應用

技術

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

恐怖!人臉識別技術被攻克,你的臉將不再受你自己控制!

2020-07-24 14:24 騰訊網(wǎng)

導讀:很多人都體驗過人臉識別認證,只要配合軟件要求作出點頭、搖頭、眨眼、張嘴等動作,確認你就是你之后,就會通過認證。

果有一天,你想在某APP上注冊一個賬號,卻發(fā)現(xiàn)自己已經(jīng)“被注冊”了,姓名、身份證號是自己的,但自己卻一點不知情,而且你在這個APP上本該享有的權益全部被用完了。

如果有一天,你莫名成為了某婚戀/交友/購物網(wǎng)站的實名認證客戶,而且這個“自己”大肆從事“殺豬盤”或者其他違法犯罪活動,直到警方找上門,你才發(fā)現(xiàn)自己竟然成為了“犯罪嫌疑人”。

如果出現(xiàn)上述情況,請不要覺得不可思議。雖然說諸多科技公司一再宣傳人臉技術識別技術的安全性,但是近期發(fā)生的多個案例表明,人臉識別技術的某些漏洞已經(jīng)被攻破并被大肆應用。近期,警方抓獲了一個人臉識別認證黑產(chǎn)團伙,終結(jié)詐騙團隊有幸參與關鍵作案過程的還原工作。下面二弟就為你客觀、真實揭秘這一犯罪過程,并評估風險,提出相關建議。

案件的起因很簡單。一名群眾準備在某機構(gòu)網(wǎng)站辦理業(yè)務時,忽然發(fā)現(xiàn)自己早已經(jīng)是該網(wǎng)站的注冊用戶。而按照這個網(wǎng)站的要求,必須要輸入姓名、身份證號、手機號、驗證碼,并且要進行人臉識別認證才可以注冊。

經(jīng)常關終結(jié)詐騙的粉絲都知道,在黑市上購買一個人的姓名、身份證號很容易,找個接碼平臺也可以解決手機號和驗證碼的問題,但是臉長在自己身上,加上人臉識別環(huán)節(jié)應該是當前最安全的認證方式了,但為什么這名群眾在不知情的情況下,還是被實名注冊了呢?

警方循線追蹤,經(jīng)過艱苦努力抓獲了這個黑產(chǎn)鏈條的多名嫌疑人。為了解開謎團,辦案民警決定對關鍵的人臉認證環(huán)節(jié)進行偵查實驗,二弟得到允許后,到場見證了整個實驗過程。

一大早,二弟和辦案民警一起先去看守所把嫌疑人小李(化名)提了出來,并找出這個案件所有的檔案、作案工具,來到一間會議室。小李是案件中的“靈魂人物”,屬于那種可以傳授別人技術的“教練”、“師傅”,為了讓他知無不言、言無不盡,二弟給他倒了一杯溫開水。

嫌疑人小李及案件檔案、作案工具

(還有一臺筆記本電腦,沒有拍攝到)

嫌疑人經(jīng)過這幾天的反省,基本上已經(jīng)認識到自己的錯誤,雖然玫瑰金“手鐲”限制了他的自由,但是整個人情緒平穩(wěn),思路清晰,非常配合。在簡單的溝通交流后,小李開始給我們演練整個人臉識別認證的過程。

第一步:“查大頭”、“買大頭”

很多人都體驗過人臉識別認證,只要配合軟件要求作出點頭、搖頭、眨眼、張嘴等動作,確認你就是你之后,就會通過認證。但是小李他們既然做的是黑產(chǎn),自然不會有人專門配合(甚至根本不知情),所以他們要用技術手段模擬出這些動作,而他們所需要的,僅僅是一張照片就可以了。

小李招收徒弟時打出的廣告,也特別強調(diào)了這一點——只需一張照片,就可以實現(xiàn)人臉識別認證秒過,而且還可以按照要求做出身份證正反面、手持身份證等全套資料,進而實現(xiàn)注冊賬號、解封賬號、額度提升、支付轉(zhuǎn)賬等各類業(yè)務。

人臉識別認證黑產(chǎn)發(fā)布的廣告

小李他們把找照片的過程叫做“查大頭”或者“買大頭”,“大頭”就是“大頭照”的意思。

所謂“查大頭”,就是知道了一個人的姓名、身份證號,想用他的身份注冊或辦理業(yè)務,就會找人去查大頭照。在這個案件中,某銀行信用卡發(fā)行部的人就參與了“大頭照”的查詢販賣。因為他們的系統(tǒng)有個功能,只要輸入姓名和身份證號就可以彈出身份證照片,以便業(yè)務員審核材料,但是這個業(yè)務員卻利用職務之便把這些照片拷貝下來,賣給“小李”他們。可惡的內(nèi)鬼!

