小心網絡黑產盯上你的“臉”

2022-02-19 14:57:02來源：經濟觀察網

經濟觀察網記者胡群 “遇到 ‘我想轉錢到你卡里，你再幫忙發給我朋友下，我微信限制轉賬了’這種情況，和對方視頻驗證發現是本人，依然要謹慎謹慎再謹慎。”2月17日，一位北京某高校老師在朋友圈里稱。當日清晨，她的一位朋友通過微信向她提出幫忙轉賬的請求，她打通了對方的微信視頻進行核實，在視頻中看到熟悉的面孔，但對方并未開口說話便匆匆關閉了視頻通話。

“我當時已經知道他的微信號被盜，并未上當，但他仍有朋友被這種方式被騙走了14000塊。”她向經濟觀察網稱，騙子通過微信向其他人提出上述幫忙轉賬請求，受害人進行了視頻審核，并收下騙子轉來的6000塊錢幫助其轉賬，但下午騙子就以急用錢為借口，向這位受害人借了14000塊，直到晚上才發現被騙。

視頻驗證是熟悉面孔，為何仍會被騙？

“身份核驗安全隱患為金融行業資產帶來了不確定性，攻擊行為和偽冒案例的日益多樣化為AI技術安全帶來了極大的挑戰，如空照片挖孔、3D面具、深度偽造、語音合成、語音拼接等，針對不同攻擊行為亟待行之有效的防偽能力。”中關村(000931)科金AI安全攻防實驗室總監馮月在接受經濟觀察網采訪時表示，由于深度學習的發展，以及Deep Fake（一款備受爭議的換臉技術軟件）的出現，導致“假臉”的制作門檻大幅度降低，普通人可以制作一個可能不存在的人臉或者是將人臉互換，形成的單幀圖片可以做到非常逼真。一般情況下，黑產會利用動態化處理軟件完成讓照片中的人物張嘴、轉頭等動作，之后再度采用其他軟件欺騙系統，通過修改相關數據和設置，將提前做好的動態人臉視頻導入到App中，便完成認證，進而完成整個詐騙流程。

你的臉“值”多少錢？

移動支付已成為支付主流方式。中國互聯網絡信息中心(CNNIC)2021年9月發布的《中國互聯網絡發展狀況統計報告》顯示，我國網絡支付用戶規模達8.72億，占網民整體的 86.3%。

當前疫情防控常態化使得無接觸認證、無感認證等身份識別需求激增，人臉識別技術憑借其便捷易用的特點，在金融領域發揮著重要作用，很多金融App可以通過人臉識別進行支付、轉賬等業務。指紋、刷臉等生物識別成為目前常用的移動支付驗證方式，其使用率已經超過數字密碼驗證方式。

1月25日，中國銀聯發布《2021移動支付安全大調查研究報告》顯示，在移動支付驗證方式中，指紋、刷臉等生物識別方式認可度最高，其使用率已經超過數字密碼驗證方式。從年齡上看，45歲以上人群更偏愛密碼支付方式，45歲以下人群更偏愛指紋、刷臉等生物識別方式，尤其18-24歲年輕人群使用生物識別驗證方式的達到75%，高于平均水平9個百分點。受訪人群使用動態驗證碼核驗身份約占3成，其中46-55歲人群達到35%，高于平均水平6個百分點。

在科技帶來便利的同時也會被部分不法分子所利用，人臉識別技術所帶來的個人信息保護問題也日益凸顯，引發社會公眾的普遍關注和擔憂。馮月表示，在常規的人臉識別技術中，系統僅會對采集的視頻或圖片做基礎的質量檢測和驗真，但是，這種基礎的驗真技術并無法有效識別人臉的真假，隨著偽造攻擊工具的演進，有效性會急劇降低，常見的，黑產便用照片或是視頻翻拍便可以達到魚目混珠的效果。這就衍生出了一系列安全問題。

一般情況下，黑產會利用動態化處理軟件完成讓照片中的人物張嘴、轉頭等動作，之后再用其他軟件欺騙系統，當App需要通過攝像頭進行人臉驗證時，啟動“外掛”，通過修改相關數據和設置，將提前做好的動態人臉視頻導入到App中，便完成認證。

國家互聯網應急中心曾在2021年6月對人臉識別身份認證漏洞的風險進行過描述：一些App由于設計過程中存在安全缺陷，導致攻擊者可以利用公開獲取的用戶照片替換活體檢測采集的照片，進而破壞人臉識別身份認證機制，登錄用戶賬號并竊取用戶敏感信息等操作。

