應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

恐怖!人臉識(shí)別技術(shù)被攻克,你的臉將不再受你自己控制!

2020-07-24 14:24 騰訊網(wǎng)

導(dǎo)讀:很多人都體驗(yàn)過(guò)人臉識(shí)別認(rèn)證,只要配合軟件要求作出點(diǎn)頭、搖頭、眨眼、張嘴等動(dòng)作,確認(rèn)你就是你之后,就會(huì)通過(guò)認(rèn)證。

果有一天,你想在某APP上注冊(cè)一個(gè)賬號(hào),卻發(fā)現(xiàn)自己已經(jīng)“被注冊(cè)”了,姓名、身份證號(hào)是自己的,但自己卻一點(diǎn)不知情,而且你在這個(gè)APP上本該享有的權(quán)益全部被用完了。

如果有一天,你莫名成為了某婚戀/交友/購(gòu)物網(wǎng)站的實(shí)名認(rèn)證客戶,而且這個(gè)“自己”大肆從事“殺豬盤”或者其他違法犯罪活動(dòng),直到警方找上門,你才發(fā)現(xiàn)自己竟然成為了“犯罪嫌疑人”。

如果出現(xiàn)上述情況,請(qǐng)不要覺(jué)得不可思議。雖然說(shuō)諸多科技公司一再宣傳人臉技術(shù)識(shí)別技術(shù)的安全性,但是近期發(fā)生的多個(gè)案例表明,人臉識(shí)別技術(shù)的某些漏洞已經(jīng)被攻破并被大肆應(yīng)用。近期,警方抓獲了一個(gè)人臉識(shí)別認(rèn)證黑產(chǎn)團(tuán)伙,終結(jié)詐騙團(tuán)隊(duì)有幸參與關(guān)鍵作案過(guò)程的還原工作。下面二弟就為你客觀、真實(shí)揭秘這一犯罪過(guò)程,并評(píng)估風(fēng)險(xiǎn),提出相關(guān)建議。

案件的起因很簡(jiǎn)單。一名群眾準(zhǔn)備在某機(jī)構(gòu)網(wǎng)站辦理業(yè)務(wù)時(shí),忽然發(fā)現(xiàn)自己早已經(jīng)是該網(wǎng)站的注冊(cè)用戶。而按照這個(gè)網(wǎng)站的要求,必須要輸入姓名、身份證號(hào)、手機(jī)號(hào)、驗(yàn)證碼,并且要進(jìn)行人臉識(shí)別認(rèn)證才可以注冊(cè)。

經(jīng)常關(guān)終結(jié)詐騙的粉絲都知道,在黑市上購(gòu)買一個(gè)人的姓名、身份證號(hào)很容易,找個(gè)接碼平臺(tái)也可以解決手機(jī)號(hào)和驗(yàn)證碼的問(wèn)題,但是臉長(zhǎng)在自己身上,加上人臉識(shí)別環(huán)節(jié)應(yīng)該是當(dāng)前最安全的認(rèn)證方式了,但為什么這名群眾在不知情的情況下,還是被實(shí)名注冊(cè)了呢?

警方循線追蹤,經(jīng)過(guò)艱苦努力抓獲了這個(gè)黑產(chǎn)鏈條的多名嫌疑人。為了解開(kāi)謎團(tuán),辦案民警決定對(duì)關(guān)鍵的人臉認(rèn)證環(huán)節(jié)進(jìn)行偵查實(shí)驗(yàn),二弟得到允許后,到場(chǎng)見(jiàn)證了整個(gè)實(shí)驗(yàn)過(guò)程。

一大早,二弟和辦案民警一起先去看守所把嫌疑人小李(化名)提了出來(lái),并找出這個(gè)案件所有的檔案、作案工具,來(lái)到一間會(huì)議室。小李是案件中的“靈魂人物”,屬于那種可以傳授別人技術(shù)的“教練”、“師傅”,為了讓他知無(wú)不言、言無(wú)不盡,二弟給他倒了一杯溫開(kāi)水。

嫌疑人小李及案件檔案、作案工具

(還有一臺(tái)筆記本電腦,沒(méi)有拍攝到)

