破壞網路可信身份認證,黑灰產業鏈正在興起

阿里移動安全發表於2016-03-21

《2015網路可信身份發展年報》

阿里移動安全


第一章  2015年網路可信身份發展現狀

1.1 網路可信身份發展的需求產生新的變化

2002年我國開始了網路實名制建設的探討,其本質目的在於保障網路空間使用者身份可信,避免謠言、欺詐等各種違法犯罪行為。在多年的實踐中,網路平臺或使用者開展網路身份認證主要出於以下兩方面的要求:


一方面,國家相關職能部門為保證行業健康有序的發展,要求從事經營或服務性質的網際網路使用者進行必要的身份認證,如電子商務的經營者(網店主)、網際網路接入服務提供者(域名註冊、網路空間租用等)。


另一方面,為了保障網際網路個人使用者的合法權益,維護企業業務的健康發展,網路平臺也會採取一些措施防止自身的使用者受到違法犯罪行為的侵害。在2015年對網路可信身份發展的需求產生了一些新的變化,主要體現在以下兩個方面:


第一,網路可信身份發展上升到國家戰略高度,成為支撐“網際網路+”發展的重要基礎。截至2015年12月,我國網民總數已達6.88億人,如何對網際網路進行有效管理,已經成為促進社會、經濟進一步發展的重要課題。


第二,新興網際網路業務的發展,促使網際網路個人使用者自願提供個人真實身份資訊來獲取某種特定服務。在過去極少數使用者願意主動提供姓名和身份 證號碼進行實名制登記,而當前這種現象正在逐漸改變,如網際網路徵信產品的使用者,透過自願提供自身各方面資訊呈現信用狀況,從而獲得相應的增值服務(如信用消費、信用簽證等);網際網路+警務的發展,使得使用者透過身份認證後便可以快速的辦理相關業務,大大提高了政府相關職能部門的服務效率;網路婚介使用者透過實名認證以及多方位提供自己的個人資訊來增加相親成功機率……這些新業務的發展,給網路空間可信身份建設帶來了新的機遇。


1.2 網路可信身份發展存在的問題

1.  破壞網路可信身份認證,黑灰產業鏈正在興起

身份認證是保障網路空間身份可信的重要手段,因身份虛假的網路賬號是網路違法犯罪行為的重要工具,因此,衍生出了一系列身份造假、仿冒他人身份以破壞網路身份可信的黑灰產業鏈,這些產業鏈包括以下幾種型別:


a)  利用駭客手段批次竊取公民身份資訊

如酒店、保險、航空、醫療、快遞等行業的公司都曾遭遇過資訊洩露事件,《中國網民權益保護調查報告(2015)》顯示,近80%的網民個人身份資訊曾遭洩露,包括網民的姓名、學歷、家庭住址、身份 證號及工作單位等,個人資訊洩露給網民的日常生活帶來困擾。

 

b)  身份材料非法收集及買賣

除了數字身份資訊的竊取外,現實生活中還活躍著公民實體身份資訊收集及買賣的產業鏈,包括實體身份 證的買賣。據不完全統計,身份 證買賣QQ群及QQ空間超過300個,預估活躍人群超過25萬人(如下圖)。

進行身份 證違法買賣的網路空間

 

 

目前黑灰產業鏈中身份材料主要有兩種手段獲取,一種是證件被盜、丟失後被轉賣;另外一種則是利用公民對個人身份資訊保護意識的薄弱,編造各種虛假用途,或者利用蠅頭小利(如兼職招聘、中獎登記等方式)騙取身份材料。這種手段已經從網際網路普及率較低的農村,蔓延至工廠、學校,由此可見黑灰產的猖獗。

