經(jīng)濟(jì)觀察網(wǎng) 記者 胡群 “遇到 ‘我想轉(zhuǎn)錢(qián)到你卡里，你再幫忙發(fā)給我朋友下，我微信限制轉(zhuǎn)賬了’這種情況，和對(duì)方視頻驗(yàn)證發(fā)現(xiàn)是本人，依然要謹(jǐn)慎謹(jǐn)慎再謹(jǐn)慎。”2月17日，一位北京某高校老師在朋友圈里稱(chēng)。當(dāng)日清晨，她的一位朋友通過(guò)微信向她提出幫忙轉(zhuǎn)賬的請(qǐng)求，她打通了對(duì)方的微信視頻進(jìn)行核實(shí)，在視頻中看到熟悉的面孔，但對(duì)方并未開(kāi)口說(shuō)話便匆匆關(guān)閉了視頻通話。

“我當(dāng)時(shí)已經(jīng)知道他的微信號(hào)被盜，并未上當(dāng)，但他仍有朋友被這種方式被騙走了14000塊。”她向經(jīng)濟(jì)觀察網(wǎng)稱(chēng)，騙子通過(guò)微信向其他人提出上述幫忙轉(zhuǎn)賬請(qǐng)求，受害人進(jìn)行了視頻審核，并收下騙子轉(zhuǎn)來(lái)的6000塊錢(qián)幫助其轉(zhuǎn)賬，但下午騙子就以急用錢(qián)為借口，向這位受害人借了14000塊，直到晚上才發(fā)現(xiàn)被騙。

視頻驗(yàn)證是熟悉面孔，為何仍會(huì)被騙？

“身份核驗(yàn)安全隱患為金融行業(yè)資產(chǎn)帶來(lái)了不確定性，攻擊行為和偽冒案例的日益多樣化為AI技術(shù)安全帶來(lái)了極大的挑戰(zhàn)，如空照片挖孔、3D面具、深度偽造、語(yǔ)音合成、語(yǔ)音拼接等，針對(duì)不同攻擊行為亟待行之有效的防偽能力。”中關(guān)村科金AI安全攻防實(shí)驗(yàn)室總監(jiān)馮月在接受經(jīng)濟(jì)觀察網(wǎng)采訪時(shí)表示，由于深度學(xué)習(xí)的發(fā)展，以及Deep Fake（一款備受爭(zhēng)議的換臉技術(shù)軟件）的出現(xiàn)，導(dǎo)致“假臉”的制作門(mén)檻大幅度降低，普通人可以制作一個(gè)可能不存在的人臉或者是將人臉互換，形成的單幀圖片可以做到非常逼真。一般情況下，黑產(chǎn)會(huì)利用動(dòng)態(tài)化處理軟件完成讓照片中的人物張嘴、轉(zhuǎn)頭等動(dòng)作，之后再度采用其他軟件欺騙系統(tǒng)，通過(guò)修改相關(guān)數(shù)據(jù)和設(shè)置，將提前做好的動(dòng)態(tài)人臉視頻導(dǎo)入到App中，便完成認(rèn)證，進(jìn)而完成整個(gè)詐騙流程。

你的臉“值”多少錢(qián)？

移動(dòng)支付已成為支付主流方式。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)2021年9月發(fā)布的《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，我國(guó)網(wǎng)絡(luò)支付用戶(hù)規(guī)模達(dá)8.72億，占網(wǎng)民整體的 86.3%。

當(dāng)前疫情防控常態(tài)化使得無(wú)接觸認(rèn)證、無(wú)感認(rèn)證等身份識(shí)別需求激增，人臉識(shí)別技術(shù)憑借其便捷易用的特點(diǎn)，在金融領(lǐng)域發(fā)揮著重要作用，很多金融App可以通過(guò)人臉識(shí)別進(jìn)行支付、轉(zhuǎn)賬等業(yè)務(wù)。指紋、刷臉等生物識(shí)別成為目前常用的移動(dòng)支付驗(yàn)證方式，其使用率已經(jīng)超過(guò)數(shù)字密碼驗(yàn)證方式。

1月25日，中國(guó)銀聯(lián)發(fā)布《2021移動(dòng)支付安全大調(diào)查研究報(bào)告》顯示，在移動(dòng)支付驗(yàn)證方式中，指紋、刷臉等生物識(shí)別方式認(rèn)可度最高，其使用率已經(jīng)超過(guò)數(shù)字密碼驗(yàn)證方式。從年齡上看，45歲以上人群更偏愛(ài)密碼支付方式，45歲以下人群更 偏愛(ài)指紋、刷臉等生物識(shí)別方式，尤其18-24歲年輕人群使用生物識(shí)別驗(yàn)證方式的達(dá)到75%，高于平均水平9個(gè)百分點(diǎn)。受訪人群使用動(dòng)態(tài)驗(yàn)證碼核驗(yàn)身份約占3成，其中46-55歲人群達(dá)到35%，高于平均水平6個(gè)百分點(diǎn)。