所謂“買大頭”,就更直接粗暴了,那就是直接購買“姓名+身份證號+頭像照片”等全套材料。這類材料在黑市也是應有盡有,比如有些人在不正規(guī)的小額貸款公司貸款時,一般都會上傳自己的身份證正反面以及手持身份證照片,這些正是小李需要的資料。

小李電腦上保存的“大頭照”資料。此大頭照為合成照片,并已做技術處理,不代表任何一個人。

第二步:活起來、動起來

有了“大頭照”和照片主人的姓名、身份證號之后,下面要做的就是讓照片“活起來”,并且要像真人一樣“動起來”,做出相應的動作。小李打開筆記本電腦,嫻熟地進行操作。

他首先使用A軟件,按照自己的經(jīng)驗對照片進行調(diào)色,然后將調(diào)色后的照片導入到B軟件,開始了下面的3D建模與渲染操作。

一番勾選、渲染之后,照片仿佛被注入了靈魂,開始“活起來”了,小李說,下面還要給照片注入“真氣”,讓他動起來,這就需要各類腳本的加持。

于是,他打開了電腦上保存的腳本庫,給我們展示了他的技術實力。

比如“搖頭”

比如“張嘴”

比如“眨眼”

當然,通過“腳本”的加持,還可以讓渲染過的照片做出各種動作,基本囊括目前人臉識別的主流動作。到這一步,已經(jīng)完成了90%的工作量。

第三步:騙過攝像頭

行百里者,半于九十。視頻識別認證一般要求人對著攝像頭做動作,在沒有真人的情況下,如何讓攝像頭相信他面前就站著一個真人,就特別關鍵。

有人說,可以把攝像頭對準電腦屏幕,再點擊播放那段做好的視頻不就行了。這個方法確實簡單,但卻行不通,因為大家都有這個常識,通過攝像頭去拍攝電腦屏幕時,會有雪花、條紋等,非常不清晰,騙不過攝像頭。這是因為手機攝像頭傳感器的像素陣列的空間頻率和電腦屏幕像素網(wǎng)格不同,會因空間混疊干擾而出現(xiàn)“莫爾條紋”。

“莫爾條紋”示意圖

那怎么辦?小李他們想出了一個更直接的辦法,直接“劫持”攝像頭:把做好的視頻事先保存到一個經(jīng)過特殊處理的手機上,然后通過C軟件將視頻導入,這樣,在視頻認證環(huán)節(jié)需要人臉驗證時,會彈出“選擇媒體”的模塊,而不是直接啟動攝像頭。

經(jīng)過特殊處理的手機,在連識別認證環(huán)節(jié)會出現(xiàn)此界面,而不是直接啟動攝像頭

通過這樣的操作,軟件會把這些導入的視頻認為是攝像頭拍攝的,如果所做出的動作符合要求,就會認為“這張照片”是真的人、可以信賴的人,進而通過認證。當然了,因為很多軟件的要求的動作都是隨機出現(xiàn)的,有的要求先眨眼再搖頭,有的要求先點頭再搖頭再眨眼,小李他們?yōu)榱艘?guī)避這一點,就會事先錄制不同組合的視頻,一個個去匹配。

小李通過這幾步操作,當著我們的面注冊了幾個網(wǎng)站和APP 的會員,看得人目瞪口呆。當然,二弟是不愿意放過這千載難逢的機會的,我又和小李深度聊了一下關于這類黑產(chǎn)鏈條的內(nèi)幕,也解答一下此刻可能縈繞在你心頭的疑問。

01 這條產(chǎn)業(yè)鏈存在多久了?

