聊聊身份欺诈和窃取那些事
按要求转自FreeBuf.COM
编译 | Alpha_h4ck
很多人都认为“个人隐私”不过是一纸空谈而已,引用老炮儿中六爷的一句被删台词:“我活那么大,我TM都不知道自己还有隐私?”
目前社交媒体如此发达,而社交平台上又存储着海量的网民个人信息,但是由于很多用户缺乏针对个人信息的保护意识,所以网络犯罪分子们有着大把的机会可以随意窃取他人的个人身份信息。不过在应对身份盗窃这一问题上,研究人员们也在不断尝试着新的花样。比如说,我们可以将用户的个人物理属性纳入考虑范围,并通过这种实体属性来为我们的身份信息添加一层额外的安全保护。通过指纹识别来解锁智能手机已经不是什么新鲜事儿了,但是最新的技术是将指纹信息与用户手指按压的力度进行结合来识别用户身份,这就比较炫酷了。
传统的身份识别方式存在短板
Experian的高级业务顾问Keir Breitenfeld在接受采访时表示:
现在很多企业和政府部门仍然在使用“可共享的秘密”或“静态数据”来识别用户的合法身份,比如说社保号、用户名和密码等等,但是如果继续使用这种身份识别方法的话,那么欺诈问题也许永远都无法解决。个人身份识别信息(PII)是非常有价值的,而这些信息自然而然就成为了网络犯罪分子的首要目标。因此,解决该问题的其中一种方法就是使用动态数据(或与一些静态指标相结合)。
目前,每天都有190万条包含有PII信息的数据记录被盗,这也就意味着每天都有数百万人将会陷入身份欺诈的风险之中,除此之外,根据Javelin的2017年身份欺诈研究报告,在2016年总共有1540万美国公民受到了身份欺诈的影响,受影响人数相比2015年增加了16%。
Breitenfeld表示,目前很多公司仍然在使用一种名为“身份元素识别验证”的形式来对用户身份进行核验。在这种传统的方法中,“申请人”需要提供一个身份元素(例如社保号、生日、姓名或住址),然后公司再使用可信任第三方(例如信用部门)所提供的数据记录来与之进行比对,并通过这种方法来核验用户的身份。但是问题就在于,其中大多数信息可能早就已经被盗了,所以这种身份认证方法已经不再可靠。
Entrust Datacard的全球副总裁Ryan Zlockie给出了一种名为“连续认证”的例子,比如说,当用户在操作智能手机的过程中,他们打字、滚动或滑动屏幕时手指的用力程度是不同的,我们可以通过这些数据来与用户的日常行为习惯进行比对并验证其身份。另一种方法就是通过会话或事务的时长来进行验证,比如说,我们可以将用户的打字习惯当作一种基于行为模式的身份验证工具,当用户在电脑键盘上打字时,我们可以收集用户手指按压键盘的力度和频率情况,而这些数据时可以连续捕捉的,并非只在用户首次登录一个系统或服务时才进行收集。
相对于静态身份数据来说,这种动态数据对于犯罪分子而言的“货币价值”就没有那么高了。而且通过这种方法,企业也就有可能阻止欺诈行为的发生。目前一些新的动态识别数据主要有以下几种:
1. 生物学特征:类似指纹和视网膜这样的生物识别认证因素可以用来安全地验证用户身份,因为对于诈骗分子来说,这些信息的窃取和拷贝相对来说比较困难。
2. IP地址:检测当前账户是否使用的是新的或未认证的IP地址,这样可以一定程度地阻止欺诈事件的发生。除此之外,当某人尝试使用新设备来访问用户账号时,用户将会收到通知。
3. 地理位置:地理位置是验证用户身份的另一种因素,而且很多公司目前已经将其当作一种用户在进行购买操作时的身份验证因素了。比如说,如果你住在肯塔基,但如果你想在中国用你的凭证来购买商品时,交易将会被暂时阻止,除非你能够进一步提供身份验证资料。
4. 自拍:当用户通过移动设备来进行交易时,面部识别技术同样可以用来验证用户身份。
5. 购物频率检测:通过检测个人用户的历史购物行为和购买频率同样可以有效地防止违规操作的发生。
6. 社交媒体资料:可以通过分析用户的社交媒体和在线账户资料来判断该用户的身份是否真实。比如说,某人的Facebook账号已经建立了很多年,而且也有很多好友,但是我们可以通过分析其账号资料的广度和深度来判断该用户是否使用的是虚假信息。
7. 授权用户的操作行为:通过监控已授权用户的操作行为可以有效地防止欺诈行为的发生。
除了面部识别之外,声音识别和虹膜识别等技术同样可以根据用户的固有物理特征来验证用户的身份。Zlockie表示:“目前生物认证的范围已经不仅局限于指纹了,正是由于生物特征具有这种“不可转让”的特性,所以它才能提供高等级的防欺诈保护。声音和面部生物识别技术的灵活性非常高,我们可以在一个会话过程中不断地验证用户身份,而用户完全不会觉察到。
除此之外,他还引用了心电图(ECG)来作为物理识别因素的另一个例子,因为心跳等因素同样可以作为一种唯一的标识符来验证用户的身份。当用户正在使用一个系统或服务时,系统就可以在会话的整个过程中通过实时检测用户的生命特征来核验用户身份。Zlockie表示,这种“认知认证技术”目前仍处于研究阶段。这种技术需要收集大量参数来为用户创建一个单独的用户档案,当用户接收到了一种新的刺激时(例如一段熟悉的音乐或一张图片),我们就可以通过脑电图、心电图、血压、皮肤电反应和瞳孔状态来判断用户的身份。
可行方案
多因素身份验证已经成为了目前一种较为常见的验证方法,例如基于知识的验证(安全问题)、一次性密码和文件验证(自拍或电子签名)等等。虽然这种方法已经使用多年,但传统的多因素认证方法并不像一些人所认为的那么安全。比如说,当验证码是通过文本发送的时候,我们无法保证看到这个验证码的就是用户本人,因为用户的手机可能会被盗,而且犯罪分子也可以复制用户的手机卡来接收短信验证码。因此,我们可以在这种传统多因素认证的过程中加入动态数据(例如自拍)来提升可靠性。
展望未来,整个行业需要考虑使用一种更具整体性的身份识别机制。Breitenfeld认为,我们可以将用户的PII信息与动态数据相结合来创建出一种集中化的消费者身份管理中心。一般来说,这些用户档案需要一个可信任的第三方(例如信用机构)来负责存管,而用户数据可以通过多种渠道来进行收集,而拥有权限的机构可以实时访问这些文件存档。当企业需要验证某位用户身份时可以向中心发出验证请求,企业就不用在本地存储或与其他第三方共享用户的身份识别信息了。这样也就减轻了企业收集和保护用户PII信息的负担,而且他们也不用担心黑客攻击和数据泄漏等事件给用户身份信息所带来的危险了。