在科技帶來(lái)便利的同時(shí)也會(huì)被部分不法分子所利用，人臉識(shí)別技術(shù)所帶來(lái)的個(gè)人信息保護(hù)問(wèn)題也日益凸顯，引發(fā)社會(huì)公眾的普遍關(guān)注和擔(dān)憂。馮月表示，在常規(guī)的人臉識(shí)別技術(shù)中，系統(tǒng)僅會(huì)對(duì)采集的視頻或圖片做基礎(chǔ)的質(zhì)量檢測(cè)和驗(yàn)真，但是，這種基礎(chǔ)的驗(yàn)真技術(shù)并無(wú)法有效識(shí)別人臉的真假，隨著偽造攻擊工具的演進(jìn)，有效性會(huì)急劇降低，常見(jiàn)的，黑產(chǎn)便用照片或是視頻翻拍便可以達(dá)到魚(yú)目混珠的效果。這就衍生出了一系列安全問(wèn)題。

一般情況下，黑產(chǎn)會(huì)利用動(dòng)態(tài)化處理軟件完成讓照片中的人物張嘴、轉(zhuǎn)頭等動(dòng)作，之后再用其他軟件欺騙系統(tǒng)，當(dāng)App需要通過(guò)攝像頭進(jìn)行人臉驗(yàn)證時(shí)，啟動(dòng)“外掛”，通過(guò)修改相關(guān)數(shù)據(jù)和設(shè)置，將提前做好的動(dòng)態(tài)人臉視頻導(dǎo)入到App中，便完成認(rèn)證。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心曾在2021年6月對(duì)人臉識(shí)別身份認(rèn)證漏洞的風(fēng)險(xiǎn)進(jìn)行過(guò)描述：一些App由于設(shè)計(jì)過(guò)程中存在安全缺陷，導(dǎo)致攻擊者可以利用公開(kāi)獲取的用戶(hù)照片替換活體檢測(cè)采集的照片，進(jìn)而破壞人臉識(shí)別身份認(rèn)證機(jī)制，登錄用戶(hù)賬號(hào)并竊取用戶(hù)敏感信息等操作。

如果說(shuō)上述黑產(chǎn)從業(yè)者的詐騙技術(shù)較為初級(jí)，現(xiàn)在騙術(shù)已升級(jí)。

“安全行業(yè)與黑產(chǎn)在人臉識(shí)別領(lǐng)域的攻防博弈已經(jīng)經(jīng)歷過(guò)多次迭代，從早期的圖像級(jí)到中期的應(yīng)用級(jí)，再到后期的算法級(jí)，金融行業(yè)和安全公司通過(guò)一系列手段對(duì)黑產(chǎn)的攻擊方式進(jìn)行了有效防護(hù)，然而對(duì)抗并未停止，人臉攻防進(jìn)一步深入到了移動(dòng)操作系統(tǒng)，為企業(yè)防護(hù)帶來(lái)了新的挑戰(zhàn)。”2月14日，中國(guó)工商銀行金融科技研究院發(fā)布的《2021年網(wǎng)絡(luò)金融黑產(chǎn)研究報(bào)告》顯示，隨著人臉識(shí)別攻防技術(shù)不斷發(fā)展和反復(fù)博弈，人臉識(shí)別應(yīng)用場(chǎng)景已成為了黑產(chǎn)對(duì)抗的主戰(zhàn)場(chǎng)，除大家熟知的照片活化攻擊外，2021年又出現(xiàn)了新的攻擊手法，黑產(chǎn)精心設(shè)計(jì)了人臉欺詐場(chǎng)景并使用了新型攻擊技術(shù)，讓“刷臉”再次面臨新挑戰(zhàn)。

