據(jù)鳳凰網(wǎng)科技報道梢杭,某大型行的人臉識別系統(tǒng)存在漏洞温兼,造成6名儲戶百萬元現(xiàn)金被異地盜取。受害人表示武契,遠(yuǎn)在異地的犯罪分子募判,7次通過了銀行的人臉識別,6次通過活檢咒唆,一次都沒識別出來犯罪分子使用的是假人臉届垫。
法院判定,銀行未見存在明顯的過錯和過失全释。受害儲戶認(rèn)為装处,法院回避了銀行人臉識別漏洞問題,表示會堅持上訴浸船。
頂象業(yè)務(wù)安全專家表示妄迁,表面上看,這是人臉識別系統(tǒng)的問題李命,但是背后還有登錄賬戶陌生設(shè)備未快速預(yù)警登淘、異地轉(zhuǎn)賬消費未有效校驗等安全問題∠畲鳎“人臉識別不夠精準(zhǔn)形帮,設(shè)備指紋響應(yīng)不及時槽惫,銀行風(fēng)控體系存在BUG”。
他建議辩撑,銀行需要加強人臉識別技術(shù)的精準(zhǔn)度界斜、預(yù)警性和安全性,“從源頭到應(yīng)用合冀,提供全鏈條的識別各薇、預(yù)警、防護(hù)君躺,提升人臉識別的安全性峭判。”
銀行業(yè)務(wù)中的人臉識別技術(shù)存在哪些風(fēng)險棕叫?
人臉具有唯一性林螃、難以復(fù)制性,是人最常見的生物識別特征俺泣,在采集和使用上具有非接觸性疗认、非強制性、多并發(fā)性伏钠、隱藏性和簡單易用性等特點横漏,基于人臉的識別技術(shù)被廣泛運用于金融領(lǐng)域,主要作用是實現(xiàn)在線身份認(rèn)證熟掂,已成為登錄缎浇、確認(rèn)、申請赴肚、修改等業(yè)務(wù)環(huán)節(jié)中重要的驗證技術(shù)素跺。
由于人臉識別技術(shù)運用主體的技術(shù)條件和管理水平良莠不齊,不法分子通過各類工具繞過尊蚁、干擾亡笑、攻擊人臉識別系統(tǒng)和算法,進(jìn)而實施冒用登錄横朋、非法轉(zhuǎn)賬/消費、騙取貸款百拓、盜取銀行資金等攻擊琴锭,給用戶和銀行帶來經(jīng)濟損失。
2017年“3·15”晚會上衙传,主持人在技術(shù)人員支持下决帖,僅憑觀眾自拍照就現(xiàn)場“換臉”破解了某“刷臉登錄”認(rèn)證系統(tǒng)。清華大學(xué)研究人員也曾做過一個研究蓖捶,使用網(wǎng)上下載的照片地回,通過人臉識別的方式,15分鐘內(nèi)解鎖了19臺智能手機。
綜合來看刻像,銀行業(yè)務(wù)的人臉識別技術(shù)存在如下三類風(fēng)險畅买。
第一,人臉識別被繞過風(fēng)險细睡。戴上眼鏡谷羞、帽子、面具等偽裝手段溜徙,或者可以制作人皮高仿模型湃缎、將2D人臉照片3D建模、利用AI技術(shù)將靜態(tài)照片變成動態(tài)照片等多種技術(shù)均蠢壹,混淆算法判斷嗓违,騙過有效性不高的人臉識別算法和活體監(jiān)測算法。
第二類图贸,人臉信息被盜取冒用風(fēng)險靠瞎。通過各類公開或非法手段,收集求妹、保存乏盐、盜取正常的人臉數(shù)據(jù),然后通過各種方式進(jìn)行非法冒用制恍。
第三類父能,人臉識別系統(tǒng)遭劫持篡改風(fēng)險。遠(yuǎn)程入侵篡改人臉識別系統(tǒng)驗證流程净神、信息何吝、數(shù)據(jù)等,將后臺或前端的真數(shù)據(jù)替換為假數(shù)據(jù)鹃唯,以實現(xiàn)虛假人臉信息的通過爱榕。
人臉識別為什么會有風(fēng)險?
