力琴、四月撰文四月编辑

独家起底人脸认证黑产:破解接单月赚3万,800元传授「保过」黑科技

「哪里有人脸认证的需求,哪里就会有生意。」

「代人脸认证」之所以能够被定义为「黑产」,在于无论是上游服务需求方,还是中游的技术服务商,亦或是下游的个人信息提供方,都游走在灰色地带。

而正是基于这条完整而缜密的供需产业链条,才让月赚 3 万的「代认证」工作生意兴隆,并且师徒相承灯火旺盛;也让加设了人工智能和人脸认证的安全应用门槛形同虚设。

凌晨两点,正是酣睡的好时间,昏暗的灯光下只剩下罗江快速敲打键盘的声音。因行业的特殊性,罗江通常是夜里上班,白天休息,此刻他精力充沛。

入行一年半,罗江起初靠传授「代人脸认证」技术谋生,摸爬滚打积累熟人客户,现在已经建立起一个小型工作室。

行情好的时候就做业务,行情不好就开课接生。

「只要技术好(代人脸认证),投入成本低,利润可观。行情好的时候,一个月赚 3 万不成问题。」罗江说道。

他向机器之心展示了自己在 2019 年 10 月和 11 月的账单,收入分别是 2.63 万元以及 3.22 万元。

有人的地方就有江湖,但这个江湖不太能见着光。这几年,人脸识别认证应用在互联网市场得到大规模的应用与推广,已经形成一条完整的产业链,而通过帮助他人完成人脸识别认证,并从中牟利的黑产也应运而生。

在这条完整的产业链上:

  • 处于上游的需求人群,利用实名认证账户变现(薅羊毛)、推广、倒卖实名账户;

  • 中游的技术服务商则以专门「代人脸识别认证」谋生,多以个体户或者小型工作室形式运作,提供过人脸认证、注册等服务,以及售卖过人脸认证软件等;

  • 而在下游则是各种身份证、人脸照片、电话卡等身份信息的提供方。

在此次调查中,机器之心围绕中游进行展开,其营利模式包括两类,一是通过多次代过人脸认证牟利;二是单次售卖「代人脸认证」(圈子里也称「过人脸认证」)软件及方法。

为深入人脸识别认证黑产,我们潜入了一个名为「测试样本」的社群。

每天,社群都被各种「卖料」、「过某 APP 人脸认证」、「提供过脸技术」消息刷屏,这些群通常处于满员状态,群里的讨论异常热闹。

跟他们打交道,得懂「行话」,否则就会吃一鼻子灰。目前,一些平台对于倒买倒卖的非法交易开始打压,这些「卖料」和「过证」人颇为谨慎。


1  
支付类认证需求旺盛

「哪里有人脸认证的需求,哪里就有生意。」

有需求就有市场。目前很多类型的 APP 都会默认开启「人脸认证」功能,以验明使用者的真实身份。

透过各类卖家在社群散发的「过人脸认证」广告,涉及的 APP 类型包括几大类:支付型、社交型、婚恋以及生活服务型。

有从业者告诉机器之心,很多买家对支付类的过人脸认证需求较为旺盛,这也成为他们最赚钱的「业务」。

支付类 APP 以支付宝为代表。在支付宝应用中,通常涉及到推广拉新、转账支付等都必须为真实用户,需要首先进行身份验证。所需信息包括姓名、身份证号码,身份证正反面照片,扫脸认证身份,以及最后绑定银行卡。

从业者罗江表示,现有专门针对支付宝账号售卖和收号的卖家,大多数都有过人脸认证的需求。账号分白号、V2、V3,等级不同,价格不同。

  • 业内把只用手机号注册的号称之为白号;

  • 通过人脸认证,绑定身份证的账号为 V2;

  • 通过人脸认证,绑定身份证以及银行卡的账号为 V3。

罗江表示,一个已经绑定身份的支付宝 V2 账号,最多可卖到 70 元,V3 账号最高可卖几百元。

至于购买支付宝账号客户的需求,多数用于参与支付宝拉新、薅羊毛、提升蚂蚁花呗额度等。此外,机器之心还发现有部分买家涉及灰色金融交易,包括用非本人身份进行贷款和盗刷钱财等。