小李是2018年入行的,當然也是其他師傅帶著他。其實,早在2017年的“3.15”晚會上,主持人就現(xiàn)場用一張照片破解了人臉識別軟件,雖然第二天各大科技公司紛紛辟謠說人臉識別認證絕對安全,但是事實上,這條黑產(chǎn)鏈條一直存在并且逐步在發(fā)展壯大,技術也一直在進步。

2017年的“315”晚會上,主持人用一張照片現(xiàn)場破解了人臉識別軟件

黑產(chǎn)鏈條猖獗到什么地步呢?按照小李的說法,不論是什么文化,“只要不是傻子”,花幾百塊錢就能包教會。如果你不想學,給你做一張會做各種動作的照片最低只收5毛錢,賣一套軟件只需要35塊錢。

當然, 并不是所有的廣告都是真實的,很多人交了錢之后,并沒有學到東西,而學到東西的人到最后基本都和小李一個結(jié)局——被抓獲。所以,千萬千萬不要去搜索模仿。

此類黑產(chǎn)做的廣告

02.我們的資金還安全嗎?

有人也許會問,目前我們每天都在使用人臉識別功能,比如手機開鎖、支付轉(zhuǎn)賬、注冊軟件,解封賬號、額度提升等,如果這個技術存在漏洞,那么別人是不是可以解鎖我的手機,或者進行支付轉(zhuǎn)賬操作呢?

理論上是可以的。但請放心,實際上出現(xiàn)的概率微乎其微。據(jù)小李講,目前干他們這行的,主要針對一些可以反復操作、延時操作的應用場景,最多的就是注冊軟件、解封賬號、額度提升等,小李曾經(jīng)做過某類社交軟件賬號解凍、貸款額度提升以及開通購物商城店鋪等幾類業(yè)務。

嫌疑人手機中的廣告圖片

手機開鎖、支付轉(zhuǎn)賬類的人臉識別場景,需要驗證的維度多、給的時間短,成功率極低,他只是聽說有人破解過,但從來沒有實現(xiàn)過所以,大家暫時可以不必擔心資金的安全。萬一被攻克了,那些廠家會第一時間理賠的,他們也怕出事。

但是也要給這些大公司提個醒:目前,大家耳熟能詳?shù)膸准掖蠊径贾羞^招(為了避免恐慌和其他嫌疑人效仿,這里不再點名),這些大公司的技術人員們,不要老覺得自己的技術多牛逼,如果你不持續(xù)迭代更新,這些漏洞很容易被攻克、利用!

央視二套《第一時間》曾做過一期欄目,里面有黑產(chǎn)從業(yè)者在聊天中曾表示主流的網(wǎng)站都可以過。這些言論的真假未經(jīng)過驗證(也可能是吹牛逼),但真的需要引起各大公司警惕。

03.我們該如何防護?

雖然資金安全能夠保證,但是如果別人拿著我們的身份注冊一些賬號,也會后患無窮。比如開頭說的,如果有人幫你在婚戀交友網(wǎng)站注冊賬號,還去騙錢騙色,那很可能會被列為“嫌疑人”,有人用你的身份注冊了政府機構(gòu)網(wǎng)站的賬號,辦理了相關業(yè)務,那么你就辦不了了。

但悲哀的是,因為公民信息販賣的黑產(chǎn)鏈條非常猖獗,很多時候我們是無法主動防護的,唯一能做的:就是不要隨便在不明軟件上泄露自己的大頭照信息。比如在某些娛樂性質(zhì)的APP上上傳圖片以便生成相應搞笑圖像,在某些不明軟件上上傳手持身份證照片等。這樣,才能盡可能減少照片被利用的風險。

特別說明

1.人臉識別技術總體來說是安全的,目前掌握到的黑產(chǎn),主要利用的是特殊應用場景下(遠程、可多次試驗)人臉識別技術的相關漏洞,文章標題中的“人臉識別技術被攻克”專指“小李”們掌握的這些“過人臉”技術。

2.央視等新聞媒體已經(jīng)報道過該類黑產(chǎn)的產(chǎn)業(yè)鏈。為避免教唆,文中還是隱去了軟件名字等關鍵信息。再次敬告,不要嘗試搜索學習,結(jié)果只有兩個:要么被騙,要么被抓。

3.除非特別聲明,文中照片、視頻均來自二弟現(xiàn)場拍攝,使用請先取得授權,并注明來源終結(jié)詐騙公眾號。

特別鳴謝:深圳市公安局龍崗分局提供行動支持