嫌疑人經(jīng)過(guò)這幾天的反省,基本上已經(jīng)認(rèn)識(shí)到自己的錯(cuò)誤,雖然玫瑰金“手鐲”限制了他的自由,但是整個(gè)人情緒平穩(wěn),思路清晰,非常配合。在簡(jiǎn)單的溝通交流后,小李開(kāi)始給我們演練整個(gè)人臉識(shí)別認(rèn)證的過(guò)程。

第一步:“查大頭”、“買大頭”

很多人都體驗(yàn)過(guò)人臉識(shí)別認(rèn)證,只要配合軟件要求作出點(diǎn)頭、搖頭、眨眼、張嘴等動(dòng)作,確認(rèn)你就是你之后,就會(huì)通過(guò)認(rèn)證。但是小李他們既然做的是黑產(chǎn),自然不會(huì)有人專門配合(甚至根本不知情),所以他們要用技術(shù)手段模擬出這些動(dòng)作,而他們所需要的,僅僅是一張照片就可以了。

小李招收徒弟時(shí)打出的廣告,也特別強(qiáng)調(diào)了這一點(diǎn)——只需一張照片,就可以實(shí)現(xiàn)人臉識(shí)別認(rèn)證秒過(guò),而且還可以按照要求做出身份證正反面、手持身份證等全套資料,進(jìn)而實(shí)現(xiàn)注冊(cè)賬號(hào)、解封賬號(hào)、額度提升、支付轉(zhuǎn)賬等各類業(yè)務(wù)。

人臉識(shí)別認(rèn)證黑產(chǎn)發(fā)布的廣告

小李他們把找照片的過(guò)程叫做“查大頭”或者“買大頭”,“大頭”就是“大頭照”的意思。

所謂“查大頭”,就是知道了一個(gè)人的姓名、身份證號(hào),想用他的身份注冊(cè)或辦理業(yè)務(wù),就會(huì)找人去查大頭照。在這個(gè)案件中,某銀行信用卡發(fā)行部的人就參與了“大頭照”的查詢販賣。因?yàn)樗麄兊南到y(tǒng)有個(gè)功能,只要輸入姓名和身份證號(hào)就可以彈出身份證照片,以便業(yè)務(wù)員審核材料,但是這個(gè)業(yè)務(wù)員卻利用職務(wù)之便把這些照片拷貝下來(lái),賣給“小李”他們??蓯旱膬?nèi)鬼!

所謂“買大頭”,就更直接粗暴了,那就是直接購(gòu)買“姓名+身份證號(hào)+頭像照片”等全套材料。這類材料在黑市也是應(yīng)有盡有,比如有些人在不正規(guī)的小額貸款公司貸款時(shí),一般都會(huì)上傳自己的身份證正反面以及手持身份證照片,這些正是小李需要的資料。

小李電腦上保存的“大頭照”資料。此大頭照為合成照片,并已做技術(shù)處理,不代表任何一個(gè)人。

第二步:活起來(lái)、動(dòng)起來(lái)

有了“大頭照”和照片主人的姓名、身份證號(hào)之后,下面要做的就是讓照片“活起來(lái)”,并且要像真人一樣“動(dòng)起來(lái)”,做出相應(yīng)的動(dòng)作。小李打開(kāi)筆記本電腦,嫻熟地進(jìn)行操作。

他首先使用A軟件,按照自己的經(jīng)驗(yàn)對(duì)照片進(jìn)行調(diào)色,然后將調(diào)色后的照片導(dǎo)入到B軟件,開(kāi)始了下面的3D建模與渲染操作

一番勾選、渲染之后,照片仿佛被注入了靈魂,開(kāi)始“活起來(lái)”了,小李說(shuō),下面還要給照片注入“真氣”,讓他動(dòng)起來(lái),這就需要各類腳本的加持。

于是,他打開(kāi)了電腦上保存的腳本庫(kù),給我們展示了他的技術(shù)實(shí)力。

比如“搖頭”

比如“張嘴”

比如“眨眼”

當(dāng)然,通過(guò)“腳本”的加持,還可以讓渲染過(guò)的照片做出各種動(dòng)作,基本囊括目前人臉識(shí)別的主流動(dòng)作。到這一步,已經(jīng)完成了90%的工作量。

第三步:騙過(guò)攝像頭

行百里者,半于九十。視頻識(shí)別認(rèn)證一般要求人對(duì)著攝像頭做動(dòng)作,在沒(méi)有真人的情況下,如何讓攝像頭相信他面前就站著一個(gè)真人,就特別關(guān)鍵。