谈到这方便,社群内回应很少;如果私信直接询问盗刷和贷款,可能被拉黑。

罗江表示,「干违法的事情不长久,如果你想这样做,别人都不搭理你。」

但罗江并不认为自己的生意有任何违法违规的嫌疑,他提供的支付宝过人脸认证的方案,只是认证通过后的买家如何操作,罗江认为已经与他无关,便可撇清责任。

基于支付宝需要活体认证的需求,罗江通过单个生成的眨眼、摇头等视频来模拟活体,帮助用户「骗过」应用,以此收费。

「一个视频最低 20 元,一天就可以卖出几百份」,罗江说道。按此计算,他的一天收入可到数千元。

不过,这并非是一项长久生意。

「最近受到支付宝升级、系统严查等影响,支付宝过脸的通过率低了很多。」罗江说道,群内顶着「支付宝」打广告的人也渐渐少了。

2  黑产还盯上了社交APP

过脸认证蛋糕很大,就连社交类 APP 的过人脸认证也被「黑产」盯上。

陌生人社交行业从 2011 年开始,先是诞生诸如陌陌、探探等平台级的陌生人社交产品。多数陌生人社交 APP 基于「LBS 定位+看脸」模式运作,机器将通过人脸识别判定所传照片是否为真人头像。

用户上传照片后,还需要通过人脸识别进行真人检验,检验成功后才拥有配对选择的权利。由于平台缺乏监管,黑灰产无孔不入,诈骗、涉黄等事件时常发生。

为规范互联网婚恋交友行业经营行为,今年 10 月 24 日,探探、陌陌、百合佳缘、有缘网共同发起《互联网婚恋交友行业自律公约》。

《公约》对「用户实名认证」提出了明确的限制,要求通过动态验证码、人脸识别、人工审核等方式完成实名认证,而未经实名认证的用户则无法进行发帖、评论等交互服务。

新京报曾曝光探探的人脸认证问题,该名记者将自己的头像顺利地认证为明星照片。探探是一款知名陌生人社交软件,用户通过观看照片、信息等资料,滑动手指来进行配对。

新京报记者用艺人头像通过探探的真实头像认证

在探探进行真人认证通常需要两步。首先,上传的图片要通过审核,之后用户通过人脸认证才可成功。认证之后探探头像下方会出现一个蓝 V 的标志。

因为陌生人社交软件的特殊属性,相关平台一直是电信诈骗、非法引流等诸多黑色产业链的重要上游之一,此前,石家庄的一位探探用户刘茜(化名)就发现自己的照片被用于网络招嫖。

而盗用他人身份认证漏洞的存在则让诈骗犯们更加轻松地绕过 AI 技术的安全关卡。

「代过各大网站,随机动作,人脸验证,全能选手,需要的私聊。」在一个近 500 人满员内部社群里,一位昵称为「五八网络科技工作室」的卖家不停吆喝着。

他称其可以通过「过 APP 人脸认证」技术,破解多款 APP 的动态人脸认证,帮助买家完成实名认证,其中包括 58 同城、陌陌、世纪佳缘、伊对等。

各个平台人脸代认证的价格不一样,58 同城是 40 元,陌陌是 80 元、世纪佳缘是 130 元、伊对 160 元。

机器之心联系到卖家,亲自「体验」了一回「代认证服务」。

正常情况下,通过一个 APP 的实名认证需要通过三重认证手续:手机号验证、身份证认证和人脸认证。

第一步,只需要购买可查收手机验证码的手机卡就可以完成,单价在五到十几元不等。

后续两道关卡则需要买「料」,即指买入身份证正反面以及半身照片,料的成本较低,通常不超过五元。

我们以三元的单价购入了十套身份证信息,每套内含高清身份证正反面,以及一张半身照。

卖家只要求我们提供手机号和验证码,不到五分钟,就完成了一次「非本人身份」的「实名认证」。在我们的账号下,已经成功了绑定他人的身份证账号和姓名。

58同城账号被「代人脸认证」

在 58 同城,完成人脸认证的用户可拥有发布、网邻通、金融产品以及商业推广的使用特权。

这位卖家表示,目前在对接一家公司的过人脸需求。

「一个公司,几百人,一个人 5 个账户,都要做。」昵称为「五八网络科技工作室」说道,「公司客户通常就是大生意了。」

800元!人脸过证技术包教会

「过人脸」认证教学演示过程

在内部社群里,罗江直接把业务贴在了昵称栏——「过各种人脸,出优质视频」。

罗江称:「破解 58 人脸认证,这套『过 APP 人脸认证技术』仅需 800 元,包教会。」

我们以「求学」为由深入了解了这项神秘的「黑科技」。

所谓的「过人脸认证技术」并不仅指单个技术,而是由多个软硬件方案组合而成。据罗江介绍,可提供电脑版和手机版两套方案:

