手机银行是银行高效便捷的业务办理渠道。《2021中国数字金融调查报告》显示,2021年,个人手机银行用户达到20.5亿户,渗透率达85%,已成为银行业最重要的线上流量入口。
某区域银行的手机银行将业务嵌入到不同的生活场景中,让用户在生活场景中产生金融需求。疫情期间,在保障客户日常金融需求的同时,该区域银行手机银行提供了多种疫情相关金融、生活类服务,提升用户使用频次和用户粘性。在大幅提升用户便捷体验的同时,该手机银行却也遭遇到一起用户人脸信息被冒用骗取贷款的事件。
也就是不法分子收集、保存、盗取正常的人脸人像数据和敏感个人信息,然后仿冒被盗用申请贷款,骗取银行资金。
类似事件不是个案,近两年来多次发生。2020年10月,四川警方查处一个上百人的诈骗团伙。该团伙购买大量人脸视频,借助“僵尸企业”“空壳公司”,为6000多人人包装公积金信息,然后向多家银行申请公积金贷款,最终带来10亿多元的坏账。
2021年,广州互联网法院通报了一起因为“刷脸”引发的借款纠纷。客户王兰(化名)在遗失了身份证后,却被人冒用身份通过银行的“人脸识别”贷款,导致王兰因逾期被告上了法庭。经司法笔迹鉴定,认为案涉客户签名并非王兰本人签署,手机号码亦未曾登记在王兰名下。最终,法院驳回银行全部诉讼请求。
人脸识别作为一种生物识别技术,被广泛运用于金融领域,主要作用是实现在线身份认证,广泛应用在自助终端、柜台以及移动端多个渠道上,已成为登录、确认、申请、修改等业务环节中重要的验证技术。
有媒体报道,大量社群和境外网站进行真人人脸识别视频的贩卖。“价高质优”的验证视频百元一套,动态软件将人脸照片制作成“动态视频”只要几元,以完成各类线上业务人脸识别的验证。此外,清华大学研究人员曾经在15分钟解锁了19个陌生智能手机。
被冒用贷款的问题出现,主要源于人脸应用存在人脸信息被冒用、人脸信息遭盗用、人脸识别应用遭劫持篡改等若干风险。
仿冒登录。戴上眼镜、帽子、面具等伪装手段,或者可以制作人皮高仿模型、将2D人脸照片3D建模、利用AI技术将静态照片变成动态照片等多种技术均,混淆算法判断,骗过有效性不高的人脸识别算法和活体监测算法。
盗取冒用。通过各类公开或非法手段,收集、保存、盗取正常的人脸数据,然后通过各种方式进行非法冒用。
劫持篡改。远程入侵篡改人脸识别系统验证流程、信息、数据等,将后台或前端的真数据替换为假数据,以实现虚假人脸信息的通过。
在人脸识别的公共服务上,需要在多方面加强防护,提升整体安全能力。
第一,提升人脸识别系统的精准度。基于空间域的检测、图像取证的检测、生物频率、GAN伪影检测、基于生物信号的检测、视声不一致以及视觉上不自然等检测等措施,通过模型和算法提高真伪判别。
第二,保障人脸识别系统的安全性。防范API接口被篡改劫持,保证输出效果、生成网络效果的真实;保障发现设备和系统端口、通讯的异常;及时预警,防止灌入虚假人像、混淆真假人像、库内人像信息被篡改;保障人脸数据存储以及传输的完整性、机密性等。
第三,提升人脸识别识别的风控能力。人脸识别是一种技术核验,但不能作为唯一的手段。需要采用身份证、手机号码、银行卡、操作行为、设备、环境等综合手段进行核验,甚至需要人工电话核实。通过立体的风控体系,增强人脸识别从源头到应用的全链条预警、拦截、防护能力,提升人脸识别应用的安全性。
顶象业务安全感知防御平台基于威胁探针、流计算、机器学习等先进技术,集设备风险分析、运行攻击识别、异常行为检测、预警、防护处置为一体,能够实时发现摄像头遭劫持、设备伪造等恶意行为,有效防范人脸识别应用的各类风险。
通过网银、手机银行、微信银行、网贷App等非柜面渠道的唯一标识,顶象业务安全感知防御平台能够及时发现设备指纹异常、模拟器检测、多开检测、注入、Hook检测等异常,有效分辨正常用户及黑灰产的设备特征,增强手机银行的风险感知能力。同时对手机银行做实时监测,进一步保障手机银行安全性,良好满足《移动金融客户端应用软件安全管理规范》管理要求。
顶象业务安全感知防御平台拥有如下特点:
威胁可视化:针对环境风险、运行攻击,可以将识别的风险标签展示在控制台,并支持按时间查询风险趋势、风险对应的设备型号分布、系统版本分布等维度数据。
威胁可追溯:黑灰产的每一步攻击数据,命中的防御策略及处置,都可以在基于需求定制和回放,让所有行为有迹可查。
设备关联分析:基于历史数据、关联分析生成的设备画像,全面呈现出当前设备的所有历史请求,包含出现过的风险标签、常用地址、关联IP等情况。
多账户管理:满足多业务数据隔离需求,支持一级、二级等多级机构配置或下发不同策略。