為全面分析人臉識別市場現狀、面臨的風險隱患及有效的安全保障措施，頂象近日釋出《人臉識別安全白皮書》。《白皮書》就保險行業人臉安全事件進行了詳細分析，並闡述了保險行業的人臉安全應用實踐。

虛假打卡，員工不上班也能領全勤獎

由於人臉識別技術運用主體的技術條件和管理水平良莠不齊，不法分子甚至會開發作弊工具來破解、干擾、攻擊人臉識別技術背後的應用和演算法，進而引發盜竊、詐騙、侵入住宅等犯罪，危及被害人的資料安全、財產安全乃至人身安全。

《人臉識別安全白皮書》顯示：2021年底，“考勤打卡神器”的新聞刷屏網路。就職於某保險公司的梁女士，每天無需到公司上班，在家裡就能完成每日考勤打卡，並拿到全勤獎。

2022年1月，頂象防禦雲業務安全情報中心監測發現保險行業更多類似案例。黑灰產破解多家公司保險考勤系統，還製作出打卡作弊工具，並向保險公司員工兜售“代打卡服務”。透過該服務，保險公司員工能夠不出門不到崗，也可以實現“上班打卡”，輕鬆領取全勤獎。

頂象防禦雲業務安全情報中心分析發現，黑灰產使用三種技術手段進行“虛假考勤”。

1、人臉考勤作弊工具：針對配置人臉識別的考勤系統。購買者啟動黑灰產提供的“人臉偽造考勤作弊工具”，然後登入保險公司的官方App。透過作弊工具會上傳個人照片、輸入工號資訊，作弊工具透過注入方式，向系統內提交虛假資料，從而騙過人臉識別，完成考勤打卡。

2、藍芽考勤作弊工具：針對配置有藍芽檢測考勤系統。購買者將個人照片和工號提交給黑灰產，黑灰產再將相關提交給內部合作人員。在現場的內部合作人員，使用黑灰產的作弊工具，繞過藍芽定位檢測，完成考勤打卡。

3、遠端代打卡：針對不能夠熟練使用作弊工具的購買者，黑灰產提供“遠端代打卡服務”。購買者只需要提供工號給黑灰產，即可完成每日考勤打卡。或者，黑灰產破解公司的考勤系統或App，變成一個山寨App，輸入購買人的照片和工號，即自動完成遠端考勤打卡操作。

員工考勤作弊背後的人臉安全風險

《人臉識別安全白皮書》分析發現，保險公司員工利用人臉考勤作弊工具進行虛假打卡是“人臉識別系統不安全”造成。

人臉識別系統不安全，就是黑灰產破解人臉識別應用或安全保護，篡改驗證流程、通訊資訊，劫持訪問物件、修改軟體程式，將後臺或前端的真資料替換為假資料，以實現虛假人臉資訊的透過。主要破解系統程式碼、劫持攝像頭、篡改傳輸報文進行破壞。

破解系統程式碼：破解人臉識別系統程式碼、人臉識別應用的程式碼，篡改人臉識別程式碼的邏輯，或者注入攻擊指令碼，改變其執行流程，人臉識別系統按照攻擊者設定的路徑進行訪問、反饋。

劫持攝像頭：透過入侵人臉識別裝置，或在裝置上植入後門，透過刷入特定的程式來劫持攝像頭、劫持人臉識別App或應用，繞過人臉的核驗。

篡改傳輸報文：透過破解入侵人臉識別系統或裝置，劫持人臉識別系統與伺服器之間的報文資訊，對人臉資訊進行篡改，或者將真實資訊替換為虛假資訊。

專為人臉識別定製的安全解決方案

《人臉識別安全白皮書》展示了專業人臉識別系統安全的解決方案——頂象業務安全感知防禦平臺。該平臺具有威脅視覺化、威脅可追溯、裝置關聯分析、多賬戶管理、覆蓋多平臺、開放資料接入、主動防禦機制、支援防禦策略和處置自定義和全流程防控等特點，已為保險、銀行、出行、網際網路等多家單位提供人臉識別系統安全保障。

某保險公司省級分公司部署頂象業務安全感知防禦平臺後，當月就發現10000+名代理人透過息進行虛假考勤打卡，攔截阻止超過15萬次風險操作，為分公司挽回500萬元的代理費用。

頂象《人臉識別安全白皮書》共有8章73節。系統對人臉識別組成、人臉識別的潛在風險隱患、人臉識別威脅產生的原因、人臉識別安全保障思路、人臉識別安全解決方案、國家對人臉識別威脅的治理等進行了詳細介紹及重點分析。