一张身份证怎么攻占人脸识别技术
黑客联盟2017.04.07 11:08关注确定不再关注此人吗
这些信息除了包括身份证正反面、还有手持自拍、侧拍、拿报纸拍,更为神奇还有抬头、点头、左转、右转、读文字的录象。最令人担心的是,上述环节黑产人员都可以通过自动化生成,成本颇低。
央视“315”晚会爆光了人脸辨识领域的安全风险以后,一时间造成广泛关注。其实,绕过人脸辨识策略的黑产自今年就开始出现。
2016年12月,腾讯守护者计划安全团队协助广东公安查获一专门贩运公民身份证、动态认证视频(抬头、低头、眨眨耳朵、读一段文字)的窝点,共计抓捕犯罪嫌疑人14人,扣押赃物300余万元,查获的身份证照片及认证用视频高达1800G,粗略估算超过50000人的身分信息被完全爆光。
这些信息除了包括身份证正反面、还有手持自拍、侧拍、拿报纸拍,更为神奇还有抬头、点头、左转、右转、读文字的录象。最令人担心的是,上述环节黑产人员都可以通过自动化生成,成本颇低。
下面,来瞧瞧这样的网路黑产到底是怎么作案的。
一、那些行业须要实名认证
《人民邮电报》官方陌陌发文称,工信部近期下发通知,要求各基础联通企业确保在2016年12月 31日前本企业全部电话用户实名率达到95%以上,2017年6月30日前全部电话用户实现实名登记。此为“史上最严电话实名制”。
寄快件要实名制登记,支付宝、微信要实名制登记,网络主播要实名制登记;更别提网路按揭、远程开户、坐高铁客机,这一系列的行业都须要实名制。身份证和远程视频(俗称刷脸)是这一些实名的核心之一,有人要实名就一定有人不想实名,黑产就如此诞生服务于庞大的市场。
一张包括正反面信息的身份证照片,只需50-100块钱。一张人证一致的手持身份证照片,也只须要100-200元。如果想注册企业帐号,你可以再花上800-1000元,就能给你出一整套的企业三证,拿去申请注册企业帐号,或是申请个淘宝去搞点偷鸡摸狗的勾当,效果都是有杠杠的。
以下是督查市场后的行情:
(一)注册淘宝
一个实名认证成功的淘宝网店的黑市价格,个人注册通过终审的店面可以卖300元,而个人注册通过终审的店面可以卖800元,企业认证店面更贵,可以卖到1300元。这些被专门注册拿来走私的淘宝网店。还有支付宝帐号,如果想升级到V2,也必须通过动态视频来进行身分核查认证。但这一切,都还能被黑产结伙制做出的动态视频轻松搞定。
(二)申请网贷帐号
许多网贷平台为追求效率和用户体验,往往只须要在网上递交资料进行身分信息初审,能够在三天甚至更短的时间内完成初审及放款,平台的好多风控举措在这种黑产结伙面前都还能绕开。而通过盗用别人身分在网贷平台恶意吸储仍然是该行业的痤疮。
(三)第三方支付平台身份认证
用虚假身分来进行第三方平台的帐号并进行实名认证,这些帐号,无论是自用,还是在黑市上转让,其使用的目的都不会太正经。
(四)账号进行解冻或申述
黑产人员所用的淘宝或第三方支付平台帐号,多数并非本人实名申请的,因此一旦命中平台的风控策略被冻结,就必须按要求提供注册人本人的身分资料去解封。而这时,通过黑产人员制做一套注册人的身分资料是最安全和快捷的办法。
二、量产的身份证
作为企业风控人员,如果认为跑腿找大叔大叔买卖身份证、住址、年龄、营业执照、转账账簿、银行流水等的成本挺高,黑产规模不大,那就是鸵鸟态度了。
在PS面前,不仅可以随便制做各种用于帐号身分初审的身份证照片、营业执照、银行流水单等身分证明资料,还能将一张静态的照片,制作成动态视频,从而通过各大网路支付平台的动态视频验证程序。
以广东民警抓获的案件为例,只需提供一个身份证号码,就能PS出一整套仿真度极高的身份证照片、手持身份证照片及指定手持各类报纸的照片。全套资料专用于各大平台的实名注册认证。