“視頻來(lái)電慎接聽(tīng)，人臉竊取需防范。”《2021年網(wǎng)絡(luò)金融黑產(chǎn)研究報(bào)告》指出，黑產(chǎn)從業(yè)者通過(guò)視頻通話竊取受害人的人臉信息。黑產(chǎn)從業(yè)者一般假冒公檢法機(jī)關(guān)或銀行工作人員，恐嚇受害者涉嫌“洗錢(qián)”“藏毒”“欠貸”等案件，要求受害者通過(guò)視頻通話進(jìn)行身份核實(shí)。視頻通話過(guò)程中，黑產(chǎn)從業(yè)者要求受害人完成指定人臉動(dòng)作，同時(shí)開(kāi)啟錄屏功能獲取受害人的人臉信息。與利用活化軟件生成的合成視頻相比，通過(guò)視頻通話獲取到的人臉視頻是受害者本人完成的人臉識(shí)別動(dòng)作，不存在合成及偽造特征，很難被人臉?biāo)惴ㄗR(shí)別。考慮到人臉特征具有唯一性，一旦被黑產(chǎn)竊取，將直接導(dǎo)致人臉認(rèn)證失效，造成資金和財(cái)產(chǎn)損失。因此在接聽(tīng)視頻來(lái)電前，一定要核實(shí)對(duì)方身份信息。

網(wǎng)絡(luò)黑產(chǎn)猖獗

2021年全年，小盾安全共檢測(cè)到9381個(gè)黑產(chǎn)團(tuán)伙作案行為，平均單個(gè)團(tuán)伙賬戶(hù)數(shù)量在500左右，一般為專(zhuān)業(yè)工作室模式，利用自有群控設(shè)備或者租用云控服務(wù)，配合改機(jī)工具、模擬器、ip 代理、接碼平臺(tái)、打碼平臺(tái)等完成批量化作弊行為。

《2021移動(dòng)支付安全大調(diào)查研究報(bào)告》顯示，網(wǎng)絡(luò)詐騙受到損失的人群比例較2020年更高，2021年遭遇過(guò)網(wǎng)絡(luò)詐騙且有損失的人群比例較去年增加了6%，達(dá)到了14%，平均受損金額為1650元，比2020年降低了272元。從年齡上看，00后是移動(dòng)支付風(fēng)險(xiǎn)的高危人群，銀行卡出借比例較高，網(wǎng)絡(luò)詐騙導(dǎo)致經(jīng)濟(jì)損失的比例居于首位。中老年人也是遭受詐騙的主要群體，主 要集中在四線、五線城市和各個(gè)鄉(xiāng)、鎮(zhèn)、村，普遍受科普程度較低，以網(wǎng)絡(luò)直播詐騙為主要渠道，且通常數(shù)額巨大。從職業(yè)來(lái)看，大學(xué)生遭遇網(wǎng)絡(luò)欺詐的風(fēng)險(xiǎn)較高，近半數(shù)有使用第三方信用貸款賬戶(hù)的習(xí)慣。另外，網(wǎng)店店主、自主創(chuàng)業(yè)者也是遭受網(wǎng)絡(luò)詐騙較多的人群。

“40歲以下為主要被害人群，老年人詐騙相對(duì)并不多見(jiàn)”。騰訊發(fā)布的《電信網(wǎng)絡(luò)詐騙治理研究報(bào)告2021年》顯示，從被害人年齡構(gòu)成來(lái)看，40歲以下的年輕群體所占比例高達(dá)79%，50歲以上的被害人占比僅有8%，但隨著我國(guó)社會(huì)老齡化程度加深、進(jìn)程加快，老年人將成為中國(guó)網(wǎng)民不可忽視的重要組成部分，銀發(fā)群體的網(wǎng)絡(luò)安全問(wèn)題也需要予以重點(diǎn)關(guān)注。

“整個(gè)黑色產(chǎn)業(yè)鏈由來(lái)已久，互聯(lián)網(wǎng)時(shí)代以來(lái)我們將黑產(chǎn)的演變分為4個(gè)階段。”小盾安全發(fā)布的《2021年度業(yè)務(wù)風(fēng)控洞察報(bào)告》稱(chēng)，分別為蠻荒時(shí)代、野蠻生長(zhǎng)期、初見(jiàn)規(guī)模期，以及黑產(chǎn)出海期。

2010年前為黑產(chǎn)的蠻荒時(shí)代，以PC為代表的互聯(lián)網(wǎng)時(shí)期，黑產(chǎn)主要的盈利方式是靠控制個(gè)人電腦作為“肉雞”通過(guò)DDoS攻擊、刷廣告、安裝流氓軟件等方式變現(xiàn)。這個(gè)周期掌握“肉雞”的數(shù)量決定了獲利規(guī)模的上限。

