00后攻破厦门银行人脸识别系统,伪造76个假账户
撰文 |徐丹、力琴
編輯 |四月
近日,裁判文書網(wǎng)公布一起「黑客」入侵廈門銀行手機銀行 App,利用虛假身份開戶的案件。兩名犯罪分子,分別為00后的田世紀和95后的張宇男,其中2000年出生、職業(yè)學院休學的河南男孩攻破了廈門銀行 App 的人臉識別系統(tǒng),進而使用虛假身份信息多個賬戶并倒賣牟利。
田世紀通過抓包技術(shù)攻破了廈門銀行 App人臉識別系統(tǒng),使用虛假身份信息注冊了多個賬戶并倒賣牟利,獲刑三年。張宇男為田世紀的買家之一,低價購買田世紀以虛假身份騙領(lǐng)的銀行賬戶,再加價售出,并向其他人出售以假身份騙取銀行賬戶的手段,從中牟利。
一 「00后」攻破銀行人臉識別系統(tǒng)
據(jù)判決書,被告人田世紀2000年1月出生,初中文化,無業(yè),戶籍地河南夏邑縣。
2019年1月5日至15日期間,田世紀通過軟件抓包、PS 身份證等非法手段,在廈門銀行手機銀行 APP 內(nèi)使用虛假身份信息注冊銀行Ⅱ、Ⅲ類賬戶,成功注冊廈門銀行Ⅱ類賬戶76個,并通過網(wǎng)絡(luò)售賣賺取22010元。
銀行Ⅱ、Ⅲ類賬戶區(qū)別于Ⅰ類賬戶,后者為全功能賬戶,前者為虛擬的電子賬戶,在Ⅰ類賬戶的基礎(chǔ)上功能遞減。
據(jù)田世紀的辯護律師稱,田世紀此前在 QQ 群看到有利用漏洞辦理銀行Ⅱ、Ⅲ類賬戶的情況,下載了多家商業(yè)銀行 App 嘗試,并通過其本人真實信息辦理了兩三張廈門銀行Ⅱ、Ⅲ類賬戶熟悉流程,后通過網(wǎng)絡(luò)學習抓包原理,偶然發(fā)現(xiàn)廈門銀行 App 存在漏洞,通過替換信息的方式可以開設(shè)賬戶。
具體來看,田世紀在用銀行 App 注冊賬戶的過程中,先輸入本人身份信息,待進行人臉識別步驟時,利用軟件抓包技術(shù)將銀行系統(tǒng)下發(fā)的人臉識別身份認證數(shù)據(jù)包進行攔截并保存。
隨后在輸入開卡密碼步驟時,田世紀將 App 返回到第一步,即上傳身份證照片,輸入偽造的身份信息,并再次進入到人臉識別步驟。
此時,其上傳此前攔截下來的包含其本人的身份信息數(shù)據(jù)包,使系統(tǒng)誤以為要比對其本人的身份信息,遂使用其本人人臉通過銀行系統(tǒng)人臉識別比對,成功利用虛假身份信息注冊銀行賬戶。
通過上述方法,田世紀成功注冊廈門銀行Ⅱ類賬戶76個,并通過網(wǎng)絡(luò)售賣賺取22010元。田世紀的行為導致廈門銀行從2019年1月18日至今一直關(guān)閉手機銀行 App 中Ⅱ類、Ⅲ類賬戶開戶鏈接功能。
張宇男為田世紀的買家之一,低價購買田世紀以虛假身份騙領(lǐng)的銀行賬戶,再加價售出,并向其他人出售以假身份騙取銀行賬戶的手段,從中牟利。
隨后,廈門銀行從2019年1月18日至今一直關(guān)閉手機銀行 App 中Ⅱ類、Ⅲ類賬戶開戶鏈接功能。田世紀因非法獲取計算機信息系統(tǒng)罪,被判處有期徒刑三年,并處罰金一萬元。張宇男具有坦白從輕處罰情節(jié),被判處有期徒七個月,并處罰金五千元。
