从事网络保安这一行已经有好几年了,手上负责的系统也刚好和刷单,刷票,刷优惠券,欺诈这些灰黑产做对抗的,往往很多时候对那些可疑行为或恶意行为进行溯源,因而对黑产的一些手段有所了解。
灰黑产是一个非常暴利的行业,也是一个非常高风险的行业。用一句话来形容:要么别墅靠海,要么监狱靠海。为了逃避法律制裁,不少灰黑产人员采用肉身翻墙或各种伪造身份的方式来从事这行业。
这也是本文取名“千面人魔”的来源。千面,是指他们伪造各种身份,像有很多张脸一样,而人魔自然是形容他们作为人从事这种违法的行当。
在网络上,要识别一个的身份,无外乎几方面:身份证,个人视频或图片,手机号,电子邮箱和手机指纹。
身份证
现在网上支付非常普遍,各种金融类的app(如银行,贷款,基金,股票之类),电商平台(京东,淘宝,拼多多等)和社交平台(微信,微博,抖音等)会要求实名认证,有些甚至要求上传身份证的正反面照片。
身份证识别技术有两种:一,读取身份证芯片信息确认个人身份。二,通过读取身份证图片信息来确认个人身份。
第一种,往往需要专门设备,需要线下,也要公安授权。所以,网络平台不会采用这种方式。
第二种呢,要做得非常完备,大致过程如下:
1,使用ocr技术读取身份证号和姓名(车牌识别也是这种技术)
2,检验身份证号是否符合身份证号生成规则
3,使用视觉识别读取人脸信息
4,调用政府提供的政务系统来校验身份证号,姓名和人脸。
第一,第二项,成本很低,很快实现。
第三项,除了大厂有自己的人脸识别技术,一般只能采购商汤(老东家之一),旷视,云丛之类ai厂商的sdk。有技术难度,有研发对接成本和商务成本。
第四项,需要有一定的资质认证(没几年时间下不来),需要有合规团队,每年要面对审计几次,也有研发对接成本。
所以,很多网络平台往往只实现了第一,二项,就认为这人的身份有效,它们仅仅把身份证图片存储起来。所以,这也给灰黑产从业人员的伪造机会。灰黑产人员只需要按照身份证生成规则就可以生成一个有效身份证号,在网上随便找张图片和姓名,就生成一张有效的身份证号图片,就这么简单就可以伪造一个身份了。
当然,有些恨国党肯定会说,就是因为zf对资质要求太严,催生了诈骗的土壤。其实,这正是zf保护大家的隐私。在暗网上看到各种贩卖数据,其中身份证图片这一块,往往是这些只实现了一二项的企业泄露的。这些企业呢,无论是合规团队和网络保安队伍,还是研发团队,都不肯花钱,从而保护不了用户数据,被黑客拿到这些数据。当然也没有严格的数据管理和数据保护流程,所以,很多人的数据就直接被内鬼卖了。
同时,大家尽量少往网上放自己照片,说不定就变成一个假身份证的图片。
对于那些对接政府系统来校验身份的平台呢,灰黑产也有方法伪造。前几年,他们是通过买身份证的方式,比如大家熟知的三和大神就是把身份证卖给他们,也有去偏僻山区买当地老人的。由于这几年国家打击严了,他们没办法在境内做这勾当,于是肉身翻墙到境外搞,但境外没有中国人,就骗一些人过去。被骗过去的人,首先是强迫他们用身份证在各种银行app和贷款app开账户,把钱贷出来,再转到境外。
个人视频和图片
不少app使用人脸识别技术来做验证手段,它的主要步骤为:
1,通过表情和动作识别是否为真人
2,识别出人脸
3,和身份证的图片对比,确认和身份证符合
4,与政府的政务系统对接,识别人脸是否符合
同样,由于第4步成本很高,所以,不少平台也没有做4步。而这些平台在动作识别方面也是非常套路,无非就几个动作:点头,摇头,眨眼,张嘴,一般校验过程也就2个动作。
所以这也就给黑产有了伪造的机会,它们可以制造视频来绕过人脸识别。按照排列组合理论,需要64个视频就可以模仿一个真人。他们要么让人拍这种视频,要么就是剪辑出来。这种剪辑方式,只需要取这四类动作就行了。
