鉆“手機銀行”人臉識別系統(tǒng)的空子,偽造76個虛假身份騙取銀行賬戶并售賣的田某,被判刑兩年。

對于中國裁判文書網(wǎng)公布的這起黑客入侵廈門銀行手機銀行的案子,網(wǎng)絡安全工程師們表示,犯罪分子的作案手段沒什么技術含量,就是利用了他們常用來做網(wǎng)絡安全測試的“抓包”工具(軟件)。在這起案件中,系統(tǒng)被入侵這個鍋不能甩給人臉識別技術,需要復盤的是銀行業(yè)務安全流程。

“抓包”騙過銀行人臉識別驗證

抓包(packet capture)工具是攔截查看網(wǎng)絡數(shù)據(jù)包內容的軟件,它能夠將網(wǎng)絡傳輸發(fā)送與接收的數(shù)據(jù)進行截獲、編輯、轉存、重發(fā)等操作,常被技術人員用來檢查網(wǎng)絡安全。黑客也不都是江洋大盜,利用技術來維護網(wǎng)絡安全的黑客叫做“白帽子子黑客”,他們也會用抓包工具來分析報文,針對漏洞做滲透測試,這種行為屬于陽光下的操作,而“黑帽子黑客”是一群通過竊取網(wǎng)絡資源或破解軟件來獲取利益的人,他們抓包就是為了破壞網(wǎng)絡來賺錢。

早在2017年,上海警方曾破獲一起特大網(wǎng)絡盜竊案,犯罪分子僅用半天時間就非法提現(xiàn)人民幣近千萬元,警方通過調查發(fā)現(xiàn),是黑客利用抓包工具攔截下銀行系統(tǒng)內傳輸?shù)臄?shù)據(jù),將實際充值的1元改為1000元或更高金額,然后把偽造的數(shù)據(jù)傳回并成功欺騙了金融機構。

但所有利用抓包工具的案件都有一個共同的前提,就是有漏洞可鉆。

從福建省廈門市思明區(qū)人民法院刑事判決書來看,田某偶然發(fā)現(xiàn)廈門銀行APP漏洞后,使用虛假身份信息,在廈門銀行手機銀行APP注冊該銀行Ⅱ、Ⅲ類賬戶。注冊中,田某先輸入本人身份信息,待進入人臉識別步驟,利用抓包軟件將銀行系統(tǒng)下發(fā)的人臉識別身份認證數(shù)據(jù)包攔截并保存。爾后,在輸入開卡密碼步驟,田某將APP返回到第一步(上傳身份證照片),重新輸入偽造的身份信息,當再次進入到人臉識別的身份驗證步驟時,他把之前攔截下來的包含其本人真實身份信息的數(shù)據(jù)包進行上傳,使系統(tǒng)誤以為此刻要對比的是其真實的身份信息,田某遂用本人人臉通過了銀行系統(tǒng)人臉識別比對,成功利用虛假身份信息注冊到銀行賬戶。

簡單地說,田某的作案手法是,用他本人的人臉識別身份認證數(shù)據(jù)包換掉偽造身份的人臉識別身份認證數(shù)據(jù)包,騙過銀行系統(tǒng)的審核。

安全問題需要向內找原因

現(xiàn)如今,人臉識別在金融領域的應用越來越廣泛。以銀行為例,區(qū)別于Ⅰ類全功能賬戶,銀行的Ⅱ、Ⅲ類賬戶為虛擬電子賬戶,在Ⅰ類賬戶的基礎上功能遞減,現(xiàn)在很多銀行都可以通過手機終端遠程開通Ⅱ、Ⅲ類賬戶,人臉識別已經(jīng)成為核實用戶身份的常用手段。鑄造一道固若金湯的安全防護墻,是每一個金融消費者的訴求。

中粵聯(lián)合投資創(chuàng)始人羅浩元說:“銀行Ⅱ、Ⅲ類戶開戶存在的明顯風險被田某用簡單粗暴的手法測出來了,我們相信手機銀行在功能設計、安全驗證及防護等方面的完善能力,卻通過此案看到了他們的‘漫不經(jīng)心’。顯然,這些銀行對‘抓包’替換行為缺乏該有的防范措施。關鍵是,此前用‘抓包’非法獲利的案件已有很多,金融機構需要檢討。”

北京奇安信科技有限公司董事長齊向東給金融機構開出一副“藥方”,其中包括幾個假設,或許對銀行等金融機構檢視業(yè)務安全有幫助。這幾個假設是:“假設系統(tǒng)一定有沒被發(fā)現(xiàn)的漏洞,一定有已發(fā)現(xiàn)漏洞沒打補丁;假設系統(tǒng)已經(jīng)被黑;假設一定有內鬼。”

盡管在這起案件中,人臉識別系統(tǒng)可以說是無辜“躺槍”,但是公眾對人臉識別安全性的顧慮也被這起案件重新牽了出來。

對此,百度安全事業(yè)部總經(jīng)理馬杰有這樣的觀點,越來越多的智能設備采用了生物特征識別技術,所謂“破解生物識別”,就是“欺騙傳感器”的過程。但大家不用過分擔心,被發(fā)現(xiàn)的漏洞基本都找到了相應的解決方案。很多安全問題,可以看做安全人員與黑客之間的競速賽,未來人臉識別技術要跟隨機器學習等相關領域一同發(fā)展,才能構筑一個更加安全、更加可靠的環(huán)境。

標簽: 人臉識別