據(jù)判決書,被入侵的并不止廈門銀行。2019年2月,張宇男向他人學習軟件抓包技術(shù),在多家銀行嘗試注冊Ⅱ、Ⅲ類賬戶,先后嘗試過建設(shè)銀行 App、廈門銀行 App、浦發(fā)銀行極速開戶網(wǎng)頁,并以1888元雇請他人利用上述抓包技術(shù),在建設(shè)銀行系統(tǒng)內(nèi)成功注冊12個Ⅱ、Ⅲ類賬戶。
該事件可概述為一起「黑客」攻破廈門銀行 App人臉識別系統(tǒng)事件。實際上,據(jù)判決書顯示,田世紀所利用的抓包技術(shù)并不稀奇,算不上是「高科技」。抓包就是將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作,也用來檢查網(wǎng)絡(luò)安全。抓包通常被用來進行數(shù)據(jù)截取等。
二 「抓包」繞過系統(tǒng)審核 銀行安全問題存疑
作為「抓包技術(shù)」并不是新技術(shù),上述案件只是將抓包技術(shù)應用在人臉識別場景中。
相較于3D 人臉動態(tài)圖技術(shù),抓包技術(shù)的難度更低,關(guān)鍵在于切入的角度。在上述案件中,銀行在內(nèi)部管理流程上,對交付產(chǎn)品進行的測試和驗證環(huán)節(jié)仍待完善。
據(jù)財新報道分析,出現(xiàn)上述案件的原因在于未對人臉身份和提交的身份信息做校驗。通常情況下網(wǎng)絡(luò)安全人員會默認客戶端提交的信息是需要嚴格校驗、充分測試的,但測試是相對復雜的工程,上述案件中銀行可能未考慮到抓包替換的路徑問題。
名為「金融科技人」微信公眾號表示,通過復盤上述黑客的利用過程,如果這個關(guān)聯(lián)字段是戶名和身份證號的變形值的話,恰恰契合了黑客的利用過程,黑客就可以通過替換這個關(guān)聯(lián)字段,利用偽造的身份信息+黑客的人臉信息實現(xiàn)冒名開戶。
名為「一個數(shù)據(jù)玩家的自我修養(yǎng)」微信公眾號談到了整個驗證交易環(huán)節(jié)中存在的三個漏洞:交易流程設(shè)計缺陷、是否進行五要素驗證、未能防止重放攻擊。
他談到,在交易流程中,人臉識別通常應該放在最后一步,因為這一步成本最高,失敗率最高,客戶體驗最差,而在該案例中人臉識別以后還有輸入交易密碼。
此外,央行302號文件針對Ⅱ/Ⅲ類賬戶開立,變更和撤銷等環(huán)節(jié)進行了明確說明。
1)通過電子渠道開立Ⅱ類戶,必須綁定自己的Ⅰ類戶或信用卡賬戶。需要進行五要素認證即:姓名,身份證號,手機號,綁定賬戶賬號和綁定賬戶是否為Ⅰ類戶或信用卡賬戶。
2)通過電子渠道開立Ⅲ類戶,對綁定的賬戶要進行四要素認證即:姓名,身份證號,手機號和綁定賬戶賬號。
在該案件中,如果進行了五要素驗證,則必須用受害者的身份開一張 I 類卡,而且預留受害者本人的手機號,那么攻擊成本將會大大增加。
最后,銀行也未能有效防止重放攻擊。所謂重放攻擊,是指攻擊者發(fā)送一個目的主機已接收過的包,來達到欺騙系統(tǒng)的目的,主要用于身份認證過程,破壞認證的正確性。
總結(jié)
以上是生活随笔為你收集整理的00后攻破厦门银行人脸识别系统,伪造76个假账户的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: IDC:2019年第四季度全球可穿戴设备
- 下一篇: 贾跃亭回应“转移财产”质疑:家人为联合担