手机网站
手机网站
日前,庐山市法院发表了利用人脸识别方法盗取他人支付宝账户资金的案件。
庐山市人民法院对周某利用面部识别技术盗窃支付宝账户资金的案件作出一审判决,被告人周某因盗窃罪被判1年零2个月徒刑,并处罚款人民币10000元。
2014年初,被告人周某通过一个网络转播平台认识了受害者桑某,沉迷于桑某,周某利用网络收集了包括桑某电话号码在内的个人信息,并通过支付宝地址簿发现其手机号码是桑某支付宝账号。
为了窥探桑某的购物记录等隐私,周某又在一个短视频APP中获得桑某的动态化身,利用该化身采用面部识别方法修正了桑某支付宝账户的登录密码。
登陆桑某支付宝后,周某发现桑某支付宝账户有大量资金,用同样的方法修改了支付密码。 2015年11月至2016年1月,周某多次将桑某支付宝账户资金转入自己的支付宝账户。 被盗金额共计31998元。
周某盗窃事实被桑某发现后,为避免桑某举报,周某退还桑某人民币20000元。
在支付的家庭网络检索中,这种情况和第一次以短视频为切入点,利用脸部识别“漏洞”偷取他人支付账户资金的情况被发现。
据支付家庭网络( ZFZJ.CN )报道,现在短片行业很受欢迎,在灾难等主流应用上大量的个人照片数据很容易被非法者拿到。 根据法院的说明,如果支付平台(不仅仅是支付宝)方面没有对策的话,就有很大的系统风险。
一审法院认定,被告人周某以非法占有为目的,多次盗窃他人财产,金额大,其行为成为盗窃罪。 后被告人周某向九江市中级人民法院上诉,二审法院驳回上诉,裁定维持原审。
对此,法官认为,本案属于目前的新型智能犯罪,犯罪方法新颖,犯罪手段隐蔽,获取受害者的动态图像,利用该图像,采用人脸识别方法修改受害者的支付宝账户登记密码,盗取支付宝账户内的资金。
在一些刑事案件的审理过程中,发现此类案件的犯罪手段主要是用受害人的人的号码修改支付宝的密码,用虚假身份证处理支付宝电话卡,利用支付宝审查的漏洞进行盗窃,以欺骗支付宝的顾客服务等方式决定交易的验证号码等。
人脸识别技术提高了金融服务的便利性和普遍性,但也不可否认存在隐私泄露、算法脆弱性、假体攻击和生物攻击等一系列风险。
中国人民银行科学技术司司长李伟表示,仅凭面部特征认识无法直接完成支付交易,无法有效表现出用户的主观意愿和资金自主支配权,非法者为“无感”偷窃资金提供“便利”,可能成为面部支付资金风险的根源。
生物识别信息终生不变,隐藏、集中储存,因此安全上存在脆弱性是无限的。
另一方面,生物特征随着人类的生命而产生,并且被非法盗用,因此基于生物特征的认证系统可能容易地被绕过。
用户的生物特征暴露在商场、酒店、酒店、街道等各种公共场所,非法者可以远程、非接触方式,在用户自己不知道的情况下“无言”地非法收集大量的生物特征信息。 同时,在金融科学技术时代,生物特征数据的积累集中度越来越高,受到关注的生物特征库一旦被破坏,就容易引起大规模的隐私泄露,引起系统风险。
另一方面,攻击手段不断改建,技术防御能力较差。
生物识别技术持续快速发展,识别算法脆弱性的攻击手段也在变新。 最初,由于生物认证技术无法判断识别对象是否为真品,因此伪造指纹、声纹、脸部等生物特征的“假体攻击”手段横行。 为了应对“虚拟攻击”,产生了基于三维构造光、TOF、红外线双目照相机等的生物检测技术,在一定程度上缓和了虚拟攻击的威胁。 不久,对于生物检查技术的影像再生、立体面罩等“生物攻击”手段出现了。
随着人工智能、大数据等技术的不断发展,新的攻击手段也不断出现,产业相关人员忙于应对,加强企业投入力度,不断升级算法能力和防伪技术,给生物识别技术的安全应用带来了巨大挑战。
生物识别的应用和监管确实远远超出金融范围。
庐山市法院公布的这个案例发生在4年前,支付宝方面也许已经改善了这种脆弱性。 但是用生物识别和人脸识别技术确定用户身份的平台不仅可能在支付宝库,而且在其他平台上可能发生理论上的操纵手段。
总之,这是一个非常值得关注的案例。 其中暴露的问题是,除了支付平台不对应“假体攻击”“生物攻击”之外,最重要的是各大视频平台上存在的数亿人的脸像是非法者打开罪门的关键。
毫无疑问,技术是一把双刃剑。
着作权归原作者所有,有侵犯即予删除
