驗(yàn)對照片進(jìn)行調(diào)色�,然后將調(diào)色后的照片導(dǎo)入到B軟件,開始了下面的3D建模與渲染操作����。
一番勾選、渲染之后���,照片仿佛被注入了靈魂,開始“活起來”了���,小李說��,下面還要給照片注入“真氣”����,讓他動起來��,這就需要各類腳本的加持����。
于是,他打開了電腦上保存的腳本庫��,給我們展示了他的技術(shù)實(shí)力。
比如“搖頭”
比如“張嘴”
比如“眨眼”
當(dāng)然�,通過“腳本”的加持,還可以讓渲染過的照片做出各種動作�����,基本囊括目前人臉識別的主流動作�。到這一步,已經(jīng)完成了90%的工作量���。
第三步:騙過攝像頭
行百里者���,半于九十。視頻識別認(rèn)證一般要求人對著攝像頭做動作����,在沒有真人的情況下,如何讓攝像頭相信他面前就站著一個真人��,就特別關(guān)鍵���。
有人說�����,可以把攝像頭對準(zhǔn)電腦屏幕����,再點(diǎn)擊播放那段做好的視頻不就行了。這個方法確實(shí)簡單���,但卻行不通�����,因?yàn)榇蠹叶加羞@個常識���,通過攝像頭去拍攝電腦屏幕時����,會有雪花、條紋等��,非常不清晰���,騙不過攝像頭����。這是因?yàn)槭謾C(jī)攝像頭傳感器的像素陣列的空間頻率和電腦屏幕像素網(wǎng)格不同,會因空間混疊干擾而出現(xiàn)“莫爾條紋”��。
“莫爾條紋”示意圖
那怎么辦����?小李他們想出了一個更直接的辦法,直接“劫持”攝像頭:把做好的視頻事先保存到一個經(jīng)過特殊處理的手機(jī)上�,然后通過C軟件將視頻導(dǎo)入,這樣����,在視頻認(rèn)證環(huán)節(jié)需要人臉驗(yàn)證時,會彈出“選擇媒體”的模塊���,而不是直接啟動攝像頭�����。
經(jīng)過特殊處理的手機(jī)�����,在連識別認(rèn)證環(huán)節(jié)會出現(xiàn)此界面�����,而不是直接啟動攝像頭
通過這樣的操作���,軟件會把這些導(dǎo)入的視頻認(rèn)為是攝像頭拍攝的�,如果所做出的動作符合要求����,就會認(rèn)為“這張照片”是真的人、可以信賴的人���,進(jìn)而通過認(rèn)證����。當(dāng)然了���,因?yàn)楹芏嘬浖囊蟮膭幼鞫际请S機(jī)出現(xiàn)的,有的要求先眨眼再搖頭���,有的要求先點(diǎn)頭再搖頭再眨眼�����,小李他們?yōu)榱艘?guī)避這一點(diǎn)�,就會事先錄制不同組合的視頻,一個個去匹配�����。
小李通過這幾步操作��,當(dāng)著我們的面注冊了幾個網(wǎng)站和APP 的會員���,看得人目瞪口呆�。當(dāng)然���,二弟是不愿意放過這千載難逢的機(jī)會的�,我又和小李深度聊了一下關(guān)于這類黑產(chǎn)鏈條的內(nèi)幕����,也解答一下此刻可能縈繞在你心頭的疑問。
01 這條產(chǎn)業(yè)鏈存在多久了��?
小李是2018年入行的��,當(dāng)然也是其他師傅帶著他��。其實(shí)����,早在2017年的“3.15”晚會上�����,主持人就現(xiàn)場用一張照片破解了人臉識別軟件���,雖然第二天各大科技公司紛紛辟謠說人臉識別認(rèn)證絕對安全,但是事實(shí)上�����,這條黑產(chǎn)鏈條一直存在并且逐步在發(fā)展壯大����,技術(shù)也一直在進(jìn)步。
2017年的“315”晚會上�����,主持人用一張照片現(xiàn)場破解了人臉識別軟件
黑產(chǎn)鏈條猖獗到什么地步呢���?按照小李的說法,不論是什么文化�����,“只要不是傻子”,花幾百塊錢就能包教會�����。如果你不想學(xué)���,給你做一張會做各種動作的照片最低只收5毛錢��,賣一套軟件只需要35塊錢�����。
當(dāng)然�����, 并不是所有的廣告都是真實(shí)的���,很多人交了錢之后,并沒有學(xué)到東西�����,而學(xué)到東西的人到最后基本都和小李一個結(jié)局——被抓獲。所以���,千萬千萬不要去搜索模仿���。
此類黑產(chǎn)做的廣告
02.我們的資金還安全嗎?
