某支付平台“人脸识别”漏洞 黑产凭照片盗刷28万

生物识别因其独特性一直被认为是最安全的识别方式，其中人脸识别技术发展最为成熟，被广泛应用到各个领域。但最近报道的一个案件中，爆出了某平台的“人脸识别”系统存在着重大漏洞。嫌疑犯利用对某支付平台账户登录、找回密码方式的了解，破解了该支付平台账户人脸识别校验系统的漏洞。成功盗刷多位受害人28万元账户资金，目前宜宾警方已经将嫌犯周某、杨某被缉拿归案。

“人脸识别”惊险漏洞

在使用人脸识别验证的时候，我们需要通过手机摄像头拍摄本人正面静态照片，进行审核。之后系统会给出指令做出“眨眼、摇头、张嘴”等动作，评估完成后，便可或许操作权限。

那么，即便嫌犯拿着公民身份证照片，可视频没法拿到啊，黑产又该如何把资金挪走的呢?

人脸识别视频验证那一步骤正是其漏洞所在，因为所谓的“眨眼、摇头、张嘴”等动作，根本不需要证明你是你，只需要证明正在验证的你是“活的”就可以了。

人脸识别破解步骤

据嫌疑人周某、杨某等人交代，在发现这一人脸验证漏洞之后，开始大量在网上大量购买公民个人信息，包含公民的身份证照片正反照片、公民持证照、公民手机号码、银行卡号和开卡地等信息。接下来就是破解了：

1、用手机自拍一张半身照，使用PHOTOSHOP将购买的公民面部照片合成到自拍的半身照上面。

2、用手机对着自己录制一些“张嘴”、“摇头”、“眨眼等动作”的小视频，将照片和视频存在PC电脑中。

3、通过在手机上登录该支付平台，输入他人的该支付平台的账号(即公民信息资料中的“手机号码”)，然后在系统提示下点击“忘记登录密码”，再选择输入注册身份证号码，之后选择人脸校验。

4、将事先准备好的合成照片从电脑上打开，再将手机摄像头对着合成照片，完成第一步静态人脸识别，然后再按照系统的指令，在电脑上播放事先录制好的视频片段，播放时仍然将手机摄像头对着电脑屏幕，完成第二部动态验证。系统仅会对第一张静态人脸照片进行识别，因此通过受害人的合成照片认证就可以通过校验，系统不会对第二次的动态视频再进行校验，只需辨认视频中的人是能够活动的活体。

完成验证之后，就可以进行换绑手机号码。通过通过QQ联系卡商，卡商发来一组手机号码(16个或32个号码为一组)，嫌疑人随机选择一个手机号码，将该手机号码绑定在受害人支付平台账户上，在此过程中，支付平台系统会发送验证码短信至新绑定的手机号码里面，嫌疑人通过QQ聊天向卡商索要短信验证码，完成更改账户密码、手机绑定操作。

此时，嫌犯就可以通过短信验证将受害人账户资金挪走。为了销赃灭迹，周某他们还将盗刷资金通过在网站内玩“PT老虎机”等赌博游戏进行洗钱，再将资金转入到自己使用的银行卡账号内。

日前，嫌犯已经缉拿归案了，警方也表示，通过案件的侦破，目前该平台已修复了这一漏洞。

案件的发生提醒了一个事实，人脸识别系统漏洞虽然已经修复了，但在手机莫名收到短信提示的时候，一定要引起注意。通过登入自己的账户及时转移资产，修改密码，或是挂失。