逍遥模拟器破解版、CrazyTalk、三色工具箱、虚拟摄像头,三者构成电脑版的配置;如果要在手机端使用,则需配备一台小米 4 或者 OPPO R9、华为,外加刷机包。

通过他发来的演示视频,我们看到网盘里的文件夹有动态制作工具软件包——CrazyTalk v6.1、三色工具箱。

CrazyTalk 是一款 CG 动画制作专业软件,由软件公司 Reallusion 推出,目前已经迭代到第八代,主要用于面部动画制作,该软件使用语音和文本对面部图像进行生动的动画处理。

在罗江演示的 CrazyTalk 文件夹里,有多个摇头、抬头、眨眼等 ctildle 格式的脚本,其中文件名涉及联通、陌陌、58 同城等平台。

「现在只教 58 同城的过人脸方法,很简单」,罗江说道。「只需要提供身份证大头照或者手持身份证照片即可。至于其他平台的『刷脸』都可以自己去揣摩。」

在这个小型的过认证工作室里,罗江主要负责拉业务,教学的任务则由他的徒弟「小点」负责。

通过 QQ 远程操控,点点在我们的电脑上演示制作流程。

在 Crazy talk 软件中导入人脸照片,一点一点地标记眉峰、眼角等人脸关键点。他还时不时提醒,圈定的位置要尽量贴合五官的轮廓,否则导出视频后,就会容易被看出破绽。

整套素材的制作原理在于将人脸照片通过软件套在动作脚本上,便可按脚本做出眨眼、点头、摇头、张嘴的动作,随后经过格式工厂导出视频格式。

最后通过将制作好的「活体视频」投放在需要验证的手机或者电脑摄像头前端,完成验证。

早些时候,《法治周末》曾披露破解某支付类 APP 动态人脸识别的全操作流程。

准备条件包括:持有「高质量料子」(一手高清静态正面人像大头照、身份证正反面照)、「VR 过人脸技术 7.0 刷机包」和一部「小米 4」手机。

法治周末记者在卖家 QQ 远程的协助下,成功把制作好的「眨眼」人像投放在电脑端。于伟力 摄

在手机端制作活体视频的要义在于,先通过刷机,下载脸部动画制作工具等流程,顺利制作出了活体动态人像视频。与此同时,后台系统可以自动抓取脚本,读取文件,APP 动态人脸识别匹配成功。

小点表示,一般教人学习过人脸,只会教到如何标记人像,导入脚本即可,方法操作简单。通常涉及如何制作脚本。

谈及原因,小点激动地说道,「那我岂不是没活路了?」

脚本成为破解过人脸认证的核心,不同 APP 的过人脸识别脚本也有所不同。与小点类似的「过证技术老师们」靠着核心脚本立足行业,并不会轻易把铁饭碗交给别人。

成立工作室,带徒弟,规模化运营

人脸识别黑产中,中游参与者扮演着重要的角色。他们是专门从事人脸识别认证的人群,多数以工作室形式运作,提供过人脸认证、注册等服务以及传授过人脸认证技术等。

据罗江介绍,大多数工作室以个体为单位,参与运营的人员较少。多数人学会「过人脸认证技术」后,积累一定的客户资源,便自己单干挣钱。

目前,罗江的工作室只有两人,与徒弟一同运作。他主要负责拉业务,接收有意学习过脸技术的人、同时兼做自己的过人脸认证业务。而徒弟小点则主要负责售后、教人学习技术以及兼作自己的业务。

小点的过脸认证技术由罗江传授。他入行快一年,每月可挣 2 万。每天晚上,罗江和小点都会按时上线,通过远程指导教人「过人脸认证」。

「我只教人如何使用技术,至于他人要用技术去做什么,我们一概不管」。

罗江目前带过的徒弟不下 20 人,以前是给他打下手做业务。现在手下徒弟凭着技术和熟人人脉大多都可以单枪匹马闯「江湖」。

对于从事人脸识别认证黑产的工作室而言,如果要保证业务经营正常,需要掌握两项门道。一是拥有过硬的过人脸认证技术,制作动作脚本的能力;二是有靠谱的「料库」,使用一手的身份证、上半身图片等等。