有人說(shuō),可以把攝像頭對(duì)準(zhǔn)電腦屏幕,再點(diǎn)擊播放那段做好的視頻不就行了。這個(gè)方法確實(shí)簡(jiǎn)單,但卻行不通,因?yàn)榇蠹叶加羞@個(gè)常識(shí),通過(guò)攝像頭去拍攝電腦屏幕時(shí),會(huì)有雪花、條紋等,非常不清晰,騙不過(guò)攝像頭。這是因?yàn)槭謾C(jī)攝像頭傳感器的像素陣列的空間頻率和電腦屏幕像素網(wǎng)格不同,會(huì)因空間混疊干擾而出現(xiàn)“莫爾條紋”。

“莫爾條紋”示意圖

那怎么辦?小李他們想出了一個(gè)更直接的辦法,直接“劫持”攝像頭:把做好的視頻事先保存到一個(gè)經(jīng)過(guò)特殊處理的手機(jī)上,然后通過(guò)C軟件將視頻導(dǎo)入,這樣,在視頻認(rèn)證環(huán)節(jié)需要人臉驗(yàn)證時(shí),會(huì)彈出“選擇媒體”的模塊,而不是直接啟動(dòng)攝像頭。

經(jīng)過(guò)特殊處理的手機(jī),在連識(shí)別認(rèn)證環(huán)節(jié)會(huì)出現(xiàn)此界面,而不是直接啟動(dòng)攝像頭

通過(guò)這樣的操作,軟件會(huì)把這些導(dǎo)入的視頻認(rèn)為是攝像頭拍攝的,如果所做出的動(dòng)作符合要求,就會(huì)認(rèn)為“這張照片”是真的人、可以信賴的人,進(jìn)而通過(guò)認(rèn)證。當(dāng)然了,因?yàn)楹芏嘬浖囊蟮膭?dòng)作都是隨機(jī)出現(xiàn)的,有的要求先眨眼再搖頭,有的要求先點(diǎn)頭再搖頭再眨眼,小李他們?yōu)榱艘?guī)避這一點(diǎn),就會(huì)事先錄制不同組合的視頻,一個(gè)個(gè)去匹配。

小李通過(guò)這幾步操作,當(dāng)著我們的面注冊(cè)了幾個(gè)網(wǎng)站和APP 的會(huì)員,看得人目瞪口呆。當(dāng)然,二弟是不愿意放過(guò)這千載難逢的機(jī)會(huì)的,我又和小李深度聊了一下關(guān)于這類黑產(chǎn)鏈條的內(nèi)幕,也解答一下此刻可能縈繞在你心頭的疑問(wèn)。

01 這條產(chǎn)業(yè)鏈存在多久了?

小李是2018年入行的,當(dāng)然也是其他師傅帶著他。其實(shí),早在2017年的“3.15”晚會(huì)上,主持人就現(xiàn)場(chǎng)用一張照片破解了人臉識(shí)別軟件,雖然第二天各大科技公司紛紛辟謠說(shuō)人臉識(shí)別認(rèn)證絕對(duì)安全,但是事實(shí)上,這條黑產(chǎn)鏈條一直存在并且逐步在發(fā)展壯大,技術(shù)也一直在進(jìn)步。

2017年的“315”晚會(huì)上,主持人用一張照片現(xiàn)場(chǎng)破解了人臉識(shí)別軟件

黑產(chǎn)鏈條猖獗到什么地步呢?按照小李的說(shuō)法,不論是什么文化,“只要不是傻子”,花幾百塊錢就能包教會(huì)。如果你不想學(xué),給你做一張會(huì)做各種動(dòng)作的照片最低只收5毛錢,賣一套軟件只需要35塊錢。

當(dāng)然, 并不是所有的廣告都是真實(shí)的,很多人交了錢之后,并沒(méi)有學(xué)到東西,而學(xué)到東西的人到最后基本都和小李一個(gè)結(jié)局——被抓獲。所以,千萬(wàn)千萬(wàn)不要去搜索模仿。

此類黑產(chǎn)做的廣告

02.我們的資金還安全嗎?

有人也許會(huì)問(wèn),目前我們每天都在使用人臉識(shí)別功能,比如手機(jī)開(kāi)鎖、支付轉(zhuǎn)賬、注冊(cè)軟件,解封賬號(hào)、額度提升等,如果這個(gè)技術(shù)存在漏洞,那么別人是不是可以解鎖我的手機(jī),或者進(jìn)行支付轉(zhuǎn)賬操作呢?