如果說上述黑產從業者的詐騙技術較為初級，現在騙術已升級。

“安全行業與黑產在人臉識別領域的攻防博弈已經經歷過多次迭代，從早期的圖像級到中期的應用級，再到后期的算法級，金融行業和安全公司通過一系列手段對黑產的攻擊方式進行了有效防護，然而對抗并未停止，人臉攻防進一步深入到了移動操作系統，為企業防護帶來了新的挑戰。”2月14日，中國工商銀行(601398)金融科技研究院發布的《2021年網絡金融黑產研究報告》顯示，隨著人臉識別攻防技術不斷發展和反復博弈，人臉識別應用場景已成為了黑產對抗的主戰場，除大家熟知的照片活化攻擊外，2021年又出現了新的攻擊手法，黑產精心設計了人臉欺詐場景并使用了新型攻擊技術，讓“刷臉”再次面臨新挑戰。

“視頻來電慎接聽，人臉竊取需防范。”《2021年網絡金融黑產研究報告》指出，黑產從業者通過視頻通話竊取受害人的人臉信息。黑產從業者一般假冒公檢法機關或銀行工作人員，恐嚇受害者涉嫌“洗錢”“藏毒”“欠貸”等案件，要求受害者通過視頻通話進行身份核實。視頻通話過程中，黑產從業者要求受害人完成指定人臉動作，同時開啟錄屏功能獲取受害人的人臉信息。與利用活化軟件生成的合成視頻相比，通過視頻通話獲取到的人臉視頻是受害者本人完成的人臉識別動作，不存在合成及偽造特征，很難被人臉算法識別。考慮到人臉特征具有唯一性，一旦被黑產竊取，將直接導致人臉認證失效，造成資金和財產損失。因此在接聽視頻來電前，一定要核實對方身份信息。

網絡黑產猖獗

2021年全年，小盾安全共檢測到9381個黑產團伙作案行為，平均單個團伙賬戶數量在500左右，一般為專業工作室模式，利用自有群控設備或者租用云控服務，配合改機工具、模擬器、ip 代理、接碼平臺、打碼平臺等完成批量化作弊行為。

《2021移動支付安全大調查研究報告》顯示，網絡詐騙受到損失的人群比例較2020年更高，2021年遭遇過網絡詐騙且有損失的人群比例較去年增加了6%，達到了14%，平均受損金額為1650元，比2020年降低了272元。從年齡上看，00后是移動支付風險的高危人群，銀行卡出借比例較高，網絡詐騙導致經濟損失的比例居于首位。中老年人也是遭受詐騙的主要群體，主要集中在四線、五線城市和各個鄉、鎮、村，普遍受科普程度較低，以網絡直播詐騙為主要渠道，且通常數額巨大。從職業來看，大學生遭遇網絡欺詐的風險較高，近半數有使用第三方信用貸款賬戶的習慣。另外，網店店主、自主創業者也是遭受網絡詐騙較多的人群。

“40歲以下為主要被害人群，老年人詐騙相對并不多見”。騰訊發布的《電信網絡詐騙治理研究報告2021年》顯示，從被害人年齡構成來看，40歲以下的年輕群體所占比例高達79%，50歲以上的被害人占比僅有8%，但隨著我國社會老齡化程度加深、進程加快，老年人將成為中國網民不可忽視的重要組成部分，銀發群體的網絡安全問題也需要予以重點關注。

“整個黑色產業鏈由來已久，互聯網時代以來我們將黑產的演變分為4個階段。”小盾安全發布的《2021年度業務風控洞察報告》稱，分別為蠻荒時代、野蠻生長期、初見規模期，以及黑產出海期。

2010年前為黑產的蠻荒時代，以PC為代表的互聯網時期，黑產主要的盈利方式是靠控制個人電腦作為“肉雞”通過DDoS攻擊、刷廣告、安裝流氓軟件等方式變現。這個周期掌握“肉雞”的數量決定了獲利規模的上限。

2013年前后，伴隨著O2O的興起，隨著大量資本的涌入，黑產擴張用于用戶拉新，賬號價值凸顯，也是在這個時期，黑產圍繞“賬號體系”的產業鏈條逐步形成，包括號商、接碼平臺、打碼平臺、群控等，從而進入野蠻生長期。

2015年前后，網貸行業進入繁榮期，這一階段也是風險集中暴發的時期，由于其泛金融的屬性需要較嚴格的KYC認證，也就是在這個階段整個圍繞“KYC 套件”的產業鏈逐漸形成，包括：二要素、三要素、人臉、活體等，黑產初見規模。

從2019年開始，出海成為很多國內企業的選擇，不論是電商、社交還是泛娛樂企業都紛紛加入到出海大軍。彼時國內監管政策趨嚴，國內黑產也開啟出海的航程。基于國內多年的技術積累，黑產企業在海外發展更為猖獗。

