鉆“手機銀行”人臉識別系統的空子,偽造76個虛假身份騙取銀行賬戶并售賣的田某,被判刑兩年。
對于中國裁判文書網公布的這起黑客入侵廈門銀行手機銀行的案子,網絡安全工程師們表示,犯罪分子的作案手段沒什么技術含量,就是利用了他們常用來做網絡安全測試的“抓包”工具(軟件)。在這起案件中,系統被入侵這個鍋不能甩給人臉識別技術,需要復盤的是銀行業務安全流程。
“抓包”騙過銀行人臉識別驗證
抓包(packet capture)工具是攔截查看網絡數據包內容的軟件,它能夠將網絡傳輸發送與接收的數據進行截獲、編輯、轉存、重發等操作,常被技術人員用來檢查網絡安全。黑客也不都是江洋大盜,利用技術來維護網絡安全的黑客叫做“白帽子子黑客”,他們也會用抓包工具來分析報文,針對漏洞做滲透測試,這種行為屬于陽光下的操作,而“黑帽子黑客”是一群通過竊取網絡資源或破解軟件來獲取利益的人,他們抓包就是為了破壞網絡來賺錢。
早在2017年,上海警方曾破獲一起特大網絡盜竊案,犯罪分子僅用半天時間就非法提現人民幣近千萬元,警方通過調查發現,是黑客利用抓包工具攔截下銀行系統內傳輸的數據,將實際充值的1元改為1000元或更高金額,然后把偽造的數據傳回并成功欺騙了金融機構。
但所有利用抓包工具的案件都有一個共同的前提,就是有漏洞可鉆。
從福建省廈門市思明區人民法院刑事判決書來看,田某偶然發現廈門銀行APP漏洞后,使用虛假身份信息,在廈門銀行手機銀行APP注冊該銀行Ⅱ、Ⅲ類賬戶。注冊中,田某先輸入本人身份信息,待進入人臉識別步驟,利用抓包軟件將銀行系統下發的人臉識別身份認證數據包攔截并保存。爾后,在輸入開卡密碼步驟,田某將APP返回到第一步(上傳身份證照片),重新輸入偽造的身份信息,當再次進入到人臉識別的身份驗證步驟時,他把之前攔截下來的包含其本人真實身份信息的數據包進行上傳,使系統誤以為此刻要對比的是其真實的身份信息,田某遂用本人人臉通過了銀行系統人臉識別比對,成功利用虛假身份信息注冊到銀行賬戶。
簡單地說,田某的作案手法是,用他本人的人臉識別身份認證數據包換掉偽造身份的人臉識別身份認證數據包,騙過銀行系統的審核。
安全問題需要向內找原因
現如今,人臉識別在金融領域的應用越來越廣泛。以銀行為例,區別于Ⅰ類全功能賬戶,銀行的Ⅱ、Ⅲ類賬戶為虛擬電子賬戶,在Ⅰ類賬戶的基礎上功能遞減,現在很多銀行都可以通過手機終端遠程開通Ⅱ、Ⅲ類賬戶,人臉識別已經成為核實用戶身份的常用手段。鑄造一道固若金湯的安全防護墻,是每一個金融消費者的訴求。
中粵聯合投資創始人羅浩元說:“銀行Ⅱ、Ⅲ類戶開戶存在的明顯風險被田某用簡單粗暴的手法測出來了,我們相信手機銀行在功能設計、安全驗證及防護等方面的完善能力,卻通過此案看到了他們的‘漫不經心’。顯然,這些銀行對‘抓包’替換行為缺乏該有的防范措施。關鍵是,此前用‘抓包’非法獲利的案件已有很多,金融機構需要檢討。”
北京奇安信科技有限公司董事長齊向東給金融機構開出一副“藥方”,其中包括幾個假設,或許對銀行等金融機構檢視業務安全有幫助。這幾個假設是:“假設系統一定有沒被發現的漏洞,一定有已發現漏洞沒打補丁;假設系統已經被黑;假設一定有內鬼。”
盡管在這起案件中,人臉識別系統可以說是無辜“躺槍”,但是公眾對人臉識別安全性的顧慮也被這起案件重新牽了出來。
對此,百度安全事業部總經理馬杰有這樣的觀點,越來越多的智能設備采用了生物特征識別技術,所謂“破解生物識別”,就是“欺騙傳感器”的過程。但大家不用過分擔心,被發現的漏洞基本都找到了相應的解決方案。很多安全問題,可以看做安全人員與黑客之間的競速賽,未來人臉識別技術要跟隨機器學習等相關領域一同發展,才能構筑一個更加安全、更加可靠的環境。(劉艷)
