身份證產業鏈:一張身份證如何攻破人臉識別技術
4 人贊了文章
守護者計劃:2016年騰訊發揮自身大數據能力和多年對抗網路黑產經驗,聯合產業鏈、運營商、銀行、警方等多方力量,共同推出「守護者計劃」平台,打擊危害網路安全的犯罪行為。
以下鏈接為守護者計劃年度10大案例介紹
央視「315」晚會曝光了人臉識別領域的安全風險之後,一時間引起廣泛關注。其實,繞過人臉識別策略的黑產自去年就開始出現。
2016年12月,騰訊守護者計劃安全團隊協助湖北公安搗毀一專門販賣公民身份證、動態認證視頻(抬頭、低頭、眨眨眼睛、讀一段文字)的團伙,共計抓獲犯罪嫌疑人14人,扣押贓款300餘萬元,查獲的身份證相片及認證用視頻高達1800G,粗略計算超過50000人的身份信息被完全曝光。這些信息不僅包括身份證正反面、還有手持自拍、側拍、拿報紙拍,更為神奇還有抬頭、點頭、左轉、右轉、讀文字的錄像。最令人擔憂的是,上述環節黑產人員都可以通過自動化生成,成本頗低。
下面,來看看這樣的網路黑產究竟是怎樣作案的。
一、哪些行業需要實名認證
《人民郵電報》官方微信發文稱,工信部近日下發通知,要求各基礎電信企業確保在2016年12月 31日前本企業全部電話用戶實名率達到95%以上,2017年6月30日前全部電話用戶實現實名登記。此為「史上最嚴電話實名制」。寄快遞要實名制登記,支付寶、微信要實名制登記,網路主播要實名制登記;更別提網路貸款、遠程開戶、坐火車飛機,這一系列的行業都需要實名制。身份證和遠程視頻(俗稱刷臉)是這一些實名的核心之一,有人要實名就一定有人不想實名,黑產就這麼誕生服務於龐大的市場。
一張包括正反面信息的身份證相片,只需50-100塊錢。一張人證一致的手持身份證相片,也只需要100-200元。如果想註冊企業賬號,你可以再花上800-1000元,就能給你出一整套的企業五證,拿去申請註冊企業賬號,或是申請個網店去搞點偷雞摸狗的勾當,效果都是有杠杠的。
以下是調研市場後的行情:
(一)註冊網店
一個實名認證成功的淘寶網店的黑市價格,個人註冊通過一審的店鋪可以賣300元,而個人註冊通過二審的店鋪可以賣800元,企業認證店鋪更貴,可以賣到1300元。這些被專門註冊用來販賣的淘寶網店。還有支付寶賬號,如果想升級到V2,也必須通過動態視頻來進行身份核查認證。但這一切,都能夠被黑產團伙製作出的動態視頻輕鬆搞定。
(二)申請網貸賬號
許多網貸平台為追求效率和用戶體驗,往往只需要在網上提交資料進行身份信息審核,能夠在一天甚至更短的時間內完成審核及放貸,平台的很多風控措施在這些黑產團伙面前都能夠繞過。而通過冒用他人身份在網貸平台惡意騙貸一直是該行業的暗瘡。
(三)第三方支付平台身份認證
用虛假身份來進行第三方平台的賬號並進行實名認證,這些賬號,無論是自用,還是在黑市上出售,其使用的目的都不會太正經。
(四)賬號進行解凍或申訴
黑產人員所用的網店或第三方支付平台賬號,多數並非本人實名申請的,因此一旦命中平台的風控策略被凍結,就必須按要求提供註冊人本人的身份資料去解封。而這時,通過黑產人員製作一套註冊人的身份資料是最安全和快捷的辦法。
二、量產的身份證
作為企業風控人員,如果覺得跑腿找大爺大媽買賣身份證、住址、年齡、營業執照、轉賬憑證、銀行流水等的成本挺高,黑產規模不大,那就是鴕鳥心態了。
在PS面前,不僅可以隨意製作各類用於賬號身份審核的身份證相片、營業執照、銀行流水單等身份證明資料,還能將一張靜態的相片,製作成動態視頻,從而通過各大網路支付平台的動態視頻驗證程序。
