一般情况下,黑产会利用动态化处理软件完成让照片中的人物张嘴、转头等动作,之后再用其他软件欺骗系统,当App需要通过摄像头进行人脸验证时,启动“外挂”,通过修改相关数据和设置,将提前做好的动态人脸视频导入到App中,便完成认证。
国家互联网应急中心曾在2021年6月对人脸识别身份认证漏洞的风险进行过描述:一些App由于设计过程中存在安全缺陷,导致攻击者可以利用公开获取的用户照片替换活体检测采集的照片,进而破坏人脸识别身份认证机制,登录用户账号并窃取用户敏感信息等操作。
如果说上述黑产从业者的诈骗技术较为初级,现在骗术已升级。
“安全行业与黑产在人脸识别领域的攻防博弈已经经历过多次迭代,从早期的图像级到中期的应用级,再到后期的算法级,金融行业和安全公司通过一系列手段对黑产的攻击方式进行了有效防护,然而对抗并未停止,人脸攻防进一步深入到了移动操作系统,为企业防护带来了新的挑战。”2月14日,中国工商银行金融科技研究院发布的《2021年网络金融黑产研究报告》显示,随着人脸识别攻防技术不断发展和反复博弈,人脸识别应用场景已成为了黑产对抗的主战场,除大家熟知的照片活化攻击外,2021年又出现了新的攻击手法,黑产精心设计了人脸欺诈场景并使用了新型攻击技术,让“刷脸”再次面临新挑战。
“视频来电慎接听,人脸窃取需防范。”《2021年网络金融黑产研究报告》指出,黑产从业者通过视频通话窃取受害人的人脸信息。黑产从业者一般假冒公检法机关或银行工作人员,恐吓受害者涉嫌“洗钱”“藏毒”“欠贷”等案件,要求受害者通过视频通话进行身份核实。视频通话过程中,黑产从业者要求受害人完成指定人脸动作,同时开启录屏功能获取受害人的人脸信息。与利用活化软件生成的合成视频相比,通过视频通话获取到的人脸视频是受害者本人完成的人脸识别动作,不存在合成及伪造特征,很难被人脸算法识别。考虑到人脸特征具有唯一性,一旦被黑产窃取,将直接导致人脸认证失效,造成资金和财产损失。因此在接听视频来电前,一定要核实对方身份信息。
网络黑产猖獗
2021年全年,小盾安全共检测到9381个黑产团伙作案行为,平均单个团伙账户数量在500左右,一般为专业工作室模式,利用自有群控设备或者租用云控服务,配合改机工具、模拟器、ip 代理、接码平台、打码平台等完成批量化作弊行为。
《2021移动支付安全大调查研究报告》显示,网络诈骗受到损失的人群比例较2020年更高,2021年遭遇过网络诈骗且有损失的人群比例较去年增加了6%,达到了14%,平均受损金额为1650元,比2020年降低了272元。从年龄上看,00后是移动支付风险的高危人群,银行卡出借比例较高,网络诈骗导致经济损失的比例居于首位。中老年人也是遭受诈骗的主要群体,主 要集中在四线、五线城市和各个乡、镇、村,普遍受科普程度较低,以网络直播诈骗为主要渠道,且通常数额巨大。从职业来看,大学生遭遇网络欺诈的风险较高,近半数有使用第三方信用贷款账户的习惯。另外,网店店主、自主创业者也是遭受网络诈骗较多的人群。
“40岁以下为主要被害人群,老年人诈骗相对并不多见”。腾讯发布的《电信网络诈骗治理研究报告2021年》显示,从被害人年龄构成来看,40岁以下的年轻群体所占比例高达79%,50岁以上的被害人占比仅有8%,但随着我国社会老龄化程度加深、进程加快,老年人将成为中国网民不可忽视的重要组成部分,银发群体的网络安全问题也需要予以重点关注。
