聊聊身份欺诈和窃取那些事

按要求转自FreeBuf.COM

编译 | Alpha_h4ck

很多人都认为“个人隐私”不过是一纸空谈而已,引用老炮儿中六爷的一句被删台词:“我活那么大,我TM都不知道自己还有隐私?”

目前社交媒体如此发达,而社交平台上又存储着海量的网民个人信息,但是由于很多用户缺乏针对个人信息的保护意识,所以网络犯罪分子们有着大把的机会可以随意窃取他人的个人身份信息。不过在应对身份盗窃这一问题上,研究人员们也在不断尝试着新的花样。比如说,我们可以将用户的个人物理属性纳入考虑范围,并通过这种实体属性来为我们的身份信息添加一层额外的安全保护。通过指纹识别来解锁智能手机已经不是什么新鲜事儿了,但是最新的技术是将指纹信息与用户手指按压的力度进行结合来识别用户身份,这就比较炫酷了。

传统的身份识别方式存在短板

Experian的高级业务顾问Keir Breitenfeld在接受采访时表示:

现在很多企业和政府部门仍然在使用“可共享的秘密”或“静态数据”来识别用户的合法身份,比如说社保号、用户名和密码等等,但是如果继续使用这种身份识别方法的话,那么欺诈问题也许永远都无法解决。个人身份识别信息(PII)是非常有价值的,而这些信息自然而然就成为了网络犯罪分子的首要目标。因此,解决该问题的其中一种方法就是使用动态数据(或与一些静态指标相结合)。

目前,每天都有190万条包含有PII信息的数据记录被盗,这也就意味着每天都有数百万人将会陷入身份欺诈的风险之中,除此之外,根据Javelin的2017年身份欺诈研究报告,在2016年总共有1540万美国公民受到了身份欺诈的影响,受影响人数相比2015年增加了16%。

Breitenfeld表示,目前很多公司仍然在使用一种名为“身份元素识别验证”的形式来对用户身份进行核验。在这种传统的方法中,“申请人”需要提供一个身份元素(例如社保号、生日、姓名或住址),然后公司再使用可信任第三方(例如信用部门)所提供的数据记录来与之进行比对,并通过这种方法来核验用户的身份。但是问题就在于,其中大多数信息可能早就已经被盗了,所以这种身份认证方法已经不再可靠。

Entrust Datacard的全球副总裁Ryan Zlockie给出了一种名为“连续认证”的例子,比如说,当用户在操作智能手机的过程中,他们打字、滚动或滑动屏幕时手指的用力程度是不同的,我们可以通过这些数据来与用户的日常行为习惯进行比对并验证其身份。另一种方法就是通过会话或事务的时长来进行验证,比如说,我们可以将用户的打字习惯当作一种基于行为模式的身份验证工具,当用户在电脑键盘上打字时,我们可以收集用户手指按压键盘的力度和频率情况,而这些数据时可以连续捕捉的,并非只在用户首次登录一个系统或服务时才进行收集。

相对于静态身份数据来说,这种动态数据对于犯罪分子而言的“货币价值”就没有那么高了。而且通过这种方法,企业也就有可能阻止欺诈行为的发生。目前一些新的动态识别数据主要有以下几种:

1. 生物学特征:类似指纹和视网膜这样的生物识别认证因素可以用来安全地验证用户身份,因为对于诈骗分子来说,这些信息的窃取和拷贝相对来说比较困难。

2. IP地址:检测当前账户是否使用的是新的或未认证的IP地址,这样可以一定程度地阻止欺诈事件的发生。除此之外,当某人尝试使用新设备来访问用户账号时,用户将会收到通知。

3. 地理位置:地理位置是验证用户身份的另一种因素,而且很多公司目前已经将其当作一种用户在进行购买操作时的身份验证因素了。比如说,如果你住在肯塔基,但如果你想在中国用你的凭证来购买商品时,交易将会被暂时阻止,除非你能够进一步提供身份验证资料。

4. 自拍:当用户通过移动设备来进行交易时,面部识别技术同样可以用来验证用户身份。

5. 购物频率检测:通过检测个人用户的历史购物行为和购买频率同样可以有效地防止违规操作的发生。

6. 社交媒体资料:可以通过分析用户的社交媒体和在线账户资料来判断该用户的身份是否真实。比如说,某人的Facebook账号已经建立了很多年,而且也有很多好友,但是我们可以通过分析其账号资料的广度和深度来判断该用户是否使用的是虚假信息。

7. 授权用户的操作行为:通过监控已授权用户的操作行为可以有效地防止欺诈行为的发生。

除了面部识别之外,声音识别和虹膜识别等技术同样可以根据用户的固有物理特征来验证用户的身份。Zlockie表示:“目前生物认证的范围已经不仅局限于指纹了,正是由于生物特征具有这种“不可转让”的特性,所以它才能提供高等级的防欺诈保护。声音和面部生物识别技术的灵活性非常高,我们可以在一个会话过程中不断地验证用户身份,而用户完全不会觉察到。

