当看到“自己”的动态视频时,她惊呆了……
The following article is from 方圆 Author 陈星岚 等
几名被害人报案称
社交账号里的钱都被转走
他们想不明白
即使账号密码被泄露了
转账也需要人脸识别认证
……
他们不知道的是
有人花1.8万在网上买来“破人脸”技术
就是为了破解支付系统
当周娟看到“自己”的动态视频时,惊讶到张大了嘴巴。这张“人脸”和自己确有几分相似,会做出大笑、摇头、张嘴等各种动作。屏幕上的人脸和背景明显是合成的,看起来不太协调。
民警告诉她,就是这个“人脸视频”骗过了某社交账号上的人脸识别系统,让她账号里的钱不翼而飞……
5000元不翼而飞
家住浙江省杭州市上城区的周娟夫妇经营着一家早餐店。因店铺靠近学校,生意一直不错。虽然店里非常忙,但周娟夫妇坚持让儿子乐乐待在自己身边,不让他单独一人在家。
3年前,夫妻俩对乐乐的看管并没有现在这么严。但自从发生“账号事件”后,周娟夫妇意识到,乐乐虽然懂事听话,但终究还是个孩子,需要父母更用心地监管,他们不能掉以轻心。
2020年暑假,乐乐突然迷上了一款游戏,他没有手机,就常用周娟的手机玩游戏。因为他是未成年人,游戏账号填写的是周娟的身份信息。这个游戏可以用某社交平台账号直接登录,因此乐乐就用妈妈的社交账号登录。
8月7日,周娟看到乐乐拿着自己的手机打游戏,觉得乐乐的暑假作业已完成得差不多了,就没管他。8月8日早晨,周娟打开社交软件,发现平台一直提示密码错误,无法登录。她赶紧冻结账号,然后进行账号找回操作,经过一番周折,才重新登录了账号。
谁知登录后,11条转账消息立刻弹了出来。周娟的心一下子沉了下来。当日凌晨1点左右,有人登录她的账号进行了11次、每次500元左右的转账,一共转走了5000元。
周娟想起前一天,乐乐一直在打游戏,马上把他叫来询问,乐乐支支吾吾地回答说:“昨天下午玩游戏时,我为了要免费的游戏‘皮肤’,把妈妈社交平台的账号密码告诉了网上认识的朋友。”
提供账号、密码后,乐乐并没有立即收到游戏“皮肤”,网友刘三告诉乐乐:“你先安心去睡觉吧,‘皮肤’需要72小时才能到账。”乐乐没多想就去睡觉了。
11岁的乐乐如何能想到,他退出账号后没多久,妈妈账号内钱包里的钱就被盗了。了解事情缘由后,周娟立即带着乐乐来到了派出所报案。
同时,警方还接到另外两名被害人的报案。报案人称自己的社交账号登录不上,冻结账号后发现账号内的钱都被转走,收款人都是一个叫“比熊”的账号。不仅如此,一名被害人发现不仅账号内的钱被盗,账号的好友也全都被删光。
几名报案人都想不明白,即使对方知道了自己的账号和密码,转账也需要人脸识别认证,钱包里的钱为何这么轻而易举被转走呢?警方很快便抓获了犯罪嫌疑人刘三和她的两个朋友——陈叔华和王等。
免费送游戏“皮肤”
陈叔华和王等是初中同学,均无固定职业。2020年6月,陈叔华说,他通过游戏群友找到了一个“破人脸”的工作,问两位朋友要不要一起“清余额”。
简单地说,就是三人合伙盗取他人的某社交软件账号和密码,破解支付人脸识别系统,盗取账户内的钱,再把账号卖掉。这工作听起来似乎“很容易且来钱还快”,刘三和王等爽快答应了。
三人很快进行了分工。刘三负责在各群里骗取社交软件的账号密码,陈叔华负责用AI(Artificial Intelligence,人工智能)换脸技术破解支付系统的人脸识别系统,等账号余额被清空后,再把空账号转卖出去;王等则负责接收从各账号转走的钱,留下自己应得的,剩下的钱交给陈叔华。
三人商量好“盈利”分配比例,便开始“干活”。
账号和密码骗到后,刘三就登录账号,将账号密码和绑定手机号进行修改,账号就盗窃成功了。
除了骗取他人账号,刘三还会通过一些灰色产业链非法购买社交账号。对于这些账号,他们也是把余额清空后,再通过灰色产业链把账号卖出去。这些被卖出的“优质”号很可能继续被投入一些新的黑灰产业链,进行电信网络诈骗等活动。
为了扩大交易,刘三加了很多“账号交易”群。因为买卖社交软件账号涉嫌违规,他们一般都会用“火星文”交流,即将买卖信息化称为简单的字母或者数字符号。
“一般人不会搜索这些奇怪的字符,能看懂的都是了解灰色产业链交易的人。”协助办理案件的杭州市上城区检察院检察官助理姚骐告诉记者。
收购者购买这些账号“代清余额”,也像开“盲盒”,如果账号内余额很多,就赚了,如果没有余额,就只能卖掉这个号赚点小钱。空账号出售的价格高低取决于账号年限、征信情况、资金流水、今后可能的用途等因素。
提供身份证号和姓名
就能买到身份照片
