小心網絡黑産盯上你的“臉”

經濟觀察網 記者 胡群“遇到 ‘我想轉錢到你卡裡，你再幫忙發給我朋友下，我微信限制轉賬了’這種情況，和對方視訊驗證發現是本人，依然要謹慎謹慎再謹慎。”2月17日，一位北京某高校老師在朋友圈裡稱。當日清晨，她的一位朋友通過微信向她提出幫忙轉賬的請求，她打通了對方的微信視訊進行核實，在視訊中看到熟悉的面孔，但對方并未開口說話便匆匆關閉了視訊通話。

視訊驗證是熟悉面孔，為何仍會被騙？

“身份核驗安全隐患為金融行業資産帶來了不确定性，攻擊行為和僞冒案例的日益多樣化為AI技術安全帶來了極大的挑戰，如空照片挖孔、3D面具、深度僞造、語音合成、語音拼接等，針對不同攻擊行為亟待行之有效的防僞能力。”中關村科金AI安全攻防實驗室總監馮月在接受經濟觀察網采訪時表示，由于深度學習的發展，以及Deep Fake（一款備受争議的換臉技術軟體）的出現，導緻“假臉”的制作門檻大幅度降低，普通人可以制作一個可能不存在的人臉或者是将人臉互換，形成的單幀圖檔可以做到非常逼真。一般情況下，黑産會利用動态化處理軟體完成讓照片中的人物張嘴、轉頭等動作，之後再度采用其他軟體欺騙系統，通過修改相關資料和設定，将提前做好的動态人臉視訊導入到App中，便完成認證，進而完成整個詐騙流程。

你的臉“值”多少錢？

移動支付已成為支付主流方式。中國網際網路絡資訊中心(CNNIC)2021年9月釋出的《中國網際網路絡發展狀況統計報告》顯示，大陸網絡支付使用者規模達8.72億，占網民整體的 86.3%。

目前疫情防控常态化使得無接觸認證、無感認證等身份識别需求激增，人臉識别技術憑借其便捷易用的特點，在金融領域發揮着重要作用，很多金融App可以通過人臉識别進行支付、轉賬等業務。指紋、刷臉等生物識别成為目前常用的移動支付驗證方式，其使用率已經超過數字密碼驗證方式。

1月25日，中國銀聯釋出《2021移動支付安全大調查研究報告》顯示，在移動支付驗證方式中，指紋、刷臉等生物識别方式認可度最高，其使用率已經超過數字密碼驗證方式。從年齡上看，45歲以上人群更偏愛密碼支付方式，45歲以下人群更 偏愛指紋、刷臉等生物識别方式，尤其18-24歲年輕人群使用生物識别驗證方式的達到75%，高于平均水準9個百分點。受訪人群使用動态驗證碼核驗身份約占3成，其中46-55歲人群達到35%，高于平均水準6個百分點。

在科技帶來便利的同時也會被部分不法分子所利用，人臉識别技術所帶來的個人資訊保護問題也日益凸顯，引發社會公衆的普遍關注和擔憂。馮月表示，在正常的人臉識别技術中，系統僅會對采集的視訊或圖檔做基礎的品質檢測和驗真，但是，這種基礎的驗真技術并無法有效識别人臉的真假，随着僞造攻擊工具的演進，有效性會急劇降低，常見的，黑産便用照片或是視訊翻拍便可以達到魚目混珠的效果。這就衍生出了一系列安全問題。

一般情況下，黑産會利用動态化處理軟體完成讓照片中的人物張嘴、轉頭等動作，之後再用其他軟體欺騙系統，當App需要通過攝像頭進行人臉驗證時，啟動“外挂”，通過修改相關資料和設定，将提前做好的動态人臉視訊導入到App中，便完成認證。

國家網際網路應急中心曾在2021年6月對人臉識别身份認證漏洞的風險進行過描述：一些App由于設計過程中存在安全缺陷，導緻攻擊者可以利用公開擷取的使用者照片替換活體檢測采集的照片，進而破壞人臉識别身份認證機制，登入使用者賬号并竊取使用者敏感資訊等操作。

如果說上述黑産從業者的詐騙技術較為初級，現在騙術已更新。

“安全行業與黑産在人臉識别領域的攻防博弈已經經曆過多次疊代，從早期的圖像級到中期的應用級，再到後期的算法級，金融行業和安全公司通過一系列手段對黑産的攻擊方式進行了有效防護，然而對抗并未停止，人臉攻防進一步深入到了移動作業系統，為企業防護帶來了新的挑戰。”2月14日，中國工商銀行金融科技研究院釋出的《2021年網絡金融黑産研究報告》顯示，随着人臉識别攻防技術不斷發展和反複博弈，人臉識别應用場景已成為了黑産對抗的主戰場，除大家熟知的照片活化攻擊外，2021年又出現了新的攻擊手法，黑産精心設計了人臉欺詐場景并使用了新型攻擊技術，讓“刷臉”再次面臨新挑戰。

