据路透社最新消息披露,近期某大型商业银行遭受技术攻击,黑客通过技术漏洞攻破该行二类户<注1>开户“身份验证”环节,短期内高频次冒名顶替成功开户,直至“并发开户量”超过该行正常水平才被相关部门发现。问题因发现及时并未造成损失,但这一问题的形成还是值得我们思考的。
注1-二类户:2015年12月25日,央行发布人民币银行结算账户管理新规,将原有的银行结算账户分为三级(一类户、二类户、三类户),二类户不能存取现金、不能向非绑定账户转账。银行对二类账户设置10000元人民币的单日支付限额。很多银行的二类户没有实体卡,可以通过互联网在线申请。
向后推,黑客会如何继续
黑客拿到冒名顶替的二类户会干什么呢?他们会用来破解互联网金融/支付类在线账户,进行非法消费等行为。那么黑客是如何通过二类户破解在线账户的呢?
我们来看下互联网金融/支付类账户的密码修改流程及黑客修改密码的手法:
黑客攻击路径
问题一、互联网账户可以通过“银行卡”(替代人脸识别)进行身份验证<注2>
问题二、假二类户提供了攻破这一漏洞的机会
问题三、非实名手机号提供了“验证码”获取的通道
注2:部分互联网支付、理财账户可以“绑定银行卡”,用户在此项操作时可以选择“忘记密码”,通过银行卡作为“身份证明”验证身份,进而重置密码。
诚然,互联网企业、银行、电信公司都存在漏洞,但假二类户在其中起到“开门钥匙”的作用。在类似案例中,甚至有用假冒一类户进行欺诈的例子,这里我们就不赘述了。那么,这个假二类户是如何成功申请的?
向前推,问题的根源
黑客选择了可以在线申请的二类户,因为不用“本人”到银行,在线即可开户,技术破解成为可能,我们简单梳理下破解的流程:
技术破解步骤
问题一、克隆证骗过证件信息比对系统
问题二、视频攻击骗过人证合一比对
问题三、非实名手机号
手机号的问题出在运营商,而克隆证问题和人脸识别系统视频攻击问题则出在银行的IT漏洞上。
敲黑板,BUG在哪?
核心问题在于主流在线身份证鉴别技术无法识别“克隆证”!因为,这一环节现在只检验“姓名、身份证号、网纹照”这些核心信息。一旦黑客获取到了别人真实的证件信息,通过这些真实信息制作的*证假**,现有技术是无法防范的。大量黑客案例表明,克隆证件被广泛使用,而且技术含量并不高,比如下面这张:
这张身份证有些夸张,但已有案例中确有通过奥巴马头像制作*证假**成功骗过防伪系统的,因为当事系统只验证“姓名、身份证号”二要素。其实,简单的人工审核便能防范这些低级错误,但是一些“高级”的*证假**就没那么好防范了,因为证件上所有信息都是真的(包括照片)。
现有IT技术为防范高级克隆证,主要采用人脸识技术来检验用户是否持本人证件办理业务,以此防范冒名顶替。但是,随着“视频攻击”技术的发展,在人脸识别技术上“攻防”双方此消彼长。有没有一种简单的技术,在证件识别阶段即可识别出*证假**件,在黑客“敲门”的环节便构成有效防范呢?答案是有的!
思图防伪了解一下
业内独家通过人工智能图像识别技术对身份证真伪进行辨别的服务。通过深度学习技术,让计算机自主对证件中上百个识别点进行识别,从图像特征辨别证件真伪。
以上识别点仅为示例,实际识别点有上百个
核心优势:
*独家识别“克隆证件”
*秒速判别证件真假、无需原件
*可识别身份证、驾驶证(更多证件识别研发中)
*无需人工干预,高效、稳定,便于管理、节省成本
*采用开放API及SDK,可用于远程、线上自助业务
*拒识率为0.45%,误识率为0.012%-0.13%
PS~更有思图智能面签系统等金融科技产品
潮流技术、金融应用尽在思图场景人工智能解决方案,赶快关注我们订阅!