頂象：手機銀行的人臉識別應(yīng)用風(fēng)險分析

手機銀行是銀行高效便捷的業(yè)務(wù)辦理渠道?！?021中國數(shù)字金融調(diào)查報告》顯示，2021年，個人手機銀行用戶達到20.5億戶，滲透率達85％，已成為銀行業(yè)最重要的線上流量入口。

某區(qū)域銀行的手機銀行將業(yè)務(wù)嵌入到不同的生活場景中，讓用戶在生活場景中產(chǎn)生金融需求。疫情期間，在保障客戶日常金融需求的同時，該區(qū)域銀行手機銀行提供了多種疫情相關(guān)金融、生活類服務(wù)，提升用戶使用頻次和用戶粘性。在大幅提升用戶便捷體驗的同時，該手機銀行卻也遭遇到一起用戶人臉信息被冒用騙取貸款的事件。

也就是不法分子收集、保存、盜取正常的人臉人像數(shù)據(jù)和敏感個人信息，然后仿冒被盜用申請貸款，騙取銀行資金。

類似事件不是個案，近兩年來多次發(fā)生。2020年10月，四川警方查處一個上百人的詐騙團伙。該團伙購買大量人臉視頻，借助“僵尸企業(yè)”“空殼公司”，為6000多人人包裝公積金信息，然后向多家銀行申請公積金貸款，最終帶來10億多元的壞賬。

2021年，廣州互聯(lián)網(wǎng)法院通報了一起因為“刷臉”引發(fā)的借款糾紛?？蛻敉跆m（化名）在遺失了身份證后，卻被人冒用身份通過銀行的“人臉識別”貸款，導(dǎo)致王蘭因逾期被告上了法庭。經(jīng)司法筆跡鑒定，認(rèn)為案涉客戶簽名并非王蘭本人簽署，手機號碼亦未曾登記在王蘭名下。最終，法院駁回銀行全部訴訟請求。

人臉被冒用貸款的風(fēng)險分析

人臉識別作為一種生物識別技術(shù)，被廣泛運用于金融領(lǐng)域，主要作用是實現(xiàn)在線身份認(rèn)證，廣泛應(yīng)用在自助終端、柜臺以及移動端多個渠道上，已成為登錄、確認(rèn)、申請、修改等業(yè)務(wù)環(huán)節(jié)中重要的驗證技術(shù)。

有媒體報道，大量社群和境外網(wǎng)站進行真人人臉識別視頻的販賣?！皟r高質(zhì)優(yōu)”的驗證視頻百元一套，動態(tài)軟件將人臉照片制作成“動態(tài)視頻”只要幾元，以完成各類線上業(yè)務(wù)人臉識別的驗證。此外，清華大學(xué)研究人員曾經(jīng)在15分鐘解鎖了19個陌生智能手機。

被冒用貸款的問題出現(xiàn)，主要源于人臉應(yīng)用存在人臉信息被冒用、人臉信息遭盜用、人臉識別應(yīng)用遭劫持篡改等若干風(fēng)險。

仿冒登錄。戴上眼鏡、帽子、面具等偽裝手段，或者可以制作人皮高仿模型、將2D人臉照片3D建模、利用AI技術(shù)將靜態(tài)照片變成動態(tài)照片等多種技術(shù)均，混淆算法判斷，騙過有效性不高的人臉識別算法和活體監(jiān)測算法。

盜取冒用。通過各類公開或非法手段，收集、保存、盜取正常的人臉數(shù)據(jù)，然后通過各種方式進行非法冒用。

劫持篡改。遠程入侵篡改人臉識別系統(tǒng)驗證流程、信息、數(shù)據(jù)等，將后臺或前端的真數(shù)據(jù)替換為假數(shù)據(jù)，以實現(xiàn)虛假人臉信息的通過。

三方面增強手機銀行的安全性

在人臉識別的公共服務(wù)上，需要在多方面加強防護，提升整體安全能力。

第一，提升人臉識別系統(tǒng)的精準(zhǔn)度。基于空間域的檢測、圖像取證的檢測、生物頻率、GAN偽影檢測、基于生物信號的檢測、視聲不一致以及視覺上不自然等檢測等措施，通過模型和算法提高真?zhèn)闻袆e。

第二，保障人臉識別系統(tǒng)的安全性。防范API接口被篡改劫持，保證輸出效果、生成網(wǎng)絡(luò)效果的真實；保障發(fā)現(xiàn)設(shè)備和系統(tǒng)端口、通訊的異常；及時預(yù)警，防止灌入虛假人像、混淆真假人像、庫內(nèi)人像信息被篡改；保障人臉數(shù)據(jù)存儲以及傳輸?shù)耐暾浴C密性等。

第三，提升人臉識別識別的風(fēng)控能力。人臉識別是一種技術(shù)核驗，但不能作為唯一的手段。需要采用身份證、手機號碼、銀行卡、操作行為、設(shè)備、環(huán)境等綜合手段進行核驗，甚至需要人工電話核實。通過立體的風(fēng)控體系，增強人臉識別從源頭到應(yīng)用的全鏈條預(yù)警、攔截、防護能力，提升人臉識別應(yīng)用的安全性。

頂象業(yè)務(wù)安全感知防御平臺基于威脅探針、流計算、機器學(xué)習(xí)等先進技術(shù)，集設(shè)備風(fēng)險分析、運行攻擊識別、異常行為檢測、預(yù)警、防護處置為一體，能夠?qū)崟r發(fā)現(xiàn)攝像頭遭劫持、設(shè)備偽造等惡意行為，有效防范人臉識別應(yīng)用的各類風(fēng)險。

通過網(wǎng)銀、手機銀行、微信銀行、網(wǎng)貸App等非柜面渠道的唯一標(biāo)識，頂象業(yè)務(wù)安全感知防御平臺能夠及時發(fā)現(xiàn)設(shè)備指紋異常、模擬器檢測、多開檢測、注入、Hook檢測等異常，有效分辨正常用戶及黑灰產(chǎn)的設(shè)備特征，增強手機銀行的風(fēng)險感知能力。同時對手機銀行做實時監(jiān)測，進一步保障手機銀行安全性，良好滿足《移動金融客戶端應(yīng)用軟件安全管理規(guī)范》管理要求。

頂象業(yè)務(wù)安全感知防御平臺擁有如下特點：

威脅可視化：針對環(huán)境風(fēng)險、運行攻擊，可以將識別的風(fēng)險標(biāo)簽展示在控制臺，并支持按時間查詢風(fēng)險趨勢、風(fēng)險對應(yīng)的設(shè)備型號分布、系統(tǒng)版本分布等維度數(shù)據(jù)。

威脅可追溯：黑灰產(chǎn)的每一步攻擊數(shù)據(jù)，命中的防御策略及處置，都可以在基于需求定制和回放，讓所有行為有跡可查。

設(shè)備關(guān)聯(lián)分析：基于歷史數(shù)據(jù)、關(guān)聯(lián)分析生成的設(shè)備畫像，全面呈現(xiàn)出當(dāng)前設(shè)備的所有歷史請求，包含出現(xiàn)過的風(fēng)險標(biāo)簽、常用地址、關(guān)聯(lián)IP等情況。

多賬戶管理：滿足多業(yè)務(wù)數(shù)據(jù)隔離需求，支持一級、二級等多級機構(gòu)配置或下發(fā)不同策略。

關(guān)鍵詞： 頂象手機銀行的人臉識別應(yīng)用風(fēng)險分析