“視訊來電慎接聽，人臉竊取需防範。”《2021年網絡金融黑産研究報告》指出，黑産從業者通過視訊通話竊取受害人的人臉資訊。黑産從業者一般假冒公檢法機關或銀行從業人員，恐吓受害者涉嫌“洗錢”“藏毒”“欠貸”等案件，要求受害者通過視訊通話進行身份核實。視訊通話過程中，黑産從業者要求受害人完成指定人臉動作，同時開啟錄屏功能擷取受害人的人臉資訊。與利用活化軟體生成的合成視訊相比，通過視訊通話擷取到的人臉視訊是受害者本人完成的人臉識别動作，不存在合成及僞造特征，很難被人臉算法識别。考慮到人臉特征具有唯一性，一旦被黑産竊取，将直接導緻人臉認證失效，造成資金和财産損失。是以在接聽視訊來電前，一定要核實對方身份資訊。

網絡黑産猖獗

2021年全年，小盾安全共檢測到9381個黑産團夥作案行為，平均單個團夥賬戶數量在500左右，一般為專業工作室模式，利用自有群控裝置或者租用雲控服務，配合改機工具、模拟器、ip 代理、接碼平台、打碼平台等完成批量化作弊行為。

《2021移動支付安全大調查研究報告》顯示，網絡詐騙受到損失的人群比例較2020年更高，2021年遭遇過網絡詐騙且有損失的人群比例較去年增加了6%，達到了14%，平均受損金額為1650元，比2020年降低了272元。從年齡上看，00後是移動支付風險的高危人群，銀行卡出借比例較高，網絡詐騙導緻經濟損失的比例居于首位。中老年人也是遭受詐騙的主要群體，主 要集中在四線、五線城市和各個鄉、鎮、村，普遍受科普程度較低，以網絡直播詐騙為主要管道，且通常數額巨大。從職業來看，大學生遭遇網絡欺詐的風險較高，近半數有使用第三方信用貸款賬戶的習慣。另外，網店店主、自主創業者也是遭受網絡詐騙較多的人群。

“40歲以下為主要被害人群，老年人詐騙相對并不多見”。騰訊釋出的《電信網絡詐騙治理研究報告2021年》顯示，從被害人年齡構成來看，40歲以下的年輕群體所占比例高達79%，50歲以上的被害人占比僅有8%，但随着大陸社會老齡化程度加深、程序加快，老年人将成為中國網民不可忽視的重要組成部分，銀發群體的網絡安全問題也需要予以重點關注。

“整個黑色産業鍊由來已久，網際網路時代以來我們将黑産的演變分為4個階段。”小盾安全釋出的《2021年度業務風控洞察報告》稱，分别為蠻荒時代、野蠻生長期、初見規模期，以及黑産出海期。

2010年前為黑産的蠻荒時代，以PC為代表的網際網路時期，黑産主要的盈利方式是靠控制個人電腦作為“殭屍電腦”通過DDoS攻擊、刷廣告、安裝流氓軟體等方式變現。這個周期掌握“殭屍電腦”的數量決定了獲利規模的上限。

2013年前後，伴随着O2O的興起，随着大量資本的湧入，黑産擴張用于使用者拉新，賬号價值凸顯，也是在這個時期，黑産圍繞“賬号體系”的産業鍊條逐漸形成，包括号商、接碼平台、打碼平台、群控等，進而進入野蠻生長期。

2015年前後，網貸行業進入繁榮期，這一階段也是風險集中暴發的時期，由于其泛金融的屬性需要較嚴格的KYC認證，也就是在這個階段整個圍繞“KYC 套件”的産業鍊逐漸形成，包括：二要素、三要素、人臉、活體等，黑産初見規模。

從2019年開始，出海成為很多國内企業的選擇，不論是電商、社交還是泛娛樂企業都紛紛加入到出海大軍。彼時國内監管政策趨嚴，國内黑産也開啟出海的航程。基于國内多年的技術積累，黑産企業在海外發展更為猖獗。