除此之外,他还引用了心电图(ECG)来作为物理识别因素的另一个例子,因为心跳等因素同样可以作为一种唯一的标识符来验证用户的身份。当用户正在使用一个系统或服务时,系统就可以在会话的整个过程中通过实时检测用户的生命特征来核验用户身份。Zlockie表示,这种“认知认证技术”目前仍处于研究阶段。这种技术需要收集大量参数来为用户创建一个单独的用户档案,当用户接收到了一种新的刺激时(例如一段熟悉的音乐或一张图片),我们就可以通过脑电图、心电图、血压、皮肤电反应和瞳孔状态来判断用户的身份。

可行方案

多因素身份验证已经成为了目前一种较为常见的验证方法,例如基于知识的验证(安全问题)、一次性密码和文件验证(自拍或电子签名)等等。虽然这种方法已经使用多年,但传统的多因素认证方法并不像一些人所认为的那么安全。比如说,当验证码是通过文本发送的时候,我们无法保证看到这个验证码的就是用户本人,因为用户的手机可能会被盗,而且犯罪分子也可以复制用户的手机卡来接收短信验证码。因此,我们可以在这种传统多因素认证的过程中加入动态数据(例如自拍)来提升可靠性。

展望未来,整个行业需要考虑使用一种更具整体性的身份识别机制。Breitenfeld认为,我们可以将用户的PII信息与动态数据相结合来创建出一种集中化的消费者身份管理中心。一般来说,这些用户档案需要一个可信任的第三方(例如信用机构)来负责存管,而用户数据可以通过多种渠道来进行收集,而拥有权限的机构可以实时访问这些文件存档。当企业需要验证某位用户身份时可以向中心发出验证请求,企业就不用在本地存储或与其他第三方共享用户的身份识别信息了。这样也就减轻了企业收集和保护用户PII信息的负担,而且他们也不用担心黑客攻击和数据泄漏等事件给用户身份信息所带来的危险了。

原文发布于微信公众号 - 大数据文摘(BigDataDigest)

原文发表时间:2017-03-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏about云

该如何建设公有云私有云,需要考虑哪些问题,该选择什么技术?

问题导读: 1.云计算能够解决什么问题? 2.公有云面临哪些问题? 3.要建设云,你认为需要解决什么问题? 4.为什么选择openstack,建设公有云? 最...

5287
来自专栏程序工场

阿里巴巴、百度、腾讯都在用的Java架构师知识体系

源码分析是一种临界知识,掌握了这种临界知识,能不变应万变,源码分析对于很多人来说很枯燥,生涩难懂。

942
来自专栏程序员互动联盟

【入门必备】如何玩嵌入式?

嵌入式是一个很流行的开发模式,前几年Android还没出来的时候那是老火了。这几年被Android开发的风头盖过了。其实Android的本质开发也是嵌入式开发,...

3889
来自专栏Phoenix的Android之旅

敏捷开发实践总结

敏捷开发它是一种指导思想或开发方式,但是它没有明确告诉我们到底采用什么样的流程进行开发,而Scrum和XP就是敏捷开发的具体方式了,你可以采用Scrum方式也可...

3093
来自专栏小程序服务商

开发小程序公司如何选择 定制制作微信小程序多少钱?

首先,看其有无负面消息。在各大搜素引擎中搜索该公司的名字,如果出现“骗子”、“骗人”等负面性词汇时,则表明该公司对外的口碑并不好。反之,如果没有任何负面消息出现...

3471
来自专栏PPV课数据科学社区

大数据可视化、实时性分析的工具——Datawatch

编者注:互联网后时代,我们谈的最多的不是电脑,而是基于互联网产生的伟大的互联网公司,比如谷歌、微软、百度、阿里巴巴等;移动互联网后时代,我们谈的更多的不是手机,...

57210
来自专栏云计算D1net

云计算下的这些细分领域 你都了解吗?

云计算的“云”源于绘制互联网的网络图表时的一个习惯——会将其画成一朵云。最受认同的关于云计算含义的解释是,在一个商业供应者的数据中心上通过互联网远程运行工作负载...

3596
来自专栏SDNLAB

瞻博网络携vMX再战NFV

编者按:SDN或NFV来改变传统网络模式,是各大云服务商目前的选择,瞻博网络的vMX通用边缘路由器曾在多家网络公司测试,此次是vMX通用边缘路由器第二次投向NF...

3568
来自专栏程序你好

微服务实战: 从电子商务平台到微服务电子商务(Omni-Commerce)

对于企业来说,微服务比单体架构应用更灵活,尤其是零售和电子商务行业来说。了解这个解决方案面临的挑战和系统架构。

1153
来自专栏微信公众号:Java团长

如何在面试中介绍自己的项目经验?

在面试时,经过寒暄后,一般面试官会让介绍项目经验 。常见的问法是,说下你最近的(或最拿得出手的)一个项目。

1073

扫码关注云+社区

领取腾讯云代金券