支付宝可能怎么也没想到,自己有一天也会被“诈骗”。怎么回事呢?近日,雷锋网在裁判文书网上发现了一起刑事案件 ,根据浙江省衢州市中级人民法院的判决书显示,从 2018 年 7 月份开始,被告人张富、余杭飞等人以牟利为目的,使用其购买的公民个人身份信息注册支付宝账号,并使用软件将公民头像照片制作成公民 3D 头像,从而通过支付宝人脸识别认证。
通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励(包括邀请新人红包、通用消费红包、花呗红包等),而每个新注册支付宝至少可以获取 28 元收益。
雷锋网了解到,截止案发,该团伙非法收集近 2000 万条公民身份信息,共使用他人公民个人身份信息注册成功至少 547 个通过人脸识别认证的实名支付宝账户,获利 4 万元。
最终,被告人张某犯侵犯公民个人信息罪,判处有期徒刑四年,并处罚金人民币 10000 元;犯诈骗罪,判处有期徒刑一年,并处罚金人民币 5000 元,决定执行有期徒刑四年八个月,并处罚金人民币 15000元。
被告人余某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币 10000 元;犯诈骗罪,判处有期徒刑一年,并处罚金人民币 5000 元,决定执行有期徒刑三年九个月,并处罚金人民币 15000 元。
被告人史某犯诈骗罪,判处有期徒刑九个月,缓刑一年,并处罚金人民币 5000 元。
被告人马某犯诈骗罪,判处有期徒刑六个月,缓刑一年,并处罚金人民币 2000 元。
被告人刘某犯诈骗罪,判处有期徒刑六个月,缓刑一年,并处罚金人民币 2000 元。
被告人张某退出的违法所得 13316 元、被告人余某退出的违法所得 7000 元、被告人史某退出的违法所得 18724 元、被告人马某退出的违法所得 1500 元、被告人刘某退出的违法所得 1500 元,发还给被害单位支付宝(中国)网络技术有限公司。
虽然说此次被坑的是支付宝,金额也不是很巨大,但仅仅是这 4 个人非法窃取近 2000 万条公民信息并使用软件制作了 1153 个 3D 头像通过支付宝人脸认证的这一事实就足以让大家恐慌了。
除此之外,编辑还发现一个更令人不安的事实,在本案中,涉案的四人仅仅是使用软件合成了 3D 头像便骗过了支付宝,难道支付宝的人脸认证系统就如此“不堪一击”吗?
其实不然。
厦门大学信息学院教授 H 表示,以目前的技术,人脸认证系统还是有漏洞的,一定程度上是可以被破解 的,第一种是活体检测,这种基于活体识别的人脸识别确实有一定概率会被面具突破。
“虽然 AI 可以通过让你眨眨眼、抬抬头、张张嘴等互动,来检测你是不是活体,但不管怎样,AI 智能算法跟人的智能判别、智能识别,目前还是存在很大距离的。如果是精准度非常好并且细节十分到位的面具,那么对机器来说,分辨真假的确还是有难度的。”
第二种是人脸模型实时重建:即通过仿真的人脸建模,实时进行面部动作调整,从而实现真人动作模拟。而在网上公开自己的高清照片,确实有可能被 3D 建模,制作出高精度的面具,所以最好的办法还是保护好个人生物信息。
当然,大家也不用太担心,一般情况下,面具的制作成本高昂,他们是不会付出这么大代价的,其次,此次的案件并不能说明支付宝的人脸认证系统是不安全的,只是犯罪分子抓住了其认证过程中的一个 bug 。