據騰訊披露，目前詐騙分子非法擷取公民個人資訊，主要有三種方式。通過“流氓軟體”、釣魚網站、系統漏洞、“拖庫”等手段非法擷取公民資訊；通過暗網等非法管道購買他人非法擷取的公民個人資訊；從企業工商資訊查詢網站、企業官網、機關機關網站等公開管道“爬取”公民個人資訊。

2月18日，工信部通報2022年第一批侵害使用者權益的APP。“依據《個人資訊保護法》《網絡安全法》《電信條例》《電信和網際網路使用者個人資訊保護規定》等法律法規，我部近期組織第三方檢測機構對移動網際網路應用程式(APP)進行檢查，截至目前，尚有107款APP未完成整改。”工信部資訊通信管理局表示，在檢測過程中發現，13款内嵌第三方軟體開發工具包（SDK）存在違規收集使用者裝置資訊的行為。

如何打赢與黑産的“持久戰”？

針對黑産發展的嚴峻趨勢，一方面政府出台政策并采取一系列手段予以打擊，科技公司也在發揮着越來越重要的作用。

公安機關通過“斷卡”行動、國家反詐App等一系列手段對黑産進行打擊，有效降低了黑卡數量，阻斷了黑産活動的源頭。在國家的重拳打擊下，對黑産從業人員起到了有效的威懾作用，黑産進一步向隐蔽化、随機組團化轉移。

自2020年10月“斷卡”行動開展以來，各地各部門集中打擊幫派，清理電話卡、銀行卡，從根源上有效遏制電信網絡詐騙案件快速上升勢頭，2021年6月至9月全國電信網絡詐騙犯罪發案連續4個月實作同比下降。随着“斷卡”行動深入推進，電信網絡詐騙團夥擷取“兩卡”的寄遞販賣通道受阻，詐騙窩點用于作案的“兩卡 ”嚴重不足，大量涉案資金被當機，一些詐騙分子甚至直接利用本人銀行賬戶轉賬洗錢，幫派作案成本大幅提升，對電信詐騙活動實作重創。

2021年9月，銀保監會辦公廳釋出加強人臉識别技術應用安全管理的相關通知，要求各機構要全面梳理涉及人臉識别的業務場景和應用系統，開展風險排查和整改，如發現正在使用的人臉識别技術存在安全漏洞要盡快更新或修複，對存在風險隐患的應用系統要盡快實施安全加強或改造。

2022年1月18日，中國信通院雲計算與大資料研究所牽頭編寫的國内首份《人臉資訊合規操作指南 可信人臉應用守護計劃》指出，目前大陸已初步建構了人臉資訊保護的法律規範體系。《刑法》及《關于辦理侵犯公民個人資訊刑事案件适用法律若幹問題的解釋》對非法買賣人臉資訊等犯罪行為進行了明确規定，《民法典》《個人資訊保護法》以及《關于審理使用人臉識别技術處理個人資訊相關民事案件适用于法律若幹問題的規定》對于規範人臉資訊處理活動提供了堅實的依據，相關法律法規及标準規範不斷更新完善。

2021年11月，中國信通院公布了“可信AI:人臉識别評估”首輪成果，中關村科金、騰訊雲、百度、京東、螞蟻金服等7家知名企業順利通過此次評估且系統安全防護能力達到優秀級。據公開資料顯示，中關村科金的多模态防僞與安全平台目前支援防僞能力檢測類型已達11種，其中呈現式活體攻擊單幀靜默錯誤接受率低至0.5%；深度僞造單幀檢測錯誤接受率低至0%；身份證僞造單幀檢測準确率高達99.2%。

馮月表示，到2023年，該産品防僞種類将超過30種，平均防僞精度普遍超過95%，有望服務超過300家企業。截至目前，得助多模态生物防僞與安全平台已在金融機構多個業務場景應用。例如，目前有“黑灰産中介”以牟利為目的，誘導消費者委托其代理維權，讓金融機構不堪其擾的場景中，該産品可以用于識别代理維權機構，通過聲紋識别和語音僞造檢測，明确使用者是否為本人。

騰訊衛士是一款集“使用者舉報、違規打擊、使用者教育”為一體的公益性綜合安全服務平台，成立以來，已累計服務使用者量1.5億，受理有效舉報量近6000萬，打擊違法違規賬号超1000萬。

“在産業數字互聯的大時代中，黑産防護與數字化是一體兩面，随着業務邊界的擴大與增長，黑産隐蔽化、技術化、産業化的特點也愈發凸顯，單靠某個企業單打獨鬥、閉門造車必然無法應對未來千變萬化的黑産形式。需要通過國家、行業、機構多個層面的聯合共建，強化黑産的抵禦之路。”《2021年網絡金融黑産研究報告》稱。