2013年前后，伴隨著O2O的興起，隨著大量資本的涌入，黑產(chǎn)擴(kuò)張用于用戶(hù)拉新，賬號(hào)價(jià)值凸顯，也是在這個(gè)時(shí)期，黑產(chǎn)圍繞“賬號(hào)體系”的產(chǎn)業(yè)鏈條逐步形成，包括號(hào)商、接碼平臺(tái)、打碼平臺(tái)、群控等，從而進(jìn)入野蠻生長(zhǎng)期。

2015年前后，網(wǎng)貸行業(yè)進(jìn)入繁榮期，這一階段也是風(fēng)險(xiǎn)集中暴發(fā)的時(shí)期，由于其泛金融的屬性需要較嚴(yán)格的KYC認(rèn)證，也就是在這個(gè)階段整個(gè)圍繞“KYC 套件”的產(chǎn)業(yè)鏈逐漸形成，包括：二要素、三要素、人臉、活體等，黑產(chǎn)初見(jiàn)規(guī)模。

從2019年開(kāi)始，出海成為很多國(guó)內(nèi)企業(yè)的選擇，不論是電商、社交還是泛娛樂(lè)企業(yè)都紛紛加入到出海大軍。彼時(shí)國(guó)內(nèi)監(jiān)管政策趨嚴(yán)，國(guó)內(nèi)黑產(chǎn)也開(kāi)啟出海的航程。基于國(guó)內(nèi)多年的技術(shù)積累，黑產(chǎn)企業(yè)在海外發(fā)展更為猖獗。

據(jù)騰訊披露，當(dāng)前詐騙分子非法獲取公民個(gè)人信息，主要有三種方式。通過(guò)“流氓軟件”、釣魚(yú)網(wǎng)站、系統(tǒng)漏洞、“拖庫(kù)”等手段非法獲取公民信息；通過(guò)暗網(wǎng)等非法渠道購(gòu)買(mǎi)他人非法獲取的公民個(gè)人信息；從企業(yè)工商信息查詢(xún)網(wǎng)站、企業(yè)官網(wǎng)、機(jī)關(guān)單位網(wǎng)站等公開(kāi)渠道“爬取”公民個(gè)人信息。

2月18日，工信部通報(bào)2022年第一批侵害用戶(hù)權(quán)益的APP。“依據(jù)《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)，我部近期組織第三方檢測(cè)機(jī)構(gòu)對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)進(jìn)行檢查，截至目前，尚有107款A(yù)PP未完成整改。”工信部信息通信管理局表示，在檢測(cè)過(guò)程中發(fā)現(xiàn)，13款內(nèi)嵌第三方軟件開(kāi)發(fā)工具包（SDK）存在違規(guī)收集用戶(hù)設(shè)備信息的行為。

如何打贏與黑產(chǎn)的“持久戰(zhàn)”？

針對(duì)黑產(chǎn)發(fā)展的嚴(yán)峻趨勢(shì)，一方面政府出臺(tái)政策并采取一系列手段予以打擊，科技公司也在發(fā)揮著越來(lái)越重要的作用。

公安機(jī)關(guān)通過(guò)“斷卡”行動(dòng)、國(guó)家反詐App等一系列手段對(duì)黑產(chǎn)進(jìn)行打擊，有效降低了黑卡數(shù)量，阻斷了黑產(chǎn)活動(dòng)的源頭。在國(guó)家的重拳打擊下，對(duì)黑產(chǎn)從業(yè)人員起到了有效的威懾作用，黑產(chǎn)進(jìn)一步向隱蔽化、隨機(jī)組團(tuán)化轉(zhuǎn)移。

自2020年10月“斷卡”行動(dòng)開(kāi)展以來(lái)，各地各部門(mén)集中打擊犯罪團(tuán)伙，清理電話卡、銀行卡，從根源上有效遏制電信網(wǎng)絡(luò)詐騙案件快速上升勢(shì)頭，2021年6月至9月全國(guó)電信網(wǎng)絡(luò)詐騙犯罪發(fā)案連續(xù)4個(gè)月實(shí)現(xiàn)同比下降。隨著“斷卡”行動(dòng)深入推進(jìn)，電信網(wǎng)絡(luò)詐騙團(tuán)伙獲取“兩卡”的寄遞販賣(mài)通道受阻，詐騙窩點(diǎn)用于作案的“兩卡 ”嚴(yán)重不足，大量涉案資金被凍結(jié)，一些詐騙分子甚至直接利用本人銀行賬戶(hù)轉(zhuǎn)賬洗錢(qián)，犯罪團(tuán)伙作案成本大幅提升，對(duì)電信詐騙活動(dòng)實(shí)現(xiàn)重創(chuàng)。