以湖北警方破獲的案件為例,只需提供一個身份證號碼,就能PS出一整套模擬度極高的身份證相片、手持身份證相片及指定手持各種報紙的相片。全套資料專用於各大平台的實名註冊認證。在PS面前,這些身份證或手持身份證的可信度基本為零,不僅可以隨意變換相片中的姓名、住址、身份證號碼等信息。就算是把整個身份證換個臉也是很輕鬆的事情。同一張臉,不同身份,或是同一個身份,不同的臉。你需要什麼都能給你P出來。
黑產的威力遠不止如此,不光靜態的身份證認證已經被攻破,連動態的在線人像視頻認證,也已經被輕鬆搞定。
三、動態視頻認證——會說話的照片
一些B2C平台、第三方支付平台或各類網貸平台,為了提高申請賬號真實性,除了需要在線提交手持身份證複印件進行身份驗證之外等,在用戶在進行一些高危操作或提升更高許可權前,往往還需要進行真人視頻驗證。
這種真人視頻驗證有兩種:
一種是有平台或企業工作人員在線進行一對一的視頻驗證。但這種視頻認證佔用人力資源較高,效率低,所以通常只是銀行或證券行業使用。各類網路平台,因視頻驗證的量級大。
另一種是採用機器演算法自動識別的非人工驗證方式,來完成動態視頻的驗證過程。
目前比較常見的機器審核的視頻驗證方式通常有三種:
(一)與開戶開啟在線視頻之後,隨機要求用戶按指令作出四個指定動作,如點頭、搖頭、眨眼、張嘴;
(二)在開啟在線視頻之後中,系統隨機生成一個四位數字,讓認證用戶口述念出;
(三)這種驗證方式更加複雜,通常用於網貸類平台,會要求用戶手持身份證件,指念出自己的姓名、身份證號或貸款合同條款等字句。但這些視頻驗證方式,只要不是人工一對一審核,就都有可能被軟體製作出來的虛假認證視頻給繞過。
四、製作動態視頻認證產業
真相遠比想像中要簡單得多,找到一張與賬號註冊者身份一致的大頭照或是手持身份證的高清照,再加一個Crazytalk軟體足矣。
用上面的工具,繞過動態視頻驗證,只需三步:
(一)找到一個賬號註冊人的大頭照。這個並不難,在網上找個信息查詢商,提供一個身份證號碼,再花上幾十塊錢,就能很快查到與這個身份證號相關的戶籍資料;
(二)用Crazytalk軟體將拿到的大頭照或身份證相片,圈定人臉的輪廓、眼睛、鼻子、嘴角、牙齒等等參數;導入到軟體中便可生成初步的信息,但這些都動態無聲音、無背景音的;
(三)依據不同平台驗證的方式不一,製作出的視頻要求也不一樣。有的是報一串隨時的數字,有的是念一長句話,還有的是點頭、搖頭、眨眼、張嘴等表情;
(四)最後一步就是驗證了,用手機打開驗證頁面接通在線視頻,把視頻對著電腦屏幕,你驗證要我做嘛動作,我就在電腦屏幕上播放嘛動作,簡單嗎?真的就這麼簡單。
也許你會問,視頻認證的要求播報的數字是隨機的,那提前做好的動態視頻認證怎麼會知道?確實這是個關鍵點,無孔不入的黑產人員早就已經發現了這裡的BUG了。
因為目前多數平台的在線視頻驗證體系中,並沒有設置時效上的要求。也就是說,我可以先打開在線視頻認證界面,獲取到系統要求我念出的隨機數字,只要驗證的頁面不關,這串數字就不會變。然後黑產人員就可以拿著這串數字去從容的找人做動態視頻了。一套動態視頻的製作時間,也就一兩個小時。至於點頭、搖頭、眨眼、張嘴等動作,則只要提前把一個相片的四個動作全部做成視頻就好了,你需要我做哪一個動作,我就播放哪一個給你看,就這麼簡單。這樣一整套的動態認證視頻,製作周期只要1-2個小時,而收費則高達500到1000元。
五、買PS的身份證是否涉及違法
購買了身份證、幫別人PS或者製作了一個視頻看似只是做了一些微小的工作,但卻已經涉嫌偽造、變造身份證罪。
推薦閱讀:
※互聯網產品產出流程——方法論
※Our Earth : 區塊鏈領域的明星之作
※蘋果在iOS12中增加了10個最佳新功能
※當互聯網金融遇到區塊鏈……