近年来,随着人脸识别技术的发展,人脸识别在人们日常的生活场景中被广泛地应用。然而,有不法分子却打起了歪主意。
准备在某网站办理业务 却发现自己早已注册
2019年8月,深圳一市民准备在某机构网站办理业务时,却发现自己早已经是该网站的注册用户,且被人冒用身份办理了业务。而按照这个网站的注册要求,除了姓名、身份证号、手机号、验证码外,还需要进行人脸识别认证才可以注册。不法分子究竟是如何成功进行人脸识别认证继而冒用他人身份办理了业务,成为该案的一大疑点。
在“净网2020”行动中,深圳龙岗警方经多方侦查发现,原来这伙不法分子使用了AI换脸技术,绕开了某些社交服务平台或系统的人脸认证机制。
据警方介绍,犯罪嫌疑人利用非法获取的公民照片进行一定的预处理,通过“照片活化”软件生成动态视频,继而骗过人脸识别完成认证,通过这项技术为违法犯罪团伙提供虚假注册、刷脸支付等黑产服务。截至目前,龙岗警方在广东、河南、山东等地已抓获涉案犯罪嫌疑人13名。
非法获得个人照片和信息 使用特殊软件“照片活化”
目前,不少软件、平台的业务都需要使用人脸识别认证。不法分子为了达到冒用他人身份信息,实现注册账号、解封账号、额度提升、支付转账等目的,就需要攻克人脸识别认证这一环节。一般而言,用户在使用人脸认证的时候,需要配合进行诸如点头、眨眼、张嘴等动作,才能顺利完成认证。然而不法分子是如何实现以上操作的呢?
办案民警介绍,犯罪分子首先利用非法途径获取包括照片、手机号码以及身份证号码在内的公民信息。接着,再使用特殊软件进行“照片活化”,生成一个3D人脸,并且在脚本的加持下,这一“活化”后的照片还可以配合做出点头、眨眼等等动作。
进入到人脸认证阶段,正常情况下,这一环节是通过手机摄像头完成人脸及面部动作的捕捉。然而,不法分子利用上述经“照片活化”软件生成的动态视频,加上一些技术手段,就可以骗过人脸核验机制。搭配其他公民信息,不法分子就可以轻易地冒用他人身份完成软件的实名注册。
网警说法
姚明志(深圳市公安局龙岗分局网警大队民警) 企业应加强技术迭代升级 市民注意个人信息保护
在案件侦办的过程中,破解人脸识别技术最常见的用途是在解封账号。不法分子利用非法获取的他人信息注册支付账户用于黑灰产的转账洗钱等等非法活动,这些账号不时会因为状态异常而被查封。这时候,不法分子就可以利用破解人脸识别达到解封账户的目的。
此外,不法分子通过人脸实名注册和认证过的各类社交平台的账号,也可以贩卖获利。而这些实名注册的账户,可能被用来实施“杀猪盘”等电信诈骗、在各平台上发放广告或者是办理各项业务。这些无疑都会给被冒用身份者带来很多不利的影响。
因此也呼吁各大互联网企业,加强人脸识别技术的迭代升级,确保认证环节安全可靠。而对于广大市民而言,则建议加强个人信息保护的敏感性,不出售身份信息给他人使用,在上网过程中,也不轻易地上传个人头像等信息。
专家支招
黄伟杰(深圳市网安计算机安全检测技术有限公司副总工程师):
网上不要留下 高清个人照片 非必要场景下 减少人脸识别
人脸识别是趋势
总体上安全可靠
人脸识别技术近年来的应用已经相当广泛,很多场景下它的用途就相当于账户和密码。从安全性角度而言,现在的人脸识别技术可以有多维度的检测方法来确定你是不是你本人,包括活体动作检测、唇语检测、微表情、光线甚至一些场景下的红外感应。如果这些检测技术和算法都应用精准的话,人脸识别总体上是安全可靠的。
当然,此前有案例说通过照片就可以完成人脸识别,以及上述案件中不法分子使用AI换脸破解人脸识别。这些极端情况的存在,一方面是识别算法和技术还不够与时俱进,另一方面也可能是企业为了提高用户使用时的通过率而降低了识别阀值。目前来看,人脸识别是一个发展的趋势,但总会有一个逐步完善的过程。
建议:
在非必要或安全性不足场景下
减少进行人脸识别
因此,市民也不需要过分的担心,随着技术的提升,和国家相关标准的完善,正规平台的人脸识别还是安全可靠的。
但在日常生活过程中,如果发生身份被冒用的情况,对个人还是会造成不小的影响。因此也建议市民在非必要或安全性不足的场景下减少进行人脸识别。人脸识别本质是对身份进行认证,比如进入大厦要求人脸识别,则可以询问是否有其他验证措施来替代。其次就是尽量在互联网上不要留下高清的个人照片,防止被非法利用。
针对企业而言,为了系统和平台以及用户的安全隐私保障,如果自行开发人脸识别技术则要符合国家标准的要求。如果本身并不具备自行开发研究的能力,那就要选择购买和使用大型企业的人脸识别技术来确保安全。此外,企业使用了人脸识别技术后,也要定期开展安全性评估,或者引入第三方机构代为评估,确保用户的数据安全和隐私合规。
统筹:南都记者 徐全盛
采写:南都记者 程昆