據統計,被用於虛假認證的身份 證主要來自河南、四川、湖北、湖南等身份,而使用這些身份進行網路虛假認證的卻集中在廣東、福建、浙江、江蘇等沿海地區。

虛假身份認證的地區分佈

 

c)  虛假身份辦理手機卡及銀行卡

由於手機號及銀行卡驗證是目前網路實名驗證的重要輔助手段,因此衍生出了未實名登記的手機卡及身份 證、盜用等黑灰色產業鏈。

據不完全統計,目前在灰產中流通的未實名登記的手機卡達億級,獲取一個未實名登記的手機卡價格在50-100元左右(包含一定的話費)。而這些未實名登記的手機卡,還被不法分子利用貓池、簡訊驗證碼平臺等技術手段,用於批次接收手機簡訊驗證碼,突破了利用手機驗證碼進行身份認證的方式。


目前黑灰色產業鏈中已形成了銀行卡收購、銷售、使用的一條龍服務,並與身份 證、USBKey、手機卡、開戶資料等配套銷售。目前市面上出售一套銀行卡料的金額為100元左右,出售一張普卡金額為200元,成套銀行卡資料如包含USBKey、開戶材料等,價格在400-600元不等。銀行卡相較於手機卡的價格高出很多,但是市場依然龐大,危害更加嚴重。

虛假身份辦理銀行卡的廣告示例


滁州警方破獲特大網上非法倒 賣 身份 證銀行卡案件

 

d)  利用技術手段突破網路身份認證流程

這裡包括身份資訊造假、身份 證明材料造假,利用軟體修改手機或電腦引數突破認證流程等。此類產業鏈因危害大,相較線下違法犯罪行為存在較大差異,因此立法、司法等行政機關對其認知不一,定刑困難,未能開展有效的管理和處罰,導致無法對違法犯罪行為形成有效威懾。


2.  公民個人資訊保護問題

在當前網路空間可信身份發展多種形態下,保護公民個人資訊問題不容小覷,韓國2011年資訊外洩事件及近期美國金融史上最大的網路盜竊案都在警示整個社會。對此,國家也出臺了很多公民個人資訊保護的法律法規及規範,但是我國現階段還沒有專門的公民資訊保護 法律,保護資訊的範圍也略顯單一,且很多相關法律和實名制的規範都還在徵求意見中,尚未形成法律法規體系,因為調整範圍和調整方法上的侷限,現行法律對於公民個人資訊保護提供不了完整的解決方案。

在網路可信身份行業內,大多還在解決身份認證問題,保護資訊服務業務較少,在日常業務開展中也帶來不小的挑戰。所以,保護公民個人資訊既要有體系化的法律法規和行政管理作保障,還需要加大鼓勵個人資訊保護產業的發展。


第二章2015年阿里巴巴實人認證發展情況

2.1 服務阿里生態,提升實人認證能力

2015年,阿里聚安全實人認證已服務淘寶集市個人開店認證、二手 交易使用者認證、廣告使用者認證、虛擬運營商售卡實人認證等十多個場景,以下幾個方面能力得到了大幅提升:


第一,  認證產品服務化能力。透過服務多場景海量使用者,在實踐過程中實人認證的可靠性得到了有效驗證;

第二,  人像識別、活體檢測等能力在實踐過程中迭代升級,達到世界領先水平;

第三,  基於大資料風險識別及攔截,累積龐大的風險資料庫,識別身份造假、冒用等近千萬;

第四,  領先的資料安全體系。阿里聚安全搭建了安全可靠的底層安全架構,包括世界領先的異地多活資料中心,建立了最完備的容災備份體系;自主研發的海量關係型資料庫OceanBase,是中國首個具有自主智慧財產權的資料庫,確保國家級資料戰略安全。


2.2 推動手機卡實名登記變革

2015年,阿里巴巴對阿里通訊線上售卡及開卡流程進行了改造,實現線上手機號購卡及開卡的實人認證。手機卡購卡的實人認證,在原來手機實名制登記的基礎上進行了有效升級,在大大提升手機號使用者身份的有效性的同時,免去了物流寄送手機卡過程中回收使用者身份資訊的環節,在給使用者提供便利的同時也降低了資訊洩露的風險。阿里巴巴這項舉措得到了工信部的充分肯定,對推動資訊通訊行業發展、促進行業轉型升級發揮重要作用。