获取被害人的社交账号、密码后,要想转走账号里的钱,那就需要“人脸识别”了。
如何实现“人脸识别”?他们首先需要账号主人的身份证号码、姓名等个人信息。刘三登录被害人的账号后,通过账号进入手机中的某贷款软件,假称是被害人需要贷款,填写申请表后,在申请表底端就会出现被害人的真实姓名和身份证号。
拿到真实姓名和身份证号后,刘三再将被害人的身份证号、账号提供给另外一贩卖个人信息的灰色产业链,通过该灰色产业链获取到被害人的身份证照片,再将照片中的一寸免冠照截图下来。
据了解,这类贩卖个人信息的产业链有着完整的数据库,只要提供身份证号和姓名,就能买到对应的身份证照片,而每张价格仅为25元到30元。
有了身份证照片后,刘三提取到照片上的一寸免冠照,将照片交给陈叔华。由陈叔华制作出AI换脸视频破解支付系统的人脸识别功能。
首先,他们在网上下载一款图像清晰化软件,通过电子技术提高照片的清晰度,随后又利用另外一款软件将清晰度翻新的照片变成一段视频。
随后,他再将这段视频用于支付系统的人脸识别检测。为了使画面更加逼真,陈叔华还利用抠图软件,把身份证照片中的白底背景改成了生活场景,营造出真实感。
目前,办案人员还在追查关于贩卖个人信息黑灰产业链的相关信息。
承办本案的检察官姚瑶说:“这些照片涉及出售公民个人信息的相关灰色产业链,这类产业链与公民个人信息的泄露可能有着直接的关系,但这些类案件涉及的相关灰色产业链很多都与电信网络诈骗有关,源头大都在国外,追查起来有一定难度。”
花1.8万元
购买的“破人脸”技术
陈叔华的“破人脸”技术,是他花1.8万元在网上买的。
用这种方式制作的AI换脸视频不是每次都能成功通过检测的,有时候因为“换脸”时“张嘴”和“眨眼”的动作颠倒了,导致无法破解支付系统;有时还会因为图片清晰度不够,不符合人脸识别的要求。在这种情况下,陈叔华就会放弃,直接把这个社交账号转手卖掉算了。
陈叔华的AI换脸视频做好后,刘三就用该视频破解支付系统,盗窃钱款。在登录社交账号前,他们也不知道该账号里有没有钱,有些账号没有余额,他就会转手把账号卖掉。
完成这一系列清账号余额的流程必须迅速,且一般都在深夜完成。因为被害人通常不会在深夜登录账号,此时完成盗窃会比较顺利。一旦被害人发现异常,账号被冻结,将很难成功。
做完这一系列动作,王等就把被害人的账号删去,不留痕迹。三人合作了半个月,一共盗窃了3万余元,直到周娟报警他们被抓。
2021年11月30日,上城区检察院以涉嫌盗窃罪对三人提起公诉。12月22日,上城区法院对该案作出判决,以盗窃罪判处陈叔华有期徒刑十个月,缓刑一年二个月,并处罚金2000元;以盗窃罪判处王等有期徒刑八个月,缓刑一年,并处罚金1000元;以盗窃罪判处刘三有期徒刑七个月,缓刑一年,并处罚金1000元。
深挖背后的“深度伪造”技术
盗窃案至此也许可以告一段落,但是检察官认为此事显然没那么简单。办案过程中,上城区检察院检察技术人员邵日强就从嫌疑人手机中提取到了大量数据、材料,其中包括多个教授他人如何实施犯罪的视频,大量买卖社交账号的聊天记录。
检察技术人员说,尽管从刑事角度看,该案仅是一起简单的盗窃案,但从提取到的视频及聊天记录来看,本案犯罪核心技术是deepfake(深度伪造)。通过证据分析他们发现,嫌疑人实施的作案手段是一个完整的犯罪链条,包括获取被害人身份信息以及结合软件伪造人脸识别视频等多环节。
检察机关根据分析出来的新证据材料,对嫌疑人进行了再次提审,将讯问角度放在技术层面,又找到了新突破点。
2022年2月,上城区检察院就该案能否挖掘上游犯罪的相关线索召开了复盘会,将数据重新做精细化筛选。上城区检察院认为,本案不只是小额盗窃案,现已提取到嫌疑人贩卖公民个人信息、传授犯罪方法、帮助信息网络犯罪等多个犯罪线索,应当继续追查。
于是,上城区检察院重新出具了《线索移送函》,引导公安机关继续深挖本案相关的非法产业链,目前还在继续办理中。
邵日强告诉记者:“此案反映出两个问题。第一,公民个人信息使用需要规范,嫌疑人通过某贷款软件的身份信息进而获取到该号照片,互联网运营者滥用公民个人信息问题需重视。第二,人脸识别的安全性也需要重视和规范,技术安全性与身份认证场景应做分级,尤其是支付领域的应用场景应用应更为谨慎。”
(文中涉案人员均为化名。本文有删减,更多内容请关注《方圆》4月上期)
■ “不要做那个揉纸团的人”——检察官呼吁,温柔说话,善待他人
■ 建设合规民企 优化营商环境 | 上城检察院受邀参加区工商联企业合规管理培训班开班仪式并授课