2021年9月，銀保監(jiān)會(huì)辦公廳發(fā)布加強(qiáng)人臉識(shí)別技術(shù)應(yīng)用安全管理的相關(guān)通知，要求各機(jī)構(gòu)要全面梳理涉及人臉識(shí)別的業(yè)務(wù)場(chǎng)景和應(yīng)用系統(tǒng)，開(kāi)展風(fēng)險(xiǎn)排查和整改，如發(fā)現(xiàn)正在使用的人臉識(shí)別技術(shù)存在安全漏洞要盡快升級(jí)或修復(fù)，對(duì)存在風(fēng)險(xiǎn)隱患的應(yīng)用系統(tǒng)要盡快實(shí)施安全加固或改造。

2022年1月18日，中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所牽頭編寫(xiě)的國(guó)內(nèi)首份《人臉信息合規(guī)操作指南 可信人臉應(yīng)用守護(hù)計(jì)劃》指出，當(dāng)前我國(guó)已初步構(gòu)建了人臉信息保護(hù)的法律規(guī)范體系。《刑法》及《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》對(duì)非法買(mǎi)賣(mài)人臉信息等犯罪行為進(jìn)行了明確規(guī)定，《民法典》《個(gè)人信息保護(hù)法》以及《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用于法律若干問(wèn)題的規(guī)定》對(duì)于規(guī)范人臉信息處理活動(dòng)提供了堅(jiān)實(shí)的依據(jù)，相關(guān)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范不斷更新完善。

2021年11月，中國(guó)信通院公布了“可信AI:人臉識(shí)別評(píng)估”首輪成果，中關(guān)村科金、騰訊云、百度、京東、螞蟻金服等7家知名企業(yè)順利通過(guò)此次評(píng)估且系統(tǒng)安全防護(hù)能力達(dá)到優(yōu)秀級(jí)。據(jù)公開(kāi)資料顯示，中關(guān)村科金的多模態(tài)防偽與安全平臺(tái)目前支持防偽能力檢測(cè)類(lèi)型已達(dá)11種，其中呈現(xiàn)式活體攻擊單幀靜默錯(cuò)誤接受率低至0.5%；深度偽造單幀檢測(cè)錯(cuò)誤接受率低至0%；身份證偽造單幀檢測(cè)準(zhǔn)確率高達(dá)99.2%。

馮月表示，到2023年，該產(chǎn)品防偽種類(lèi)將超過(guò)30種，平均防偽精度普遍超過(guò)95%，有望服務(wù)超過(guò)300家企業(yè)。截至目前，得助多模態(tài)生物防偽與安全平臺(tái)已在金融機(jī)構(gòu)多個(gè)業(yè)務(wù)場(chǎng)景應(yīng)用。例如，當(dāng)前有“黑灰產(chǎn)中介”以牟利為目的，誘導(dǎo)消費(fèi)者委托其代理維權(quán)，讓金融機(jī)構(gòu)不堪其擾的場(chǎng)景中，該產(chǎn)品可以用于識(shí)別代理維權(quán)機(jī)構(gòu)，通過(guò)聲紋識(shí)別和語(yǔ)音偽造檢測(cè)，明確用戶(hù)是否為本人。

騰訊衛(wèi)士是一款集“用戶(hù)舉報(bào)、違規(guī)打擊、用戶(hù)教育”為一體的公益性綜合安全服務(wù)平臺(tái)，成立以來(lái)，已累計(jì)服務(wù)用戶(hù)量1.5億，受理有效舉報(bào)量近6000萬(wàn)，打擊違法違規(guī)賬號(hào)超1000萬(wàn)。

“在產(chǎn)業(yè)數(shù)字互聯(lián)的大時(shí)代中，黑產(chǎn)防護(hù)與數(shù)字化是一體兩面，隨著業(yè)務(wù)邊界的擴(kuò)大與增長(zhǎng)，黑產(chǎn)隱蔽化、技術(shù)化、產(chǎn)業(yè)化的特點(diǎn)也愈發(fā)凸顯，單靠某個(gè)企業(yè)單打獨(dú)斗、閉門(mén)造車(chē)必然無(wú)法應(yīng)對(duì)未來(lái)千變?nèi)f化的黑產(chǎn)形式。需要通過(guò)國(guó)家、行業(yè)、機(jī)構(gòu)多個(gè)層面的聯(lián)合共建，強(qiáng)化黑產(chǎn)的抵御之路。”《2021年網(wǎng)絡(luò)金融黑產(chǎn)研究報(bào)告》稱(chēng)。