2.3 服務“警察叔叔”,提升市民辦事體驗

2016年1月5日,杭州市公安局響應“智慧城市”、“文明城市”的政策方針,推出了警務APP“警察叔叔”,該應用透過網際網路+警務的形式,在全國範圍內首次使用了實人認證技術。該應用使市民能夠在手機上方便地進行線上辦事,提升了政務的體驗和效率。

警察叔叔APP


2.4 參與建立網路可信身份產業聯盟

2015年,在公安 部第一研究所推動下,阿里巴巴參與發起建立網路可信身份產業聯盟,旨在透過行業、產業的聯合發展,推動網路可信身份體系建立。在2015年烏鎮世界網際網路大會上,阿里巴巴作為中國居民身份 證網上應用試點單位參展,阿里巴巴在網路可信身份體系建設上的經驗及成果得到了廣泛認可及讚許。

世界網際網路大會上參與中國居民身份 證網上應用展示


第三章 2016年網路身份認證發展趨勢

3.1 從實名認證向實人認證發展

當前,虛假身份給網路犯罪帶來了極大的便利,黑灰產業鏈的發展,造成了現有網路空間中存在大量實名不實人的情況,實名制無法起到其真正的作用和效果。《中國網民權益保護調查報告(2015)》顯示,近一年來,網民因個人資訊洩露、垃圾資訊、詐騙資訊等問題,導致總體損失約805億元,其中約4500萬網民近一年遭受的經濟損失在1000元以上。因實人認證需要同時滿足使用者身份真實性、有效性、人證一致性的要求,將大大提升違法犯罪成本,對淨化網路空間起到至關重要的作用。


與此同時,新興業務的發展也對使用者身份真實性提出了更高要求。如網路叫車的出現,乘客對司機身份的真實性、可靠性提出了更高的要求;網路婚介、電子政務的前提也是建立在使用者身份真實性的基礎之上。因此,隨著網際網路+的不斷髮展,實人認證將成為很多業務發展的基礎要求。

3.2 大資料風險識別及生物識別技術將推動新的變革

在過去不僅僅如何保障使用者身份真實性是一大難題,另外一個重要的因素是如何在保障使用者身份真實性的同時不會對絕大部分正常的使用者體驗帶來傷害,不會因為身份認證的高門檻而將使用者拒之千里。產生這一系列問題的原因就在於身份認證方式的單一性,只要認證方式是固定的,黑灰產業鏈突破的難度就會大大降低,而一旦將這單一的認證方式難度提高,這將對所有使用者產生影響,得不償失。近年來大資料分析及生物識別技術的不斷髮展,將有效改變這一局面。


一方面,利用大資料的風險識別可以對使用者行為進行有效分析,從而對使用者進行精準的分類分層,可實時判斷每一個使用者的認證動機,對不同風險等級的使用者採取不同的認證方式,保障正常使用者的快捷體驗,而風險使用者則無法簡單的透過盜用他人資訊透過認證。大資料的充分運用,能在保障單次認證有效性的同時,透過賬戶異常行為的預警識別,對可能存在被盜或買賣的賬戶進行二次認證,確保身份資訊持續有效。


另一方面,生物識別技術的發展及智慧手機的普及,使生物識別技術用於網路實人認證成為可能,包括目前人像、指紋已成為主流的認證方式,而聲紋、虹膜識別技術的發展也將大大豐富身份認證的方式,提升實人認證的可靠性。

3.3 身份資料保護成為重中之重

資料安全是網路身份認證的生命線。身份資料保護是一個全鏈路系統性的工作,包括認證裝置、客戶端程式、網路傳輸、伺服器等全方位技術提升及機制保障。近年來使用者資訊洩露事件頻發,給我們敲響警鐘,促使身份資料安全保障進入更加全面發展的階段。



完整PDF版《2015網路可信身份發展年報》,  

 


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/30892829/viewspace-2061104/,如需轉載,請註明出處,否則將追究法律責任。

相關文章