鉆“手機(jī)銀行”人臉識(shí)別系統(tǒng)的空子,偽造76個(gè)虛假身份騙取銀行賬戶并售賣的田某,被判刑兩年。

對于中國裁判文書網(wǎng)公布的這起黑客入侵廈門銀行手機(jī)銀行的案子,網(wǎng)絡(luò)安全工程師們表示,犯罪分子的作案手段沒什么技術(shù)含量,就是利用了他們常用來做網(wǎng)絡(luò)安全測試的“抓包”工具(軟件)。在這起案件中,系統(tǒng)被入侵這個(gè)鍋不能甩給人臉識(shí)別技術(shù),需要復(fù)盤的是銀行業(yè)務(wù)安全流程。

“抓包”騙過銀行人臉識(shí)別驗(yàn)證

抓包(packet capture)工具是攔截查看網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容的軟件,它能夠?qū)⒕W(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)進(jìn)行截獲、編輯、轉(zhuǎn)存、重發(fā)等操作,常被技術(shù)人員用來檢查網(wǎng)絡(luò)安全。黑客也不都是江洋大盜,利用技術(shù)來維護(hù)網(wǎng)絡(luò)安全的黑客叫做“白帽子子黑客”,他們也會(huì)用抓包工具來分析報(bào)文,針對漏洞做滲透測試,這種行為屬于陽光下的操作,而“黑帽子黑客”是一群通過竊取網(wǎng)絡(luò)資源或破解軟件來獲取利益的人,他們抓包就是為了破壞網(wǎng)絡(luò)來賺錢。

早在2017年,上海警方曾破獲一起特大網(wǎng)絡(luò)盜竊案,犯罪分子僅用半天時(shí)間就非法提現(xiàn)人民幣近千萬元,警方通過調(diào)查發(fā)現(xiàn),是黑客利用抓包工具攔截下銀行系統(tǒng)內(nèi)傳輸?shù)臄?shù)據(jù),將實(shí)際充值的1元改為1000元或更高金額,然后把偽造的數(shù)據(jù)傳回并成功欺騙了金融機(jī)構(gòu)。

但所有利用抓包工具的案件都有一個(gè)共同的前提,就是有漏洞可鉆。

從福建省廈門市思明區(qū)人民法院刑事判決書來看,田某偶然發(fā)現(xiàn)廈門銀行APP漏洞后,使用虛假身份信息,在廈門銀行手機(jī)銀行APP注冊該銀行Ⅱ、Ⅲ類賬戶。注冊中,田某先輸入本人身份信息,待進(jìn)入人臉識(shí)別步驟,利用抓包軟件將銀行系統(tǒng)下發(fā)的人臉識(shí)別身份認(rèn)證數(shù)據(jù)包攔截并保存。爾后,在輸入開卡密碼步驟,田某將APP返回到第一步(上傳身份證照片),重新輸入偽造的身份信息,當(dāng)再次進(jìn)入到人臉識(shí)別的身份驗(yàn)證步驟時(shí),他把之前攔截下來的包含其本人真實(shí)身份信息的數(shù)據(jù)包進(jìn)行上傳,使系統(tǒng)誤以為此刻要對比的是其真實(shí)的身份信息,田某遂用本人人臉通過了銀行系統(tǒng)人臉識(shí)別比對,成功利用虛假身份信息注冊到銀行賬戶。

簡單地說,田某的作案手法是,用他本人的人臉識(shí)別身份認(rèn)證數(shù)據(jù)包換掉偽造身份的人臉識(shí)別身份認(rèn)證數(shù)據(jù)包,騙過銀行系統(tǒng)的審核。

安全問題需要向內(nèi)找原因

現(xiàn)如今,人臉識(shí)別在金融領(lǐng)域的應(yīng)用越來越廣泛。以銀行為例,區(qū)別于Ⅰ類全功能賬戶,銀行的Ⅱ、Ⅲ類賬戶為虛擬電子賬戶,在Ⅰ類賬戶的基礎(chǔ)上功能遞減,現(xiàn)在很多銀行都可以通過手機(jī)終端遠(yuǎn)程開通Ⅱ、Ⅲ類賬戶,人臉識(shí)別已經(jīng)成為核實(shí)用戶身份的常用手段。鑄造一道固若金湯的安全防護(hù)墻,是每一個(gè)金融消費(fèi)者的訴求。

中粵聯(lián)合投資創(chuàng)始人羅浩元說:“銀行Ⅱ、Ⅲ類戶開戶存在的明顯風(fēng)險(xiǎn)被田某用簡單粗暴的手法測出來了,我們相信手機(jī)銀行在功能設(shè)計(jì)、安全驗(yàn)證及防護(hù)等方面的完善能力,卻通過此案看到了他們的‘漫不經(jīng)心’。顯然,這些銀行對‘抓包’替換行為缺乏該有的防范措施。關(guān)鍵是,此前用‘抓包’非法獲利的案件已有很多,金融機(jī)構(gòu)需要檢討。”

北京奇安信科技有限公司董事長齊向東給金融機(jī)構(gòu)開出一副“藥方”,其中包括幾個(gè)假設(shè),或許對銀行等金融機(jī)構(gòu)檢視業(yè)務(wù)安全有幫助。這幾個(gè)假設(shè)是:“假設(shè)系統(tǒng)一定有沒被發(fā)現(xiàn)的漏洞,一定有已發(fā)現(xiàn)漏洞沒打補(bǔ)丁;假設(shè)系統(tǒng)已經(jīng)被黑;假設(shè)一定有內(nèi)鬼。”

盡管在這起案件中,人臉識(shí)別系統(tǒng)可以說是無辜“躺槍”,但是公眾對人臉識(shí)別安全性的顧慮也被這起案件重新牽了出來。

對此,百度安全事業(yè)部總經(jīng)理馬杰有這樣的觀點(diǎn),越來越多的智能設(shè)備采用了生物特征識(shí)別技術(shù),所謂“破解生物識(shí)別”,就是“欺騙傳感器”的過程。但大家不用過分擔(dān)心,被發(fā)現(xiàn)的漏洞基本都找到了相應(yīng)的解決方案。很多安全問題,可以看做安全人員與黑客之間的競速賽,未來人臉識(shí)別技術(shù)要跟隨機(jī)器學(xué)習(xí)等相關(guān)領(lǐng)域一同發(fā)展,才能構(gòu)筑一個(gè)更加安全、更加可靠的環(huán)境。

標(biāo)簽: 人臉識(shí)別