而这种剪辑视频的来源,网上发布的视频,直播间(有些恶意人会冒充粉丝通过话术诱导主播做这四类动作),线上会议(有些会议密码被泄露),诈骗分子冒充公检法要求和你视频(家人险被人以疫情借口诈骗的案例分析)。
所以,大家不要随便在网上发视频或直播。如果确实要做,一定要做到:美颜有多大就开多大,让阿妈都不认得为止。
其实,即使平台做了第4步,和政府政务系统对接,结合真实身份证和视频也是可以伪造的。在缅北那边,那些被榨干价值从世间消失的人,只要有身份证和视频留下,在人脸识别系统中,也还是一个活人。
在这一块,app可以做得更好一点,把人脸识别和语音识别结合。每次人脸识别,都要求用户读取屏幕提示的词语,词语从词库里随机抽取,这个词库有成千上万个词语,且会动态增减。那么,要绕过,必须要制造几万个视频。这种成本是非常高的。
这种手段不仅可以完全防止这种使用视频伪造身份的行为。而且还可以救命,救很多很多人的命。因为用视频已经绕不过了,必须用真人了,那么,那些被骗到缅北的人,就一直有活着的机会,而不会录完视频之后,就要被割腰子了。
手机号
目前平台喜欢向用户手机号发送验证码来验证用户身份。由于数据保护,数据安全和隐私保护,运营商的数据和这些平台是不共享,所以,通过这种方法来验证用户身份,并不能验证该手机号是这个用户,只能说明用户能够拿到这个验证码。只是平台认为这种方式能够识别用户身份。
所以,灰黑产就有办法来伪造身份了,它们往往会使用一些接码平台来接收这个验证码或向手机号主人发诱导信息或钓鱼网站,让对方给他验证码。对于那些绑定手机号的平台,他们会通过买别人手机号的方式来养号。
由于现在不少平台的转账,只要有账号,支付密码和绑定手机验证码,就可以了。所以,这个验证码不能随便给人。案例可见
电子邮箱
电子邮箱更加不用说。很多私人邮箱根本就随便申请,无法和个人身份绑定。虽然现在不少邮箱申请要求提供手机号,但还是有不少邮箱是不用手机号。所以,平台使用邮箱识别个人身份,基本是没啥用。而且有些平台更加恶心,对国内人必须要求手机号,而对境外只要求邮箱就行了,就差点把“华人与狗不得入内”放在首页上。相信不少读者知道我说的是哪个平台。
灰黑产使用邮箱伪造身份,很多时候是为了推广或诈骗。比如伪造发件人,如搜狐中招钓鱼邮件诈骗攻击手法分析。
对于这种方法手段的防护,往往是开启spf,dkim和dmarc校验。但对于一个被入侵的邮箱,是无效的。
所以,大家的邮箱一定要开启多因素认证,免得被盗了。
手机指纹
各种平台都会采集手机系统信息,生成一个指纹,从而识别设备合法。这也是大家会经常遇到app提示是否信任新设备。
这种在表面上来看,和个人身份并没有关系。但由于平台对于每个人都会有一个标识,而这个标识也会和手机指纹绑定,从而识别个人身份。
由于很多平台是一个手机同时只能使用一个账号,成本很高,毕竟一台手机就几百块上千。所以灰黑产就使用越狱/root或定制rom这些手段来安装多开器或模拟器让一台手机模拟几台或用电脑模拟几十台上百台手机。这样,他们就可以一个人操纵数以万计的账号。这些账号就是传说中的水军,用来刷评论,刷点赞,转发。
而要防止这些,app就要实现反root反hook。这些实现起来需要不少成本,而且国内做app的人90%不具备这种技术能力。而很多平台呢,它们需要水军来撑场面。比如某个平台号称用户量以亿为单位,里面有个恶妓花有8800万多粉丝,每条信息的互动连粉丝数的4万分之一都没有,你觉得有多少是真实用户。
如果它没有水军,会不会只有几十万用户呢?如果你是投资者或广告商,会往只有几十万用户的平台投那么多钱吗?
当然,这种事情也是有报道的。大家可以搜索一下脸书虚拟账号的新闻
如有侵权请联系:admin#unsafe.sh