北京汉科云端科技开发有限公司

     新闻资讯

     联系方式

北京事业部

1、工作日拨打电话:周一至周五(9:00-18:00)

电话:(86) 010-6785 7442     

传真:(86) 010-6785 7443

售后服务技术热线:(86) 010-6785 7442转602

2、非工作时间拨打电话:(工作日18:00以后及节假日)

孙先生: 18514783240  

地址:北京经济技术开发区地盛北街1号36号楼311-313室

 

      行业资讯

某支付平台“人脸验证”现漏洞 黑产凭照片盗刷

   生物识别因其独特性一直被认为是最安全的识别方式,其中人脸识别技术发展最为成熟,被广泛应用到各个领域。但最近报道的一个案件中,爆出了某平台的“人脸识别”系统存在着重大漏洞。嫌疑犯利用对某支付平台账户登录、找回密码方式的了解,破解了该支付平台账户人脸识别校验系统的漏洞。成功盗刷多位受害人28万元账户资金,目前宜宾警方已经将嫌犯周某、杨某被缉拿归案。

  “人脸识别”惊险漏洞

  在使用人脸识别验证的时候,我们需要通过手机摄像头拍摄本人正面静态照片,进行审核。之后系统会给出指令做出“眨眼、摇头、张嘴”等动作,评估完成后,便可或许操作权限。

  那么,即便嫌犯拿着公民身份证照片,可视频没法拿到啊,黑产又该如何把资金挪走的呢?

  人脸识别视频验证那一步骤正是其漏洞所在,因为所谓的“眨眼、摇头、张嘴”等动作,根本不需要证明你是你,只需要证明正在验证的你是“活的”就可以了。

  人脸识别破解步骤

  据嫌疑人周某、杨某等人交代,在发现这一人脸验证漏洞之后,开始大量在网上大量购买公民个人信息,包含公民的身份证照片正反照片、公民持证照、公民手机号码、银行卡号和开卡地等信息。接下来就是破解了:

  1、用手机自拍一张半身照,使用PHOTOSHOP将购买的公民面部照片合成到自拍的半身照上面。

  2、用手机对着自己录制一些“张嘴”、“摇头”、“眨眼等动作”的小视频,将照片和视频存在PC电脑中。

  3、通过在手机上登录该支付平台,输入他人的该支付平台的账号(即公民信息资料中的“手机号码”),然后在系统提示下点击“忘记登录密码”,再选择输入注册身份证号码,之后选择人脸校验。

  4、将事先准备好的合成照片从电脑上打开,再将手机摄像头对着合成照片,完成第一步静态人脸识别,然后再按照系统的指令,在电脑上播放事先录制好的视频片段,播放时仍然将手机摄像头对着电脑屏幕,完成第二部动态验证。系统仅会对第一张静态人脸照片进行识别,因此通过受害人的合成照片认证就可以通过校验,系统不会对第二次的动态视频再进行校验,只需辨认视频中的人是能够活动的活体。

  完成验证之后,就可以进行换绑手机号码。通过通过QQ联系卡商,卡商发来一组手机号码(16个或32个号码为一组),嫌疑人随机选择一个手机号码,将该手机号码绑定在受害人支付平台账户上,在此过程中,支付平台系统会发送验证码短信至新绑定的手机号码里面,嫌疑人通过QQ聊天向卡商索要短信验证码,完成更改账户密码、手机绑定操作。

  此时,嫌犯就可以通过短信验证将受害人账户资金挪走。为了销赃灭迹,周某他们还将盗刷资金通过在网站内玩“PT老虎机”等赌博游戏进行洗钱,再将资金转入到自己使用的银行卡账号内。

  日前,嫌犯已经缉拿归案了,警方也表示,通过案件的侦破,目前该平台已修复了这一漏洞。

  华强智慧网结语

  案件的发生提醒了一个事实,人脸识别系统漏洞虽然已经修复了,但在手机莫名收到短信提示的时候,一定要引起注意。通过登入自己的账户及时转移资产,修改密码,或是挂失。

  北京汉科云端科技发展有限公司专业从事安防行业,依托美国及台湾先进技术,研制精确定位型振动光缆周界报警系统厂家,可及时精准的获取工厂、机场、铁路、监狱、别墅、小区、学校、变电站、博物馆、油库等周界入侵信息,精准排除风雨雷电、小动物等各种误报情况。同时有各类普通摄像机、防爆摄像机、火灾图像报警系统,全景360度鱼眼监控,全景无死角,保障商品的贮藏安全。


Copyright © hunkgrp.com北京汉科云端版权所有
北京汉科云端科技发展有限公司 京ICP备13031995号