在PS面前,这些身份证或手持身份证的可信度基本为零,不仅可以随便变换照片中的姓名、住址、身份证号码等信息。就算是把整个身份证换个脸也是很轻松的事情。同一张脸,不同身分,或是同一个身分,不同的脸。你须要哪些都能给你P下来。
黑产的威力远不止这么,不光静态的身份证认证早已被攻陷,连动态的在线人像视频认证,也早已被轻松搞定。
三、动态视频认证——会说话的相片
一些B2C平台、第三方支付平台或各种网贷平台,为了提升申请帐号真实性,除了须要在线递交手持身份证复印件进行身分验证之外等,在用户在进行一些高危操作或提高更高权限前,往往还须要进行真人视频验证。
这种真人视频验证有两种:
一种是有平台或企业工作人员在线进行一对一的视频验证。但这些视频认证占用人力资源较高,效率低,所以一般只是建行或证券行业使用。各类网路平台,因视频验证的量级大。
另一种是采用机器算法手动辨识的非人工验证方法,来完成动态视频的验证过程。
目前比较常见的机器初审的视频验证方法一般有三种:
(一)与开户开启在线视频以后,随机要求用户按指令做出四个指定动作,如点头、摇头、眨眼、张嘴;
(二)在开启在线视频以后中,系统随机生成一个四位数字,让认证用户口述念出;
(三)这种验证方法愈加复杂,通常用于网贷类平台,会要求用户手持身分护照,指念出自己的姓名、身份证号或按揭协议条款等字句。但那些视频验证方法,只要不是人工一对一初审,就都有可能被软件制做下来的虚假认证视频给绕开。
四、制作动态视频认证产业
真相远比想像中要简单得多,找到一张与帐号注册者身分一致的大头照或是手持身份证的高清照,再加一个Crazytalk软件足矣。
用前面的工具,绕过动态视频验证,只需三步:
(一)找到一个帐号注册人的大头照。这个并不难,在网上找个信息查询商,提供一个身份证号码,再花上几十块钱,就能很快查到与这个身份证号相关的户口资料;
(二)用Crazytalk软件将领到的大头照或身份证照片,圈定人脸的轮廓、眼睛、鼻子、嘴角、牙齿等等参数;导入到软件中便可生成初步的信息,但这种都动态无声音、无背景音的;
(三)依据不同平台验证的形式不一,制作出的视频要求也不一样。有的是报一串随时的数字,有的是念一短句话,还有的是点头、摇头、眨眼、张嘴等表情;
(四)最后一步就是验证了,用手机打开验证页面接通在线视频,把视频对着笔记本屏幕,你验证要我做嘛动作,我就在笔记本屏幕上播放嘛动作,简单吗?真的就如此简单。
也许你会问,视频认证的要求播报的数字是随机的,那提早做好的动态视频认证如何会晓得?确实这是个关键点,无孔不入的黑产人员早就早已发觉了这儿的BUG了。
因为目前多数平台的在线视频验证体系中,并没有设置时效上的要求。也就是说,我可以先打开在线视频认证界面,获取到系统要求我念出的随机数字,只要验证的页面不关,这串数字就不会变。然后黑产人员就可以拿着这串数字去从容的找人做动态视频了。
一套动态视频的制做时间,也就一两个小时。至于点头、摇头、眨眼、张嘴等动作,则只要提早把一个照片的四个动作全部弄成视频就好了,你须要我做哪一个动作,我就播放哪一个给你看,就如此简单。这样一整套的动态认证视频,制作周期只要1-2个小时,而收费则高达500到1000元。
五、买PS的身份证是否涉及违规
购买了身份证、帮他人PS或则制做了一个视频看似只是做了一些微小的工作,但却早已涉嫌伪造、变造身份证罪。
本罪是行为犯,只要行为人施行了伪造、变造市民身份证的行为,原则上就构成犯罪,应当结案追究刑事责任。刑法第二百八十条第三款伪造、变造市民身份证的,处五年以下有期徒刑、拘役、管制或则剥夺政治权力;情节严重的,处三年以上三年以下有期徒刑。