有人也許會問����,目前我們每天都在使用人臉識別功能,比如手機(jī)開鎖����、支付轉(zhuǎn)賬、注冊軟件����,解封賬號、額度提升等�����,如果這個技術(shù)存在漏洞����,那么別人是不是可以解鎖我的手機(jī),或者進(jìn)行支付轉(zhuǎn)賬操作呢����?
理論上是可以的。但請放心�����,實(shí)際上出現(xiàn)的概率微乎其微�����。據(jù)小李講����,目前干他們這行的,主要針對一些可以反復(fù)操作�����、延時操作的應(yīng)用場景����,最多的就是注冊軟件、解封賬號、額度提升等���,小李曾經(jīng)做過某類社交軟件賬號解凍��、貸款額度提升以及開通購物商城店鋪等幾類業(yè)務(wù)���。
嫌疑人手機(jī)中的廣告圖片
手機(jī)開鎖、支付轉(zhuǎn)賬類的人臉識別場景��,需要驗(yàn)證的維度多��、給的時間短����,成功率極低,他只是聽說有人破解過�,但從來沒有實(shí)現(xiàn)過。所以����,大家暫時可以不必?fù)?dān)心資金的安全。萬一被攻克了��,那些廠家會第一時間理賠的�,他們也怕出事����。
但是也要給這些大公司提個醒:目前��,大家耳熟能詳?shù)膸准掖蠊径贾羞^招(為了避免恐慌和其他嫌疑人效仿���,這里不再點(diǎn)名),這些大公司的技術(shù)人員們�����,不要老覺得自己的技術(shù)多牛逼����,如果你不持續(xù)迭代更新,這些漏洞很容易被攻克��、利用����!
央視二套《第一時間》曾做過一期欄目,里面有黑產(chǎn)從業(yè)者在聊天中曾表示主流的網(wǎng)站都可以過���。這些言論的真假未經(jīng)過驗(yàn)證(也可能是吹牛逼)�����,但真的需要引起各大公司警惕�。
03.我們該如何防護(hù)?
雖然資金安全能夠保證���,但是如果別人拿著我們的身份注冊一些賬號����,也會后患無窮�。比如開頭說的,如果有人幫你在婚戀交友網(wǎng)站注冊賬號�,還去騙錢騙色,那很可能會被列為“嫌疑人”�����,有人用你的身份注冊了政府機(jī)構(gòu)網(wǎng)站的賬號��,辦理了相關(guān)業(yè)務(wù)����,那么你就辦不了了。
但悲哀的是�,因?yàn)楣裥畔⒇溬u的黑產(chǎn)鏈條非常猖獗�����,很多時候我們是無法主動防護(hù)的�����,唯一能做的:就是不要隨便在不明軟件上泄露自己的大頭照信息���。比如在某些娛樂性質(zhì)的APP上上傳圖片以便生成相應(yīng)搞笑圖像�,在某些不明軟件上上傳手持身份證照片等。這樣�����,才能盡可能減少照片被利用的風(fēng)險(xiǎn)���。
特別說明
1.人臉識別技術(shù)總體來說是安全的�,目前掌握到的黑產(chǎn)����,主要利用的是特殊應(yīng)用場景下(遠(yuǎn)程、可多次試驗(yàn))人臉識別技術(shù)的相關(guān)漏洞����,文章標(biāo)題中的“人臉識別技術(shù)被攻克”專指“小李”們掌握的這些“過人臉”技術(shù)�。
2.央視等新聞媒體已經(jīng)報(bào)道過該類黑產(chǎn)的產(chǎn)業(yè)鏈�。為避免教唆,文中還是隱去了軟件名字等關(guān)鍵信息��。再次敬告�����,不要嘗試搜索學(xué)習(xí)��,結(jié)果只有兩個:要么被騙�����,要么被抓�����。
3.除非特別聲明����,文中照片、視頻均來自二弟現(xiàn)場拍攝�����,使用請先取得授權(quán),并注明來源終結(jié)詐騙公眾號�。
特別鳴謝:深圳市公安局龍崗分局提供行動支持