行内经常强调采用高质量「料子」,即没有重复使用的高清正面大头照、手持身份证半身照和身份证正反照,采用这种料子通过动态人脸识别的成功率较高。

而反复使用的「料子」,人脸认证系统会在识别时进行拦截,通过动态人脸识别的成功几率极低。

这个行业之所以能够成为黑产,因为从上游需求方到下游的资源提供方,都在灰色地带游走。

罗江很清楚自己能做什么,不能做什么。他经常提醒带过的徒弟,「管好自己就行,违法的事情干不长久」。

作为老手,罗江也逐渐摸透这个行业的特点,能做的好项目断断续续,只要过人脸的需求一直存在,就没有赚不到钱的生意。

「有些项目人家一升级,一升级就得等着,有时候还做不来。有的项目做不了也不用着急,那就等一等,做其他项目,能做就没有绝对赚不到的钱。」

据前瞻产业研究院数据显示,全球人脸识别技术行业市场规模为 23.91 亿美元。整体来看,人脸识别技术行业市场规模不断扩大,增速处于高速增长区间。

在国内,人脸识别技术正在大面积广泛推广,更多应用在安防和金融领域,例如学校、机场和银行等。

我们尚不清楚现在开通人脸认证功能的 APP 数量,但从这次调查来看,该类 APP 已经十分广泛,包括社交应用、支付类应用、婚恋网站、陌生人社交平台、网约车等等。

而与此同时,国内对人脸识别技术使用涉及的隐私问题并不乐观,尤其是对人脸识别数据及个人隐私信息的保护。目前我国并未针对人脸识别作出立法,对人脸识别数据的保护,也更多通过对公民信息和个人隐私的相关保护制度进行。

人脸识别技术在多行业、多终端应用的趋势已经不可逆转,但在不可估量的风险危机到来之前,落地应用这道门应该由谁来把守已经成为亟待解决的问题。

注:罗江和小点均为化名。
产业数据隐私身份认证人脸识别
1
相关数据
华为机构

华为创立于1987年,是全球领先的ICT(信息与通信)基础设施和智能终端提供商,致力于把数字世界带入每个人、每个家庭、每个组织,构建万物互联的智能世界。目前华为有19.4万员工,业务遍及170多个国家和地区,服务30多亿人口。

https://www.huawei.com/cn/
人工智能技术

在学术研究领域,人工智能通常指能够感知周围环境并采取行动以实现最优的可能结果的智能体(intelligent agent)

人脸识别技术

广义的人脸识别实际包括构建人脸识别系统的一系列相关技术,包括人脸图像采集、人脸定位、人脸识别预处理、身份确认以及身份查找等;而狭义的人脸识别特指通过人脸进行身份确认或者身份查找的技术或系统。 人脸识别是一项热门的计算机技术研究领域,它属于生物特征识别技术,是对生物体(一般特指人)本身的生物特征来区分生物体个体。

机器之心机构

机器之心,成立于2014年,是国内最具影响力、最专业、唯一用于国际品牌的人工智能信息服务与产业服务平台。目前机器之心已经建立起涵盖媒体、数据、活动、研究及咨询、线下物理空间于一体的业务体系,为各类人工智能从业者提供综合信息服务和产业服务。

https://www.jiqizhixin.com/
小米机构

小米公司正式成立于2010年4月,是一家专注于智能手机自主研发的移动互联网公司,定位于高性能发烧手机。小米手机、MIUI、米聊是小米公司旗下三大核心业务。“为发烧而生”是小米的产品理念。小米公司首创了用互联网模式开发手机操作系统、发烧友参与开发改进的模式。2018年7月,工业和信息化部向与中国联合网络通信集团有限公司首批签约的15家企业发放了经营许可证,批准其经营移动通信转售业务,其中包括:小米科技有限责任公司。 2018年7月9日,正式登陆香港交易所主板 。

https://www.mi.com/
人脸验证技术

面部验证是将候选面部与另一面部进行比较并验证其是否匹配的任务。这是一对一的映射:必须检查这个人是否是正确的。

暂无评论
暂无评论~