據騰訊披露，當前詐騙分子非法獲取公民個人信息，主要有三種方式。通過“流氓軟件”、釣魚網站、系統漏洞、“拖庫”等手段非法獲取公民信息；通過暗網等非法渠道購買他人非法獲取的公民個人信息；從企業工商信息查詢網站、企業官網、機關單位網站等公開渠道“爬取”公民個人信息。

2月18日，工信部通報2022年第一批侵害用戶權益的APP。“依據《個人信息保護法》《網絡安全法》《電信條例》《電信和互聯網用戶個人信息保護規定》等法律法規，我部近期組織第三方檢測機構對移動互聯網應用程序(APP)進行檢查，截至目前，尚有107款APP未完成整改。”工信部信息通信管理局表示，在檢測過程中發現，13款內嵌第三方軟件開發工具包（SDK）存在違規收集用戶設備信息的行為。

如何打贏與黑產的“持久戰”？

針對黑產發展的嚴峻趨勢，一方面政府出臺政策并采取一系列手段予以打擊，科技公司也在發揮著越來越重要的作用。

公安機關通過“斷卡”行動、國家反詐App等一系列手段對黑產進行打擊，有效降低了黑卡數量，阻斷了黑產活動的源頭。在國家的重拳打擊下，對黑產從業人員起到了有效的威懾作用，黑產進一步向隱蔽化、隨機組團化轉移。

自2020年10月“斷卡”行動開展以來，各地各部門集中打擊犯罪團伙，清理電話卡、銀行卡，從根源上有效遏制電信網絡詐騙案件快速上升勢頭，2021年6月至9月全國電信網絡詐騙犯罪發案連續4個月實現同比下降。隨著“斷卡”行動深入推進，電信網絡詐騙團伙獲取“兩卡”的寄遞販賣通道受阻，詐騙窩點用于作案的“兩卡 ”嚴重不足，大量涉案資金被凍結，一些詐騙分子甚至直接利用本人銀行賬戶轉賬洗錢，犯罪團伙作案成本大幅提升，對電信詐騙活動實現重創。

2021年9月，銀保監會辦公廳發布加強人臉識別技術應用安全管理的相關通知，要求各機構要全面梳理涉及人臉識別的業務場景和應用系統，開展風險排查和整改，如發現正在使用的人臉識別技術存在安全漏洞要盡快升級或修復，對存在風險隱患的應用系統要盡快實施安全加固或改造。

2022年1月18日，中國信通院云計算與大數據研究所牽頭編寫的國內首份《人臉信息合規操作指南可信人臉應用守護計劃》指出，當前我國已初步構建了人臉信息保護的法律規范體系。《刑法》及《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對非法買賣人臉信息等犯罪行為進行了明確規定，《民法典》《個人信息保護法》以及《關于審理使用人臉識別技術處理個人信息相關民事案件適用于法律若干問題的規定》對于規范人臉信息處理活動提供了堅實的依據，相關法律法規及標準規范不斷更新完善。

2021年11月，中國信通院公布了“可信AI:人臉識別評估”首輪成果，中關村科金、騰訊云、百度、京東、螞蟻金服等7家知名企業順利通過此次評估且系統安全防護能力達到優秀級。據公開資料顯示，中關村科金的多模態防偽與安全平臺目前支持防偽能力檢測類型已達11種，其中呈現式活體攻擊單幀靜默錯誤接受率低至0.5%；深度偽造單幀檢測錯誤接受率低至0%；身份證偽造單幀檢測準確率高達99.2%。

馮月表示，到2023年，該產品防偽種類將超過30種，平均防偽精度普遍超過95%，有望服務超過300家企業。截至目前，得助多模態生物防偽與安全平臺已在金融機構多個業務場景應用。例如，當前有“黑灰產中介”以牟利為目的，誘導消費者委托其代理維權，讓金融機構不堪其擾的場景中，該產品可以用于識別代理維權機構，通過聲紋識別和語音偽造檢測，明確用戶是否為本人。

騰訊衛士是一款集“用戶舉報、違規打擊、用戶教育”為一體的公益性綜合安全服務平臺，成立以來，已累計服務用戶量1.5億，受理有效舉報量近6000萬，打擊違法違規賬號超1000萬。

“在產業數字互聯的大時代中，黑產防護與數字化是一體兩面，隨著業務邊界的擴大與增長，黑產隱蔽化、技術化、產業化的特點也愈發凸顯，單靠某個企業單打獨斗、閉門造車必然無法應對未來千變萬化的黑產形式。需要通過國家、行業、機構多個層面的聯合共建，強化黑產的抵御之路。”《2021年網絡金融黑產研究報告》稱。