今年7月份,兩大銀行接連爆出多名儲戶的數百萬存款被異地“刷臉”盜取,引發全社會關注。其實,因人臉安全問題導致資金被盜、被貸款安全事件已不是新鮮事。
2021年,28歲男子黃某輝趁前女友董某熟睡,翻開董某的眼皮,透過人臉識別,分多次從董某的花唄、借唄、支付寶餘額和銀行卡轉走人民幣共15.41萬元,最後透過套現將這些錢轉到自己手機上。
除了熟人作案,還有儲戶因為人臉資訊丟失被莫名其妙背上貸款。2021年,廣州網際網路法院通報了一起因為“刷臉”引發的借款糾紛。客戶王蘭(化名)在遺失了身份證後,卻被人冒用身份透過銀行的“人臉識別”貸款,導致王蘭因逾期被告上了法庭。2020年10月,四川警方查處一個上百人的詐騙團伙。該團伙購買大量人臉影片,藉助“殭屍企業”“空殼公司”,為6000多人人包裝公積金資訊,然後向多家銀行申請公積金貸款,最終帶來10億多元的壞賬。
基於人臉的識別技術被廣泛運用於金融領域,主要作用是實現線上身份認證,已成為登入、確認、申請、修改等業務環節中重要的驗證技術。當人臉識別被偽造、遭攻擊,會給銀行、儲戶帶來資金損失。
銀保監多次警示人臉安全
監管部門多次發文警示,各金融機構加強人臉資訊保安與人臉識別系統的安全防範。
2021年10月,上海銀保監會提示,金融消費者應當認識到人臉識別採集的生物特徵資訊十分重要,要像保護身份證一樣保護好自己的生物特徵資訊。消費者如果遇到一些“拍照”場景有搖頭、張嘴等特殊動作要求的情況,就應該提高警惕,看清螢幕中是“拍照”還是“人臉識別”。同時,在使用銀行、保險等金融相關App時,要注意不將手機輕易交給他人操作,也不要將驗證碼、支付密碼等關鍵敏感資訊告訴他人。
2022年10月,銀保監會發文警示“高度警惕客戶人臉識別資訊被冒用風險”。並特別提到人臉識別技術存在漏洞。“詐騙分子採取將靜態照片變成動態照片、已有影片植入、遠端影片驗證等手段,攻破人臉識別和活體檢測演算法。破解人臉識別應用安全保護。這說明,人臉識別作為新興生物識別技術,依然存在演算法不精準和系統不安全等風險,應予高度警惕。”
金融人臉安全隱患主要集中在三方面
由於人臉識別技術運用主體的技術條件和管理水平良莠不齊,不法分子甚至會開發作弊工具來破解、干擾、攻擊人臉識別技術背後的應用和演算法,進而引發盜竊、詐騙、盜取資金安全乃至人身安全問題。
頂象釋出《人臉識別安全白皮書》顯示,當前階段人臉風險主要集中在人臉資訊洩露、人臉識別演算法不精準和人臉識別系統不安全等三個方面。
人臉資訊洩露
人臉是重要的隱私資訊,利用各種技術和手段,在未經同意允許或批准的前提下,透過公開或非法手段,收集、儲存、盜取正常的人臉資料,一旦資訊出現洩露,不僅被不法分子進行用於詐騙,更可能被反覆販賣牟利。
人臉識別演算法不精準
戴上眼鏡、帽子、面具,或者製作高仿模型、將2D人臉照片3D建模、利用AI技術將靜態照片變成動態照片等,騙過人臉識別演算法和活體監測演算法。
虛假人臉:使用靜態照片、透過播放預錄製動態影片、利用影像處理或三維建模軟體將照片轉換為動態影片,混淆人臉識別判斷。
人臉改造:戴上眼鏡、帽子、面具等偽裝手段,或者製作高仿模型、將2D人臉照片3D建模、照片活化等方式,騙過人臉識別檢測。
技術換臉:透過AI演算法,將影片中的人物面容替換為他人面容。或者透過AI換臉技術,將一張普通的靜態照片,轉化生成一張表情生動的人臉,甚至可以輕鬆地貼在另一個人的臉上,隨著另一個人的動作和表情自動變化。
人臉識別系統不安全
破解人臉識別應用或保護,篡改驗證流程、通訊資訊,劫持訪問物件、修改軟體程式,將真資料替換為假資料,以騙過人臉識別的核驗。
破解系統程式碼:破解人臉識別系統程式碼、人臉識別應用的程式碼,篡改人臉識別程式碼的邏輯,或者注入攻擊指令碼,改變其執行流程,人臉識別系統按照攻擊者設定的路徑進行訪問、反饋。
劫持攝像頭:透過入侵人臉識別裝置,或在裝置上植入後門,透過刷入特定的程式來劫持攝像頭、劫持人臉識別App或應用,繞過人臉的核驗。
篡改傳輸報文:透過破解入侵人臉識別系統或裝置,劫持人臉識別系統與伺服器之間的報文資訊,對人臉資訊進行篡改,或者將真實資訊替換為虛假資訊。
三方面保障銀行人臉應用安全
《人臉識別安全白皮書》建議在人臉資訊保安、人臉識別精準度和人臉識別系統安全性三方面入手。
人臉資訊保安保障。人臉資訊採集時,在人臉識別裝置處設定顯著標識,向個人資訊主體告知處理規則。依據《個人資訊保護法》完善隱私政策,將涉及人臉資訊等個人敏感資訊的條款重點標出。加大對人臉資訊採集、儲存、加工、傳輸各環節違規行為的懲戒力度。對於濫採、濫用的,需適當加大懲戒力度,形成有效震懾,增強公眾的安全感。建立人臉資訊定期銷燬機制,要求人臉資訊本地化儲存的同時,在一定週期內定期銷燬相關資料。
人臉識別精準度的提升。基於紋理的方法分析人臉影像樣本中的微觀紋理圖案,進一步增強照片和真人的識別度;透過計算頭髮而非面部的傅立葉光譜,增強人臉影片檢測的精準度。增加唇語活體檢測;增加影像的紋理、光線、背景、螢幕反射檢測;使用專門的紅外攝像頭對人臉進行三維結構採集等。
人臉識別系統安全保障。對人臉識別應用、App、客戶端進行程式碼混淆、加密加殼、許可權控制,做好終端環境安全檢測;對資料通訊傳輸混淆加密,防止資訊傳輸過程中遭到竊聽、篡改、冒用;風控決策引擎能夠全面檢測裝置環境,實時發現注入、二次打包、劫持等各類風險及異常操作;建專屬的風控模型,為發現潛在風險、未知威脅、保障人臉識別安全提供策略支撐。
頂象業務安全感知防禦平臺基於威脅探針、流計算、機器學習等先進技術,集裝置風險分析、執行攻擊識別、異常行為檢測、預警、防護處置為一體的主動安全防禦平臺,能夠實時發現攝像頭遭劫持、裝置偽造等惡意行為,有效防控各類人臉識別系統風險。它具有威脅視覺化、威脅可追溯、裝置關聯分析、多賬戶管理、跨平臺支援、主動防禦、開放資料接入、防禦自定義和全流程防控等特點。