據(jù)頂象與中國信通院聯(lián)合發(fā)布的《業(yè)務(wù)安全白皮書—數(shù)字業(yè)務(wù)風(fēng)險與安全》顯示坡慌,數(shù)字化業(yè)務(wù)中隱匿著大量安全隱患:在電商黔酥、支付、信貸洪橘、賬戶跪者、交互、交易等形態(tài)的業(yè)務(wù)場景中熄求,存在著各類等欺詐行為渣玲,這些欺詐行為日益專業(yè)化、產(chǎn)業(yè)化弟晚,且具有團(tuán)伙性忘衍、復(fù)雜性逾苫、隱蔽性和傳染性等特點。
以大規(guī)模牟利為目的網(wǎng)絡(luò)黑灰產(chǎn)枚钓,熟悉業(yè)務(wù)流程以及防護(hù)邏輯铅搓,能夠熟練運用自動化、智能化的新興技術(shù)秘噪,不斷開發(fā)和優(yōu)化各類攻擊工具狸吞。此前有媒體報道,大量社群和境外網(wǎng)站進(jìn)行真人人臉識別視頻的販賣指煎√F“價高質(zhì)優(yōu)”的驗證視頻百元一套,動態(tài)軟件將人臉照片制作成“動態(tài)視頻”只要幾元至壤,以完成各類線上業(yè)務(wù)人臉識別的驗證威始。
某銀行儲戶資金被盜取不是個案,近兩年來金融領(lǐng)域多次發(fā)生過通過人臉識別漏洞盜取錢財?shù)陌讣?020年10月像街,四川警方查處一個上百人的詐騙團(tuán)伙黎棠。該團(tuán)伙購買大量人臉視頻,借助“僵尸企業(yè)”“空殼公司”镰绎,為6000多人人包裝公積金信息脓斩,然后向多家銀行申請公積金貸款,最終帶來10億多元的壞賬畴栖。
2021年随静,廣州互聯(lián)網(wǎng)法院通報了一起因為“刷臉”引發(fā)的借款糾紛÷鹧龋客戶在遺失了身份證后燎猛,卻被人冒用身份通過銀行的“人臉識別”貸款。最終經(jīng)司法筆跡鑒定照皆,認(rèn)為案涉客戶簽名并非本人簽署重绷,手機號碼亦未曾登記在客戶名下,由此駁回銀行上訴膜毁。
如何防范人臉識別風(fēng)險昭卓?
人臉識別是一種技術(shù)核驗,但不能作為唯一的手段爽茴。涉及到業(yè)務(wù)的關(guān)鍵操作需要對身份證葬凳、手機號碼、銀行卡室奏、操作行為、設(shè)備劲装、環(huán)境等進(jìn)行綜合核驗胧沫,甚至需要人工電話核實昌简。
頂象業(yè)務(wù)安全專家表示,一方面绒怨,需要加強人臉識別系統(tǒng)的精準(zhǔn)度纯赎、預(yù)警性和安全性;另一方面南蹂,增強人臉識別從源頭到應(yīng)用的全鏈條識別犬金、預(yù)警、防護(hù)六剥,提升整體風(fēng)控能力晚顷。
第一,提升人臉識別系統(tǒng)的精準(zhǔn)度疗疟。人臉識別系統(tǒng)需要加強空間域的该默、圖像取證、生物頻率策彤、GAN偽影栓袖、生物信號、視聲不一致以及視覺上不自然等檢測店诗,并通過模型和算法提高真?zhèn)闻袆e裹刮。
第二,提升人臉識別系統(tǒng)的預(yù)警性庞瘸。通過設(shè)備指紋多維度構(gòu)建用戶的設(shè)備畫像捧弃,實時呈現(xiàn)給當(dāng)前設(shè)備的環(huán)境狀況,快速識別可疑行為及高風(fēng)險設(shè)備恕洲,幫助風(fēng)控系統(tǒng)快速甄別操作者的真?zhèn)嗡穑皶r預(yù)警賬號被盜用風(fēng)險。
第三霜第,保障人臉識別系統(tǒng)的安全性葛家。防范人臉識別系統(tǒng)和設(shè)備API接口被篡改劫持,保證輸出效果泌类、生成網(wǎng)絡(luò)效果的真實性癞谒。同時,及時預(yù)警和攔截設(shè)備和系統(tǒng)端口刃榨、通訊的異常弹砚,保障人臉數(shù)據(jù)存儲以及傳輸?shù)耐暾浴C密枢希,防止灌入虛假桌吃、混淆人臉信息或庫內(nèi)人臉信息被替換篡改。
