某支付平台“人脸识别”漏洞 黑产凭照片盗刷28万

生物识别因其独特性一直被认为是最安全的识别方式,其中人脸识别技术发展最为成熟,被广泛应用到各个领域。但最近报道的一个案件中,爆出了某平台的“人脸识别”系统存在着重大漏洞。嫌疑犯利用对某支付平台账户登录、找回密码方式的了解,破解了该支付平台账户人脸识别校验系统的漏洞。成功盗刷多位受害人28万元账户资金,目前宜宾警方已经将嫌犯周某、杨某被缉拿归案。

“人脸识别”惊险漏洞

在使用人脸识别验证的时候,我们需要通过手机摄像头拍摄本人正面静态照片,进行审核。之后系统会给出指令做出“眨眼、摇头、张嘴”等动作,评估完成后,便可或许操作权限。

那么,即便嫌犯拿着公民身份证照片,可视频没法拿到啊,黑产又该如何把资金挪走的呢?

人脸识别视频验证那一步骤正是其漏洞所在,因为所谓的“眨眼、摇头、张嘴”等动作,根本不需要证明你是你,只需要证明正在验证的你是“活的”就可以了。

人脸识别破解步骤

据嫌疑人周某、杨某等人交代,在发现这一人脸验证漏洞之后,开始大量在网上大量购买公民个人信息,包含公民的身份证照片正反照片、公民持证照、公民手机号码、银行卡号和开卡地等信息。接下来就是破解了:

1、用手机自拍一张半身照,使用PHOTOSHOP将购买的公民面部照片合成到自拍的半身照上面。

2、用手机对着自己录制一些“张嘴”、“摇头”、“眨眼等动作”的小视频,将照片和视频存在PC电脑中。

3、通过在手机上登录该支付平台,输入他人的该支付平台的账号(即公民信息资料中的“手机号码”),然后在系统提示下点击“忘记登录密码”,再选择输入注册身份证号码,之后选择人脸校验。

4、将事先准备好的合成照片从电脑上打开,再将手机摄像头对着合成照片,完成第一步静态人脸识别,然后再按照系统的指令,在电脑上播放事先录制好的视频片段,播放时仍然将手机摄像头对着电脑屏幕,完成第二部动态验证。系统仅会对第一张静态人脸照片进行识别,因此通过受害人的合成照片认证就可以通过校验,系统不会对第二次的动态视频再进行校验,只需辨认视频中的人是能够活动的活体。

完成验证之后,就可以进行换绑手机号码。通过通过QQ联系卡商,卡商发来一组手机号码(16个或32个号码为一组),嫌疑人随机选择一个手机号码,将该手机号码绑定在受害人支付平台账户上,在此过程中,支付平台系统会发送验证码短信至新绑定的手机号码里面,嫌疑人通过QQ聊天向卡商索要短信验证码,完成更改账户密码、手机绑定操作。

此时,嫌犯就可以通过短信验证将受害人账户资金挪走。为了销赃灭迹,周某他们还将盗刷资金通过在网站内玩“PT老虎机”等赌博游戏进行洗钱,再将资金转入到自己使用的银行卡账号内。

日前,嫌犯已经缉拿归案了,警方也表示,通过案件的侦破,目前该平台已修复了这一漏洞。

案件的发生提醒了一个事实,人脸识别系统漏洞虽然已经修复了,但在手机莫名收到短信提示的时候,一定要引起注意。通过登入自己的账户及时转移资产,修改密码,或是挂失。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180117A0V58200?refer=cp_1026

扫码关注云+社区