给人脸识别系统敲警钟,使用短视频图像窃取其他人的支付宝!

75
发表时间:2019-08-23 14:57作者:kdacctv来源:网络

日前,庐山市法院公布了一起利用人脸识别方法盗取他人支付宝账户资金案。


庐山市人民法院对周某利用人脸识别技术盗取支付宝帐户资金案作出一审判决, 被告人周某因犯盗窃罪被判处有期徒刑一年二个月,并处罚金人民币10000元。


2014年初,被告人周某通过某网络直播平台认识了被害人桑某,因痴迷桑某,周某利用互联网搜集到桑某包括电话号码在内的个人信息,又通过支付宝通讯录发现该手机号码即为桑某支付宝账号。


为窥得桑某购物记录等隐私,周某又通过某短视频APP获得桑某动态头像,从而利用该头像使用人脸识别方法修改了桑某支付宝账户登陆密码。


登陆桑某支付宝后,周某发现桑某支付宝账户内有大量资金,遂使用同样方法修改了支付密码,2015年11月至2016年1月,周某多次自行将桑某支付宝账户内资金转入自己的支付宝账户,所盗金额共计人民币31998元。


周某盗窃事实被桑某发觉后,为避免桑某报警,周某返还桑某人民币20000元。

支付之家网检索发现,该案例或为首例以短视频动态影像为切入点,利用人脸识别“漏洞”盗取他人支付账户资金的案例。


支付之家网(ZFZJ.CN)认为,目前短视频行业热火朝天,抖音快手等主流APP上存在大量的个人露脸影像资料可被不法分子轻松获取。根据法院的描述,若支付平台(不仅仅是支付宝)方面对此无应对措施,则将存在非常巨大的系统性风险。


一审法院认定,被告人周某以非法占有为目的,多次盗窃(作案十次)他人财物,数额较大,其行为已构成盗窃罪。后被告人周某上诉至九江市中级人民法院,二审法院裁定驳回上诉,维持原判。


对此,法官评析称,本案系当前新型智能犯罪,犯罪方法新颖,作案手段隐蔽,通过获得被害人的动态头像,从而利用该头像使用人脸识别方法修改了被害人的支付宝账户登陆密码盗取其支付宝帐户内资金。


在一些刑事案件审理过程中发现,该类案件的犯罪手段主要有通过被害人手机号码修改支付宝密码、用虚假身份证办理绑定支付宝电话卡、利用支付宝审核漏洞进行盗窃、通过冒充支付宝客服等方式套取交易验证码等。


不可否认,人脸识别技术提升了金融服务的便捷性和普惠性,但同时也存在隐私泄露、算法漏洞、假体攻击和活体攻击等一系列风险。


中国人民银行科技司司长李伟就曾表示,仅靠人脸特征识别未经用户确认就直接完成支付交易,不能有效体现用户主观意愿和资金自主支配权,给不法分子“无感”盗取资金提供了“便利”,可能成为人脸支付资金风险的根源。


由于生物识别信息终身不变、采集隐蔽、集中存储,因此,安全上存在漏洞便贻害无穷。


一方面,生物特征与人类生命相伴而生,如被非法窃取利用,基于此类生物特征的身份认证系统都可能被轻易绕过。


用户生物特征普遍暴露在商场、旅馆、饭店、街道等各种公共场所,不法分子可通过远程、非接触方式,在用户本人毫无察觉的情况下“无声无息”地非法批量采集生物特征信息。同时,在金融科技时代,生物特征数据存储集中度越来越高,一旦热点应用的生物特征库被攻破,极易导致大规模隐私泄露,甚至引发系统性风险。


另一方面,攻击手段不断翻新,技防能力则显得相形见绌。


生物识别技术持续快速发展,针对识别算法漏洞的攻击手段也不断翻新。早期,由于生物识别技术无法判断识别对象是否为真实活体,伪造指纹、声纹、人脸等生物特征的“假体攻击”手段较为猖獗。为应对“假体攻击”,基于3D结构光、TOF、红外双目摄像头等的活体检测技术应运而生,一定程度上缓解了假体攻击的威胁。但不久又出现了针对活体检测技术的视频重放、立体面具等“活体攻击”手段。


随着人工智能、大数据等技术不断发展演进,新型攻击手段也不断出现,迫使产业各方疲于应对,倒逼企业加大投入力度,持续升级算法能力和防伪技术,给生物识别技术安全应用带来巨大挑战。


生物识别的应用与监管确实已经远远超出了金融范畴。


庐山市法院所公布的这一案例,虽然发生于4年前,而支付宝方面或许也早已对此类漏洞进行了升级完善。但是以生物识别、人脸识别技术判定用户身份的平台不仅仅是支付宝,更不仅仅是支付平台,理论上文中的案例操作手法仍然可能在其他平台发生。


总之,这是一起非常值得关注的案例。这其中暴露出来的问题,除了来自于支付平台应对“假体攻击”、“活体攻击”的不足外,最重要的就是存在于各大短视频平台数以亿计的人脸影像将成为不法分子打开罪恶之门的钥匙。


毫无疑问,技术是一把双刃剑。


website qrcode
关注我们: