鉆“手機(jī)銀行”人臉識(shí)別系統(tǒng)的空子，偽造76個(gè)虛假身份騙取銀行賬戶(hù)并售賣(mài)的田某，被判刑兩年。

對(duì)于中國(guó)裁判文書(shū)網(wǎng)公布的這起黑客入侵廈門(mén)銀行手機(jī)銀行的案子，網(wǎng)絡(luò)安全工程師們表示，犯罪分子的作案手段沒(méi)什么技術(shù)含量，就是利用了他們常用來(lái)做網(wǎng)絡(luò)安全測(cè)試的“抓包”工具(軟件)。在這起案件中，系統(tǒng)被入侵這個(gè)鍋不能甩給人臉識(shí)別技術(shù)，需要復(fù)盤(pán)的是銀行業(yè)務(wù)安全流程。

“抓包”騙過(guò)銀行人臉識(shí)別驗(yàn)證

抓包(packet capture)工具是攔截查看網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容的軟件，它能夠?qū)⒕W(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)進(jìn)行截獲、編輯、轉(zhuǎn)存、重發(fā)等操作，常被技術(shù)人員用來(lái)檢查網(wǎng)絡(luò)安全。黑客也不都是江洋大盜，利用技術(shù)來(lái)維護(hù)網(wǎng)絡(luò)安全的黑客叫做“白帽子子黑客”，他們也會(huì)用抓包工具來(lái)分析報(bào)文，針對(duì)漏洞做滲透測(cè)試，這種行為屬于陽(yáng)光下的操作，而“黑帽子黑客”是一群通過(guò)竊取網(wǎng)絡(luò)資源或破解軟件來(lái)獲取利益的人，他們抓包就是為了破壞網(wǎng)絡(luò)來(lái)賺錢(qián)。

早在2017年，上海警方曾破獲一起特大網(wǎng)絡(luò)盜竊案，犯罪分子僅用半天時(shí)間就非法提現(xiàn)人民幣近千萬(wàn)元，警方通過(guò)調(diào)查發(fā)現(xiàn)，是黑客利用抓包工具攔截下銀行系統(tǒng)內(nèi)傳輸?shù)臄?shù)據(jù)，將實(shí)際充值的1元改為1000元或更高金額，然后把偽造的數(shù)據(jù)傳回并成功欺騙了金融機(jī)構(gòu)。

但所有利用抓包工具的案件都有一個(gè)共同的前提，就是有漏洞可鉆。

從福建省廈門(mén)市思明區(qū)人民法院刑事判決書(shū)來(lái)看，田某偶然發(fā)現(xiàn)廈門(mén)銀行APP漏洞后，使用虛假身份信息，在廈門(mén)銀行手機(jī)銀行APP注冊(cè)該銀行Ⅱ、Ⅲ類(lèi)賬戶(hù)。注冊(cè)中，田某先輸入本人身份信息，待進(jìn)入人臉識(shí)別步驟，利用抓包軟件將銀行系統(tǒng)下發(fā)的人臉識(shí)別身份認(rèn)證數(shù)據(jù)包攔截并保存。爾后，在輸入開(kāi)卡密碼步驟，田某將APP返回到第一步(上傳身份證照片)，重新輸入偽造的身份信息，當(dāng)再次進(jìn)入到人臉識(shí)別的身份驗(yàn)證步驟時(shí)，他把之前攔截下來(lái)的包含其本人真實(shí)身份信息的數(shù)據(jù)包進(jìn)行上傳，使系統(tǒng)誤以為此刻要對(duì)比的是其真實(shí)的身份信息，田某遂用本人人臉通過(guò)了銀行系統(tǒng)人臉識(shí)別比對(duì)，成功利用虛假身份信息注冊(cè)到銀行賬戶(hù)。

簡(jiǎn)單地說(shuō)，田某的作案手法是，用他本人的人臉識(shí)別身份認(rèn)證數(shù)據(jù)包換掉偽造身份的人臉識(shí)別身份認(rèn)證數(shù)據(jù)包，騙過(guò)銀行系統(tǒng)的審核。

安全問(wèn)題需要向內(nèi)找原因

現(xiàn)如今，人臉識(shí)別在金融領(lǐng)域的應(yīng)用越來(lái)越廣泛。以銀行為例，區(qū)別于Ⅰ類(lèi)全功能賬戶(hù)，銀行的Ⅱ、Ⅲ類(lèi)賬戶(hù)為虛擬電子賬戶(hù)，在Ⅰ類(lèi)賬戶(hù)的基礎(chǔ)上功能遞減，現(xiàn)在很多銀行都可以通過(guò)手機(jī)終端遠(yuǎn)程開(kāi)通Ⅱ、Ⅲ類(lèi)賬戶(hù)，人臉識(shí)別已經(jīng)成為核實(shí)用戶(hù)身份的常用手段。鑄造一道固若金湯的安全防護(hù)墻，是每一個(gè)金融消費(fèi)者的訴求。

中粵聯(lián)合投資創(chuàng)始人羅浩元說(shuō)：“銀行Ⅱ、Ⅲ類(lèi)戶(hù)開(kāi)戶(hù)存在的明顯風(fēng)險(xiǎn)被田某用簡(jiǎn)單粗暴的手法測(cè)出來(lái)了，我們相信手機(jī)銀行在功能設(shè)計(jì)、安全驗(yàn)證及防護(hù)等方面的完善能力，卻通過(guò)此案看到了他們的‘漫不經(jīng)心’。顯然，這些銀行對(duì)‘抓包’替換行為缺乏該有的防范措施。關(guān)鍵是，此前用‘抓包’非法獲利的案件已有很多，金融機(jī)構(gòu)需要檢討。”

北京奇安信科技有限公司董事長(zhǎng)齊向東給金融機(jī)構(gòu)開(kāi)出一副“藥方”，其中包括幾個(gè)假設(shè)，或許對(duì)銀行等金融機(jī)構(gòu)檢視業(yè)務(wù)安全有幫助。這幾個(gè)假設(shè)是：“假設(shè)系統(tǒng)一定有沒(méi)被發(fā)現(xiàn)的漏洞，一定有已發(fā)現(xiàn)漏洞沒(méi)打補(bǔ)丁;假設(shè)系統(tǒng)已經(jīng)被黑;假設(shè)一定有內(nèi)鬼。”

盡管在這起案件中，人臉識(shí)別系統(tǒng)可以說(shuō)是無(wú)辜“躺槍”，但是公眾對(duì)人臉識(shí)別安全性的顧慮也被這起案件重新?tīng)苛顺鰜?lái)。

對(duì)此，百度安全事業(yè)部總經(jīng)理馬杰有這樣的觀點(diǎn)，越來(lái)越多的智能設(shè)備采用了生物特征識(shí)別技術(shù)，所謂“破解生物識(shí)別”，就是“欺騙傳感器”的過(guò)程。但大家不用過(guò)分擔(dān)心，被發(fā)現(xiàn)的漏洞基本都找到了相應(yīng)的解決方案。很多安全問(wèn)題，可以看做安全人員與黑客之間的競(jìng)速賽，未來(lái)人臉識(shí)別技術(shù)要跟隨機(jī)器學(xué)習(xí)等相關(guān)領(lǐng)域一同發(fā)展，才能構(gòu)筑一個(gè)更加安全、更加可靠的環(huán)境。