頂象防御云能夠有效助力銀行防范人臉識別風(fēng)險苞轿,提升金融風(fēng)控能力茅诱,進(jìn)一步保障儲戶和銀行資金安全逗物。
頂象防御云保障人臉識別應(yīng)用安全
頂象防御云基于多年實戰(zhàn)經(jīng)驗和技術(shù)產(chǎn)品,擁有豐富的技術(shù)工具瑟俭、數(shù)萬個安全策略及數(shù)百個業(yè)務(wù)場景解決方案翎卓,具有情報、感知摆寄、分析失暴、策略、防護(hù)微饥、處置的能力逗扒,提供模塊化配置和彈性擴容,助企業(yè)快速畜号、高效缴阎、低成本構(gòu)建自主可控的業(yè)務(wù)安全體系。其集成業(yè)務(wù)感知防御平臺简软、驗證碼蛮拔、設(shè)備指紋和端加固等產(chǎn)品,以及業(yè)務(wù)威脅情報痹升、云策略等服務(wù)建炫。
其中,設(shè)備指紋支持安卓疼蛾、iOS肛跌、H5、公眾號察郁、小程序衍慎,可有效偵測模擬器、刷機改機皮钠、ROOT越獄稳捆、劫持注入等風(fēng)險。100%的唯一性麦轰、穩(wěn)定性大于99.99%乔夯、響應(yīng)時間小于0.1秒、崩潰率小于1/10000款侵。它采用MongoDB分布式存儲末荐,支持海量數(shù)據(jù)情況下實時分析數(shù)據(jù),能夠秒級構(gòu)建出設(shè)備的完整畫像新锈。
業(yè)務(wù)安全感知防御平臺(移動版)通過對移動端100+風(fēng)險項及異常行為的分析識別甲脏,及時發(fā)現(xiàn)針對攝像頭劫持、設(shè)備偽造等風(fēng)險,并提供從風(fēng)險識別剃幌、預(yù)警處置聋涨、黑樣本沉淀的閉環(huán)管理晾浴。
頂象防御云是國內(nèi)首批通過中國信通院“業(yè)務(wù)安全能力要求”認(rèn)證的產(chǎn)品负乡。
法律法規(guī)護(hù)航人臉識別應(yīng)用安全
司法機構(gòu)為人臉識別護(hù)航。2021年7月脊凰,最高法院發(fā)布《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》抖棘。解釋明確規(guī)定,在賓館狸涌、商場切省、車站、機場帕胆、體育場館朝捆、娛樂場所等經(jīng)營場所、公共場所違反法律懒豹、行政法規(guī)的規(guī)定芙盘,使用人臉識別技術(shù)進(jìn)行人臉驗證、辨識或者分析脸秽,應(yīng)當(dāng)認(rèn)定屬于侵害自然人人格權(quán)益的行為儒老。
2022年兩會上最高人民法院表示,最高法院針對一個具體問題專門出臺一個司法解釋是不多見的记餐。司法規(guī)范“刷臉”驮樊,體現(xiàn)的是法院依法維護(hù)個人信息安全的鮮明態(tài)度,就是專門回應(yīng)大家對人臉信息安全的擔(dān)憂片酝,作出了相應(yīng)的規(guī)范囚衔。
行業(yè)機構(gòu)也在牽頭制定應(yīng)用標(biāo)準(zhǔn)。2021年4月7日雕沿,中國信息通信研究院云計算與大數(shù)據(jù)研究所倡議發(fā)起成立“可信人臉應(yīng)用守護(hù)計劃”练湿。頂象等多家公司入選第二批“可信人臉應(yīng)用守護(hù)計劃”成員單位,將與各界通力合作晦炊,積極探索人臉應(yīng)用治理與發(fā)展的可信指引鞠鲜,助力人臉識別應(yīng)用安全發(fā)展,共建可信的人臉應(yīng)用生態(tài)断国。
技術(shù)與監(jiān)管雙重發(fā)力贤姆,多重保障人臉識別應(yīng)用安全。
