一位 00 后电脑控钻了「手机银行」的空子,钻研出一套「偷梁换柱」之计,以虚假身份骗取银行账户,并通过网络售卖赚取 2 万多元。
这一「偷梁换柱」之计算不上高级,俗称抓包技术,将银行系统下发的人脸识别身份认证数据包进行拦截并保存,使用自己的人脸识别身份认证数据包换掉虚假身份的人脸识别身份认证数据包,然后使用本人的脸完成人脸识别比对。与利用 3D 人脸识别通过「活体」人脸识别相比,可谓是「雕虫小技」。
该案件不仅暴露出手机银行在功能设计、校验等方面缺乏严谨性,尤其在银行Ⅱ、Ⅲ类户开户背后存在明显风险;而且也牵出对人脸识别缺乏重视背后隐藏的安全隐患。
撰文 | 徐丹、力琴
编辑 | 四月
近日,裁判文书网公布一起「黑客」入侵厦门银行手机银行 App,利用虚假身份开户的案件。两名犯罪分子,分别为 00 后的田世纪和 95 后的张宇男,其中 2000 年出生、职业学院休学的河南男孩攻破了厦门银行 App 的人脸识别系统,进而使用虚假身份信息多个账户并倒卖牟利。
田世纪通过抓包技术攻破了厦门银行 App 人脸识别系统,使用虚假身份信息注册了多个账户并倒卖牟利,获刑三年。张宇男为田世纪的买家之一,低价购买田世纪以虚假身份骗领的银行账户,再加价售出,并向其他人出售以假身份骗取银行账户的手段,从中牟利。
一 「00 后」攻破银行人脸识别系统
据判决书,被告人田世纪 2000 年 1 月出生,初中文化,无业,户籍地河南夏邑县。
2019 年 1 月 5 日至 15 日期间,田世纪通过软件抓包、PS 身份证等非法手段,在厦门银行手机银行 APP 内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户,成功注册厦门银行Ⅱ类账户 76 个,并通过网络售卖赚取 22010 元。
银行Ⅱ、Ⅲ类账户区别于Ⅰ类账户,后者为全功能账户,前者为虚拟的电子账户,在Ⅰ类账户的基础上功能递减。
据田世纪的辩护律师称,田世纪此前在 QQ 群看到有利用漏洞办理银行Ⅱ、Ⅲ类账户的情况,下载了多家商业银行 App 尝试,并通过其本人真实信息办理了两三张厦门银行Ⅱ、Ⅲ类账户熟悉流程,后通过网络学习抓包原理,偶然发现厦门银行 App 存在漏洞,通过替换信息的方式可以开设账户。
具体来看,田世纪在用银行 App 注册账户的过程中,先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。
随后在输入开卡密码步骤时,田世纪将 App 返回到第一步,即上传身份证照片,输入伪造的身份信息,并再次进入到人脸识别步骤。
此时,其上传此前拦截下来的包含其本人的身份信息数据包,使系统误以为要比对其本人的身份信息,遂使用其本人人脸通过银行系统人脸识别比对,成功利用虚假身份信息注册银行账户。
通过上述方法,田世纪成功注册厦门银行Ⅱ类账户 76 个,并通过网络售卖赚取 22010 元。田世纪的行为导致厦门银行从 2019 年 1 月 18 日至今一直关闭手机银行 App 中Ⅱ类、Ⅲ类账户开户链接功能。
张宇男为田世纪的买家之一,低价购买田世纪以虚假身份骗领的银行账户,再加价售出,并向其他人出售以假身份骗取银行账户的手段,从中牟利。
随后,厦门银行从 2019 年 1 月 18 日至今一直关闭手机银行 App 中Ⅱ类、Ⅲ类账户开户链接功能。田世纪因非法获取计算机信息系统罪,被判处有期徒刑三年,并处罚金一万元。张宇男具有坦白从轻处罚情节,被判处有期徒七个月,并处罚金五千元。
据判决书,被入侵的并不止厦门银行。2019 年 2 月,张宇男向他人学习软件抓包技术,在多家银行尝试注册Ⅱ、Ⅲ类账户,先后尝试过建设银行 App、厦门银行 App、浦发银行极速开户网页,并以 1888 元雇请他人利用上述抓包技术,在建设银行系统内成功注册 12 个Ⅱ、Ⅲ类账户。
该事件可概述为一起「黑客」攻破厦门银行 App 人脸识别系统事件。实际上,据判决书显示,田世纪所利用的抓包技术并不稀奇,算不上是「高科技」。抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包通常被用来进行数据截取等。
二 「抓包」绕过系统审核 银行安全问题存疑
作为「抓包技术」并不是新技术,上述案件只是将抓包技术应用在人脸识别场景中。
相较于 3D 人脸动态图技术,抓包技术的难度更低,关键在于切入的角度。在上述案件中,银行在内部管理流程上,对交付产品进行的测试和验证环节仍待完善。
据财新报道分析,出现上述案件的原因在于未对人脸身份和提交的身份信息做校验。通常情况下网络安全人员会默认客户端提交的信息是需要严格校验、充分测试的,但测试是相对复杂的工程,上述案件中银行可能未考虑到抓包替换的路径问题。
名为「金融科技人」微信公众号表示,通过复盘上述黑客的利用过程,如果这个关联字段是户名和身份证号的变形值的话,恰恰契合了黑客的利用过程,黑客就可以通过替换这个关联字段,利用伪造的身份信息+黑客的人脸信息实现冒名开户。
名为「一个数据玩家的自我修养」微信公众号谈到了整个验证交易环节中存在的三个漏洞:交易流程设计缺陷、是否进行五要素验证、未能防止重放攻击。
他谈到,在交易流程中,人脸识别通常应该放在最后一步,因为这一步成本最高,失败率最高,客户体验最差,而在该案例中人脸识别以后还有输入交易密码。
此外,央行 302 号文件针对Ⅱ/Ⅲ类账户开立,变更和撤销等环节进行了明确说明。
1)通过电子渠道开立Ⅱ类户,必须绑定自己的Ⅰ类户或信用卡账户。需要进行五要素认证即:姓名,身份证号,手机号,绑定账户账号和绑定账户是否为Ⅰ类户或信用卡账户。
2)通过电子渠道开立Ⅲ类户,对绑定的账户要进行四要素认证即:姓名,身份证号,手机号和绑定账户账号。
在该案件中,如果进行了五要素验证,则必须用受害者的身份开一张 I 类卡,而且预留受害者本人的手机号,那么攻击成本将会大大增加。
最后,银行也未能有效防止重放攻击。所谓重放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
在该案件中,田世纪使用的作案手法并不是像一般犯罪分子一样用技术手段攻破 3D 人脸识别系统,只是用自己的人脸识别身份认证数据包换掉虚假身份的人脸识别身份认证数据包,然后使用本人的脸完成人脸识别比对。以一种「偷梁换柱」的方式绕过系统的审核。
近几年,人脸识别认证应用在互联网市场得到大规模的应用与推广,除了此次案件所涉的手机银行应用外,市面上绝大多数的支付类应用、社交类、婚恋类等应用都要求进行人脸识别生物认证,以提高账户安全级别。
但是目前国内对人脸识别所涉及的隐私问题、技术问题缺乏重视,相关应用在功能设计、校验等方面缺乏严谨性,也容易给「钻空子」的人留下可乘之机。
