刷脸支付这么火,骗子想了三种盗刷方式破解!
随着无人零售的兴起,人脸识别作为支付手段也逐渐为人所知。阿里巴巴的淘咖啡、苏宁的无人零售店、京东的京东之家,iPhone X的Face ID,农行上线的刷脸取款等
文:支付百科综合自电商报 栗子、亿欧网
随着无人零售的兴起,人脸识别作为支付手段也逐渐为人所知。阿里巴巴的淘咖啡、苏宁的无人零售店、京东的京东之家,iPhone X的Face ID,农行上线的刷脸取款等,让人脸识别成为支付新宠,但如此密集地被应用于不同的场景,让潜在的技术风险给人脸识别的热潮添了一把虚火。
近日,四大行之一的中国农业银行宣布,贵州农行ATM已经上线“刷脸取款”,据介绍,用户在ATM机上取款时,点击右上角“刷脸取款”,按照操作规范,脸部对准摄像头,识别成功后,输入手机号或者身份证号,再输入取款金额和密码,就能完成取款。从操作过程看来,用户使用刷脸支付可以不用带银行卡和身份证,有利于“钱包减负”。而农业银行的刷脸支付并非第一例,早在2015年12月,兰州银行就已经推出ATM人脸存取款业务,招商银行也在2016年12月在全国范围内上线刷脸支付。
互联网科技企业也不甘落后,除了刷脸支付推动者支付宝,苹果手机也在近日推出了人脸识别服务。在iPhone 8和iPhone X的发布会上,Face ID成为iPhone X的亮点之一,手机解锁和Apple Pay都与人脸识别进行结合,完成了由“手”到“脸”的无感进化。虽然在发布会现场首次演示人脸解锁时失败了,但是刷脸支付这波热潮,苹果是站稳了脚跟。
然而,人脸识别作为一种新技术,在初期都会面临一段时间的风险检验,但银行、支付宝、苹果等金融机构和互联网企业纷纷来凑热闹,不免让人觉得“虚火太旺”。实际上,在今年4月,三星在GalaxyS8系列旗舰手机身上也应用了面部识别功能。但是经过用户测试发现,面部识别连照片这一关都过不了,三星回应称,目前面部识别的安全等级要低于虹膜与指纹识别。
支付宝和苹果等强调,自家的人脸识别服务可以精细到识别双保胎,目前看来,还没有人对其进行推翻。人脸识别的技术风险的特殊在于,这种生物认证就有唯一性,但一旦被恶意盗用,后果不堪设想。上海市信息安全行业协会会长谈剑峰认为,“正是这种唯一性,让大家认为生物认证是安全的。但生物特征数据库一旦被攻破,大量的带有唯一性的生物特征数据被盗取,带来的风险要比‘盗刷’严重得多。这才是生物认证方式的真正‘痛点’”。
刷脸支付背后的核心技术是人脸识别。其实,早在刷脸支付出现之前,人脸识别已经被应用于很多场合,比如单位的刷脸考勤、机场火车站安检、自助打印人行征信报告时的身份认证,等等。
在刷脸成为一种支付方式之前,是不会有人像间谍片里的间谍那样费劲千辛万苦窃取一个普通人的人脸图像的,毕竟,帮你免费考勤打卡的事情,骗子是不会干的。
但出现了刷脸支付之后就不一样了,有了你的人脸图像,骗子就有可能用你的资金账户肆意消费。有了利益驱动,骗子们自然趋之若鹜,目前市面上已经出现了能骗过面部识别的人脸面具。
那么,盗脸欺诈的常见手段以及人脸识别技术的应对措施有哪些呢?下文将一一介绍。
首先,我们来了解下骗子会采用哪些手段来盗刷你的脸,以做到防范于未然。
具体来说,骗子的盗刷手段,主要有三种:
1、照片。最容易想到也是最容易实现的盗刷方式是采用静态照片,爱自拍的你在微信、QQ、微博、人人网等社交工具上一定留下了不少自己的照片吧。骗子可以戴上拷贝你的照片做的2D面具,在眼睛的位置开孔实现眨眼等动作,来达到盗刷的目的。
2、视频。即通过录制和翻拍用户的人像视频进行欺诈。相对静态照片,视频是由许多帧图像组成,可以增加欺骗人脸识别系统的成功率。
3、3D面具/头套。3D打印技术成熟后,骗子可以打印高清的3D面具进行欺诈。相对于照片和视频,戴上3D面具可以应对基于景深的检测算法,也可以配合系统指令做出相应的动作,因此这种欺诈手段更具威胁性。
看上去,盗刷人脸并不是那么难吧。我们普通人,该如何防范盗刷人脸的行为发生呢?
作为用户,最重要的是要保护好自己的个人信息,比如照片、视频不要轻易放到网上或发给陌生人。当然,现在的美颜软件也在一定程度上保护了大家的隐私。试想一下,朋友圈里一张连亲妈都认不出来的美颜照片,怎么可能和身份证照片匹配得上呢?
而在介绍人脸识别反欺诈方式之前,让我们先了解一下典型人脸识别系统的几个关键步骤。
具体介绍如下:
人脸检测:从图像(视频帧)中定位人脸所在的区域;
人脸配准:对人脸姿态进行矫正;
活体检测:判断人脸的真伪,这是反欺诈的关键步骤;
人脸识别:将新捕获的人脸图像和数据中已知身份的人脸图像进行比较,识别来者身份。
在这里,有必要解析下反欺诈的关键步骤——活体检测的几种常见算法:
1、基于动作指令的欺诈检测
目前很多移动端APP做实名认证时,需要用户配合指令完成眨眼、摇头、点头、张嘴等组合动作,这样可以在很大程度上规避采用静态照片的攻击。但大多数APP中的要求动作都是固定的,通过事先制作的视频完成欺诈也是有可能的。因此,一些人脸识别厂商进一步采用让用户读随机数字再配合嘴唇特征点检测算法实现欺诈拦截。
2、基于微表情的欺诈检测
通过检测一段时间内用户是否存在细微的表情变化来判断真伪人脸,若没有发生微表情变化就认为是假脸。这种方法对用户的配合度要求较低,主要用于对静态照片的反欺诈。
3、基于图像纹理的欺诈检测
经过二次采集或打印的图像与真实人脸在纹理细节上存在一定差异,比如局部光照和图像质量的区别。因此,可以对人脸图像进行特征提取,获得可用于区分真假人脸的特征,再作为机器学习模型的输入来判别真假人脸。
目前学术界针对人脸识别的反欺诈方法还有很多,这里就不一一介绍了。随着人脸支付工具的逐渐推广,人脸反欺诈技术也越发重要。值得一提的是,单一的人脸反欺诈方法都会存在局限性,无法做到面面俱到,因此可以融合多种方法来提升反欺诈的识别率,并在特定场景结合其他生物特征密码(比如声纹)来进一步提升支付的安全性。