近日,知名财经自媒体“远方青木”发文《犯罪分子攻破人脸识别,替换法人身份盗取大V账号密码》(现已删除),详细叙述了其名下小号突然大量群发诈骗信息的异常情况。文章称,盗号者首先通过非法渠道获取原法人身份证、营业执照等信息,随后利用 AI 技术“复活”静态照片,生成眨眼、转头等活体动作,轻松突破工商系统的人脸识别验证,远程完成企业法人变更,而真正的号主对此毫不知情。
图源:蓝鲸新闻
同一天,另一自媒体也发文曝光了类似遭遇——盗号者找到公众号挂钩的个体工商户信息后,在经营者完全不知情的情况下,强行变更经营者身份,进而控制公众号,发布“杀猪盘”广告。
人脸识别究竟是如何被“技术破解”的?
有网络安全从业者透露,只需一张普通大头照,攻击者即可借助 AI 换脸、3D 建模、动作驱动等技术,合成一段足以欺骗平台人脸识别系统的动态视频。
不久之前,上海市虹口区人民法院宣判了一起开发“虚拟相机”软件绕过人脸识别并在网络售卖获利的案件。2022年,被告人苏某针对安卓手机操作系统研发“虚拟相机”软件,通过突破安卓系统的安全防护机制,对手机相机功能进行未授权地修改,干扰系统相机的正常运行,以实现绕过“快手”“抖音”等软件人脸识别实名认证的目的,并通过网络销售上述软件获利。2024年4月8日,被告人苏某在福建省厦门市被公安人员抓获。法院认为,被告人苏某提供专门用于侵入、非法控制计算机信息系统的程序,情节特别严重,其行为已构成提供侵入、非法控制计算机信息系统程序罪,最终判处被告人苏某有期徒刑三年,缓刑四年,并处罚金人民币八万元。
据记者调查,在淘宝、闲鱼等电商平台上,有不少店铺仍在提供“虚拟相机工具”相关服务,用于社交中的“虚拟视频”、电商“无人直播”等需求,在宣传中多以“虚拟相机插件、替换本地相机、硬改摄像头”等字眼出现。进一步咨询发现,不少商家所售服务“鱼目混珠”,当被询问能否“破解平台人脸识别”时,其表示平台链接中虽没有,但可以换平台交易。记者联系上了一位商家,咨询“破解人脸识别”服务,该商家声称,只需对手机进行刷机并远程操作安装一款“虚拟相机”应用程序,安装成功后,任何需要人脸识别的平台都能“直接过”。
每一次看似便捷的“刷脸”背后,都是技术与黑产的军备竞赛:黑产不断寻找新的绕过方式,平台则必须赶在黑产之前升级算法。在 AI 技术高速迭代的今天,这种对抗只会愈演愈烈。"道高一尺,魔高一丈",单一的人脸识别可能已无法独挑网络身份认证的大梁,多因子认证()成为守住网络身份关口的“必选项”。 国家标准 GB/T 25070 明确指出,在每次用户登录系统时,应采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别。MFA 也由此成为等保、密评合规落地的重要抓手。
动态口令是一种基于密码技术的一次性口令机制。用户无需记忆口令,也无需手工更改口令,口令通过用户持有的客户端器件生成,并基于一定的算法与服务端形成同步,从而作为证明用户身份的依据。动态口令系统可通过RADIUS、PAM等流行框架与应用对接,构成 并行模式的MFA。飞天诚信动态令牌身份认证系统和动态令牌()均已获得网络安全专用产品安全检测证书和商用密码产品认证证书,能够同时满足等保(GB/T 22239)和密评(GB/T 39786)的第三级要求。
当 AI 让“眼见不再为实”,身份认证必须进入“多因素时代”。人脸识别依旧便捷,却再也不能独自守门。把动态口令、数字证书、硬件令牌等多把“安全锁”串在一起,才可能让攻击者即使攻破一道关口,也无法长驱直入。飞天诚信愿与每一家关心数字资产安全的企业并肩,让每一次登录都经得起 AI 的检验,让每一次身份确认都真正“验明正身”。
——THE END——
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...