用照片做成动态图就能从苹果手机盗走微信支付宝里的钱
来自: 支付产业网
在很多人的眼里,苹果手机的安全性是要高于一般的安卓手机的。
但广西法院近日公开的一份刑事判决书,不得不让人重新审视这个安全性。
判决书显示,2019年6月8日19时许,被告人黄某到柳州市一家二手手机店,欲在此店选购手机。黄某挑选手机时,看到被害人陈某已出售在此店的一部苹果牌手机,后发现陈某的微信、支付宝账户并未退出,遂购买了该手机。
次日2时至9时期间,黄某在柳州市鱼峰区柳石路和九头山路路口处一树下,利用该手机内陈某的照片,制作了一张人脸识别动态图在支付认证时使用,以此方式分别从陈某的微信账户、支付宝账户内转款人民币9100元、7500元至其个人账户。
随后,黄某将该手机退还到原手机店,并将赃款挥霍。
值得一提的是,1996年出生于广西壮族自治区柳州市的黄某,初中文化,无职业。
支付产业网看到,在公、检、法严谨的办案流程下,判决书中并未出现第三人相助,黄某仅凭一己之力就可以用受害人的照片生成了动态图,顺利通过了微信支付宝的支付认证。
用户在微信支付和支付宝中的资金受到损失,无疑将会影响两者在用户心中安全性的评价。虽然微信支付和支付宝是调用了苹果手机的人脸识别接口,把身份认证交由苹果来确认,但丝毫不影响用户在支付机构的账户资金受损的事实。
这同时也说明了刷脸支付存在着严峻的安全问题,即使如市值过万亿美元的苹果公司也未能彻底防住动态图的欺诈。
就在去年夏天,央行科技司司长李伟在一次会上表示,人脸是非常敏感的个人信息,一旦泄露或被盗取,会带来非常大的影响。现在有的技术在三公里之外可以识别人脸,如果人脸支付时,一刷脸钱就没了,一个场景不能表达客户的主观意愿是可怕的。所以有技术也不能滥用,有技术也不能任性。
上个月,有分析人士撰文对刷脸支付的几点担忧。由于人脸的暴露性、被动性(不能够主动发起交易)和非接触性(不需要和设备直接接触),怎么界定是顾客主动支付的,还是被动的。
过去,刷卡、扫码普遍有输入密码的过程,指纹至少也有去主动验证指纹的动作,这些行为都是客户交易意愿的诠释。
而刷脸支付则使这些主动行为无从放置,后果就是客户有可能在不具有交易意愿的情况下“无感”支付而蒙受损失。
新昕科技的技术负责人认为:刷脸支付并不安全,移动互联网时代不仅个人图片、甚至动态的视频在朋友圈分享, 拿人脸作为答案去验证的机制存在巨大问题, 指纹识别及短信相对要安全, 指纹被分享的可能性比较小, 而短信验证具有私密性,所以指纹识别和短信验证还是作为支付、用户注册环节中的重要手段。
但短信验证本身也存在被盗刷的风险 , 所以出现了各种烦人的图片验证码及滑动、点按之类的多余操作。 新昕科技则研发了独特的全无感短信防火墙,在全无感的前提下, 确保短信验证码的安全 。
新昕科技 www.newxtc.com ,创始团队来自百度旗下去哪儿、易宝支付、联动优势、高阳捷讯(19pay)等支付及航旅知名企业,历时3年时间,在价值百万的风控引擎基础上 ,训练出“防短信轰炸”智能模型,彻底解决“安全”与“用户体验”的矛盾,产品经理只需专注用户体验,无需为安全让步。
1)无感:去类12306、对缺口拼图、拖动等所谓人机验证有感方式。
化繁为简,简单到只需输入手机号,还产品本来面目
2)保障:攻防对抗大数据训练的 AI模型,去前端交互验证方式,后端防御确保短信安全。
比如,同一个IP ,即使有1万个正常用户同时共同使用,可以确保放行,但常规的防控大多数被误拦。
反之,攻击者控制1万台主机,1万个不同IP、手机,也保证拦截,但常规的防控对此无能为力。
如何做到的, 基于三层AI防御体系,
“报文对抗层” 在最外层应用加解密及混淆技术,对抗普通的攻击,
“蜂窝防护层” 由时空主体组成蜂窝,确保被攻击后“蜂窝”之间互不影响,缩小受影响的范围,
“安全气囊” 在确保老用户不受影响下, 根据攻击规模自动启停并进行动态控制。
3)高效:价值百万的风控引擎浓缩的10M “短信防火墙”安装包,本地部署运行,毫秒级响应。
避免“云模式”的网络延时问题,导致滑动条出不来等情况 |
关键技术说明:
“悬浮式指标引擎”:加载AI模型,悬浮于磁盘超高速运行,随输入的业务数据生成统计指标,提供给决策引擎做进一步分析处理,
“决策引擎”:加载“短信防轰炸”AI模型和指标后,和输入的业务数据流做逻辑判断后,输出风险结果,响应速度达到恐怖的1毫秒。
总结:随着互联网技术的不断发展,我们每日都离不开与互联网的交互。短信验证码作为互联网交互中的重要环节,保卫着网站的安全以及我们的信息安全。用户体验差、毫无安全性可言的图片验证码将退出历史舞台,未来将会是安全与体验双重保障的验证码的时代。