機器之心
據判決書,被告人田世紀 2000 年 1 月出生,初中文化,無業,戶籍地河南夏邑縣。
銀行ⅱ、ⅲ類賬戶區別於ⅰ類賬戶,後者為全功能賬戶,前者為虛擬的電子賬戶,在ⅰ類賬戶的基礎上功能遞減。
此時,其上傳此前攔截下來的包含其本人的身份資訊資料報,使系統誤以為要比對其本人的身份資訊,遂使用其本人人臉通過銀行系統人臉識別比對,成功利用虛假身份資訊註冊銀行賬戶。
張宇男為田世紀的買家之一,低價購買田世紀以虛假身份騙領的銀行賬戶,再加價售出,並向其他人**以假身份騙取銀行賬戶的手段,從中牟利。
「00 後」攻破廈門銀行人臉識別系統,偽造76個假賬戶,如何做到?
作為「抓包技術」並不是新技術,上述案件只是將抓包技術應用在人臉識別場景中。
相較於 3d 人臉動態圖技術,抓包技術的難度更低,關鍵在於切入的角度。在上述案件中,銀行在內部管理流程上,對交付產品進行的測試和驗證環節仍待完善。
據財新報道分析,出現上述案件的原因在於未對人臉身份和提交的身份資訊做校驗。通常情況下網路安全人員會預設客戶端提交的資訊是需要嚴格校驗、充分測試的,但測試是相對複雜的工程,上述案件中銀行可能未考慮到抓包替換的路徑問題。
他談到,在交易流程中,人臉識別通常應該放在最後一步,因為這一步成本最高,失敗率最高,客戶體驗最差,而在該案例中人臉識別以後還有輸入交易密碼。
此外,央行 302 號檔案針對ⅱ/ⅲ類賬戶開立,變更和撤銷等環節進行了明確說明。
1)通過電子渠道開立ⅱ類戶,必須繫結自己的ⅰ類戶或信用卡賬戶。需要進行五要素認證即:姓名,身份證號,手機號,繫結賬戶賬號和繫結賬戶是否為ⅰ類戶或信用卡賬戶。
2)通過電子渠道開立ⅲ類戶,對繫結的賬戶要進行四要素認證即:姓名,身份證號,手機號和繫結賬戶賬號。
在該案件中,如果進行了五要素驗證,則必須用受害者的身份開一張 i 類卡,而且預留受害者本人的手機號,那麼攻擊成本將會大大增加。
最後,銀行也未能有效防止重放攻擊。所謂重放攻擊,是指攻擊者傳送乙個目的主機已接收過的包,來達到欺騙系統的目的,主要用於身份認證過程,破壞認證的正確性。
在該案件中,田世紀使用的作案手法並不是像一般犯罪分子一樣用技術手段攻破 3d 人臉識別系統,只是用自己的人臉識別身份認證資料報換掉虛假身份的人臉識別身份認證資料報,然後使用本人的臉完**臉識別比對。以一種「偷梁換柱」的方式繞過系統的審核。
近幾年,人臉識別認證應用在網際網路市場得到大規模的應用與推廣,除了此次案件所涉的手機銀行應用外,市面上絕大多數的支付類應用、社交類、婚戀類等應用都要求進行人臉識別生物認證,以提高賬戶安全級別。
但是目前國內對人臉識別所涉及的隱私問題、技術問題缺乏重視,相關應用在功能設計、校驗等方面缺乏嚴謹性,也容易給「鑽空子」的人留下可乘之機。
人臉識別系統實現
1,導入庫 import cv2 import numpy as np import face recognition 2,載入 3,bgr轉為rgb liu rgb liu 1 wang rgb wang 1 4,檢測人臉 liu face face recognition.face locati...
人臉識別(9) 人臉識別系統的原理與發展
1,人臉識別介紹 狹義定義 通過人臉進行身份確認或者身份查詢的技術或系統,2,人臉識別系統功能模組 人臉識別對比 人臉識別模式分為核實式和搜尋式兩種對比模式,核實式是將捕獲得到的人像或特定的人像與資料庫中已登記的某一物件作比對核實確定是否為同一人。搜尋式的對比是從資料庫中已登記的所有人像中搜尋查詢是...
人臉識別系統開發 8 OpenCV人臉檢測
人臉檢測使用cv cascadeclassifier提供的功能實現,首先使用opencv自帶的訓練資料lbpcascade frontalface.xml初始化cascadeclassifier,然後呼叫detectmultiscale得到中人臉的rect.include opencv2 objde...