Quantcast

【技术分享】第16期:手机取证之“MFSocket推送失败”解决方案

直播自爆“下面没穿”没人信 女主播当场狂啪?

骚妈妈,贱妈妈

血饮丨香港暴动背后是中国拔掉中情局最大海外据点的中美谍战较量!

韩国小清新污漫画《同居》第23话

Facebook Twitter

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

查看原文

黑产手段升级!一张照片即可合成3D假脸,能完成眨眼摇头等指令 黑产手段升级!一张照片即可合成3D假脸,能完成眨眼摇头等指令

隐私护卫队 隐私护卫队

 4月26日,第五届“4·29首都网络安全日”活动在北京开幕。与会专家介绍,在消费、金融、政务等场景应用广泛的“刷脸”认证,成为了黑产人员攻击的新目标。使用最少一张、最多三张普通正面照片,3D 软件就可以合成动态视频,顺利完成“眨眼、摇头、张口”等动作指令。

人脸识别的应用场景越来越多,安全攻防的对抗随之兴起。每次技术有所进步,攻击的手段也会随之更新。黑客通过平面照片欺骗人脸识别的漏洞曝光后,各大机构纷纷采取活体检测技术加强安全保障。用户刷脸时,必须完成人脸左转、右转、张嘴、眨眼等动作配合指令,配合错误便被认为是伪造欺骗。


如今,这种检测也正在面临黑产的威胁。“4·29首都网络安全日”活动上,阿里安全专家介绍了一个案例:2017年11月下旬,梁某、张某等6 名犯罪嫌疑人被警方以“侵犯公民身份信息罪”批捕。嫌疑人使用3D软件控制人脸照片进行攻击操作,导致近百名受害人驾照分被盗刷。他们选择受害人驾照证件清分交替周期作案,受害人根本无法觉察。


安全专家介绍,3D软件合成是目前灰产进行恶意攻击的主流方式。使用最少一张、最多三张普通正面照片,再加上姓名、身份证号等信息,黑产人员便可通过正规3D软件合成动态视频,完成“眨眼、摇头、张口”等动作指令,在防御性较低的平台完成认证。


通过3D合成“假脸”完成认证登录的账号,通常被黑产人员用于黑卡虚假注册、刷单、诈骗等不法行为,覆盖了网贷、购物、交友乃至线上政务系统等领域。据悉,这类账号如果用于网约车平台刷单,服务费约为100元-150元/个;如果用于网贷平台进行恶意贷款,每个账号价格可达千元以上。


在活动现场,阿里安全专家演示了防范3D软件合成的最新技术产品“1:1人脸验证”。“就像在灯下行走,黑灰产是身后的影子”,阿里安全图灵实验室负责人薛晖介绍,该产品采用了动作检测和数据模型深度学习来综合判断风险,通过深度学习能认证出98.31%的人脸,并能有效识别PS、三维换脸等软件。


“利用照片、视频等冒充的图像,与活体人脸从外观到温度、皮肤纹理、微表情、微姿态等均有差异”,薛晖说, “1:1人脸验证”能通过嘴形识别、脸运动匹配传感器、脸外观匹配照明、焦距恢复形状、人脸连续性检测、人脸视频脉搏检测等技术,在毫秒级时间内揪出假人脸,让造假者无处遁形。

4月26日,第五届“4·29首都网络安全日”活动揭幕,阿里安全八大实验室组团亮相。观众现场体验阿里安全双子座实验室的PS图片鉴别测试。



报料请点击E隐私投诉小程序 

推荐阅读:

国家互联网应急中心:去年下架8364个移动恶意程序

政府信息公开涉个人隐私要去标识化

外卖信息泄露追问:美团、饿了么的隐私保护功能是否成了摆设?

    文章有问题?点此查看未经处理的缓存