理論上是可以的。但請(qǐng)放心,實(shí)際上出現(xiàn)的概率微乎其微。據(jù)小李講,目前干他們這行的,主要針對(duì)一些可以反復(fù)操作、延時(shí)操作的應(yīng)用場(chǎng)景,最多的就是注冊(cè)軟件、解封賬號(hào)、額度提升等,小李曾經(jīng)做過(guò)某類社交軟件賬號(hào)解凍、貸款額度提升以及開(kāi)通購(gòu)物商城店鋪等幾類業(yè)務(wù)。

嫌疑人手機(jī)中的廣告圖片

手機(jī)開(kāi)鎖、支付轉(zhuǎn)賬類的人臉識(shí)別場(chǎng)景,需要驗(yàn)證的維度多、給的時(shí)間短,成功率極低,他只是聽(tīng)說(shuō)有人破解過(guò),但從來(lái)沒(méi)有實(shí)現(xiàn)過(guò)。所以,大家暫時(shí)可以不必?fù)?dān)心資金的安全。萬(wàn)一被攻克了,那些廠家會(huì)第一時(shí)間理賠的,他們也怕出事。

但是也要給這些大公司提個(gè)醒:目前,大家耳熟能詳?shù)膸准掖蠊径贾羞^(guò)招(為了避免恐慌和其他嫌疑人效仿,這里不再點(diǎn)名),這些大公司的技術(shù)人員們,不要老覺(jué)得自己的技術(shù)多牛逼,如果你不持續(xù)迭代更新,這些漏洞很容易被攻克、利用!

央視二套《第一時(shí)間》曾做過(guò)一期欄目,里面有黑產(chǎn)從業(yè)者在聊天中曾表示主流的網(wǎng)站都可以過(guò)。這些言論的真假未經(jīng)過(guò)驗(yàn)證(也可能是吹牛逼),但真的需要引起各大公司警惕。

03.我們?cè)撊绾畏雷o(hù)?

雖然資金安全能夠保證,但是如果別人拿著我們的身份注冊(cè)一些賬號(hào),也會(huì)后患無(wú)窮。比如開(kāi)頭說(shuō)的,如果有人幫你在婚戀交友網(wǎng)站注冊(cè)賬號(hào),還去騙錢騙色,那很可能會(huì)被列為“嫌疑人”,有人用你的身份注冊(cè)了政府機(jī)構(gòu)網(wǎng)站的賬號(hào),辦理了相關(guān)業(yè)務(wù),那么你就辦不了了。

但悲哀的是,因?yàn)楣裥畔⒇溬u的黑產(chǎn)鏈條非常猖獗,很多時(shí)候我們是無(wú)法主動(dòng)防護(hù)的,唯一能做的:就是不要隨便在不明軟件上泄露自己的大頭照信息。比如在某些娛樂(lè)性質(zhì)的APP上上傳圖片以便生成相應(yīng)搞笑圖像,在某些不明軟件上上傳手持身份證照片等。這樣,才能盡可能減少照片被利用的風(fēng)險(xiǎn)。

特別說(shuō)明

1.人臉識(shí)別技術(shù)總體來(lái)說(shuō)是安全的,目前掌握到的黑產(chǎn),主要利用的是特殊應(yīng)用場(chǎng)景下(遠(yuǎn)程、可多次試驗(yàn))人臉識(shí)別技術(shù)的相關(guān)漏洞,文章標(biāo)題中的“人臉識(shí)別技術(shù)被攻克”專指“小李”們掌握的這些“過(guò)人臉”技術(shù)。

2.央視等新聞媒體已經(jīng)報(bào)道過(guò)該類黑產(chǎn)的產(chǎn)業(yè)鏈。為避免教唆,文中還是隱去了軟件名字等關(guān)鍵信息。再次敬告,不要嘗試搜索學(xué)習(xí),結(jié)果只有兩個(gè):要么被騙,要么被抓。

3.除非特別聲明,文中照片、視頻均來(lái)自二弟現(xiàn)場(chǎng)拍攝,使用請(qǐng)先取得授權(quán),并注明來(lái)源終結(jié)詐騙公眾號(hào)。

特別鳴謝:深圳市公安局龍崗分局提供行動(dòng)支持