撰文 |徐丹、力琴

編輯 |四月

近日，裁判文書網(wǎng)公布一起「黑客」入侵廈門銀行手機銀行 App，利用虛假身份開戶的案件。兩名犯罪分子，分別為00后的田世紀和95后的張宇男，其中2000年出生、職業(yè)學院休學的河南男孩攻破了廈門銀行 App 的人臉識別系統(tǒng)，進而使用虛假身份信息多個賬戶并倒賣牟利。

田世紀通過抓包技術(shù)攻破了廈門銀行 App人臉識別系統(tǒng)，使用虛假身份信息注冊了多個賬戶并倒賣牟利，獲刑三年。張宇男為田世紀的買家之一，低價購買田世紀以虛假身份騙領(lǐng)的銀行賬戶，再加價售出，并向其他人出售以假身份騙取銀行賬戶的手段，從中牟利。

一 「00后」攻破銀行人臉識別系統(tǒng)

據(jù)判決書，被告人田世紀2000年1月出生，初中文化，無業(yè)，戶籍地河南夏邑縣。

2019年1月5日至15日期間，田世紀通過軟件抓包、PS 身份證等非法手段，在廈門銀行手機銀行 APP 內(nèi)使用虛假身份信息注冊銀行Ⅱ、Ⅲ類賬戶，成功注冊廈門銀行Ⅱ類賬戶76個，并通過網(wǎng)絡(luò)售賣賺取22010元。

銀行Ⅱ、Ⅲ類賬戶區(qū)別于Ⅰ類賬戶，后者為全功能賬戶，前者為虛擬的電子賬戶，在Ⅰ類賬戶的基礎(chǔ)上功能遞減。

據(jù)田世紀的辯護律師稱，田世紀此前在 QQ 群看到有利用漏洞辦理銀行Ⅱ、Ⅲ類賬戶的情況，下載了多家商業(yè)銀行 App 嘗試，并通過其本人真實信息辦理了兩三張廈門銀行Ⅱ、Ⅲ類賬戶熟悉流程，后通過網(wǎng)絡(luò)學習抓包原理，偶然發(fā)現(xiàn)廈門銀行 App 存在漏洞，通過替換信息的方式可以開設(shè)賬戶。

具體來看，田世紀在用銀行 App 注冊賬戶的過程中，先輸入本人身份信息，待進行人臉識別步驟時，利用軟件抓包技術(shù)將銀行系統(tǒng)下發(fā)的人臉識別身份認證數(shù)據(jù)包進行攔截并保存。

隨后在輸入開卡密碼步驟時，田世紀將 App 返回到第一步，即上傳身份證照片，輸入偽造的身份信息，并再次進入到人臉識別步驟。

此時，其上傳此前攔截下來的包含其本人的身份信息數(shù)據(jù)包，使系統(tǒng)誤以為要比對其本人的身份信息，遂使用其本人人臉通過銀行系統(tǒng)人臉識別比對，成功利用虛假身份信息注冊銀行賬戶。

通過上述方法，田世紀成功注冊廈門銀行Ⅱ類賬戶76個，并通過網(wǎng)絡(luò)售賣賺取22010元。田世紀的行為導致廈門銀行從2019年1月18日至今一直關(guān)閉手機銀行 App 中Ⅱ類、Ⅲ類賬戶開戶鏈接功能。

張宇男為田世紀的買家之一，低價購買田世紀以虛假身份騙領(lǐng)的銀行賬戶，再加價售出，并向其他人出售以假身份騙取銀行賬戶的手段，從中牟利。

隨后，廈門銀行從2019年1月18日至今一直關(guān)閉手機銀行 App 中Ⅱ類、Ⅲ類賬戶開戶鏈接功能。田世紀因非法獲取計算機信息系統(tǒng)罪，被判處有期徒刑三年，并處罰金一萬元。張宇男具有坦白從輕處罰情節(jié)，被判處有期徒七個月，并處罰金五千元。

據(jù)判決書，被入侵的并不止廈門銀行。2019年2月，張宇男向他人學習軟件抓包技術(shù)，在多家銀行嘗試注冊Ⅱ、Ⅲ類賬戶，先后嘗試過建設(shè)銀行 App、廈門銀行 App、浦發(fā)銀行極速開戶網(wǎng)頁，并以1888元雇請他人利用上述抓包技術(shù)，在建設(shè)銀行系統(tǒng)內(nèi)成功注冊12個Ⅱ、Ⅲ類賬戶。

該事件可概述為一起「黑客」攻破廈門銀行 App人臉識別系統(tǒng)事件。實際上，據(jù)判決書顯示，田世紀所利用的抓包技術(shù)并不稀奇，算不上是「高科技」。抓包就是將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作，也用來檢查網(wǎng)絡(luò)安全。抓包通常被用來進行數(shù)據(jù)截取等。

二 「抓包」繞過系統(tǒng)審核 銀行安全問題存疑

作為「抓包技術(shù)」并不是新技術(shù)，上述案件只是將抓包技術(shù)應(yīng)用在人臉識別場景中。

相較于3D 人臉動態(tài)圖技術(shù)，抓包技術(shù)的難度更低，關(guān)鍵在于切入的角度。在上述案件中，銀行在內(nèi)部管理流程上，對交付產(chǎn)品進行的測試和驗證環(huán)節(jié)仍待完善。

據(jù)財新報道分析，出現(xiàn)上述案件的原因在于未對人臉身份和提交的身份信息做校驗。通常情況下網(wǎng)絡(luò)安全人員會默認客戶端提交的信息是需要嚴格校驗、充分測試的，但測試是相對復(fù)雜的工程，上述案件中銀行可能未考慮到抓包替換的路徑問題。

名為「金融科技人」微信公眾號表示，通過復(fù)盤上述黑客的利用過程，如果這個關(guān)聯(lián)字段是戶名和身份證號的變形值的話，恰恰契合了黑客的利用過程，黑客就可以通過替換這個關(guān)聯(lián)字段，利用偽造的身份信息+黑客的人臉信息實現(xiàn)冒名開戶。

名為「一個數(shù)據(jù)玩家的自我修養(yǎng)」微信公眾號談到了整個驗證交易環(huán)節(jié)中存在的三個漏洞：交易流程設(shè)計缺陷、是否進行五要素驗證、未能防止重放攻擊。

他談到，在交易流程中，人臉識別通常應(yīng)該放在最后一步，因為這一步成本最高，失敗率最高，客戶體驗最差，而在該案例中人臉識別以后還有輸入交易密碼。

此外，央行302號文件針對Ⅱ/Ⅲ類賬戶開立，變更和撤銷等環(huán)節(jié)進行了明確說明。

1）通過電子渠道開立Ⅱ類戶，必須綁定自己的Ⅰ類戶或信用卡賬戶。需要進行五要素認證即：姓名，身份證號，手機號，綁定賬戶賬號和綁定賬戶是否為Ⅰ類戶或信用卡賬戶。

2）通過電子渠道開立Ⅲ類戶，對綁定的賬戶要進行四要素認證即：姓名，身份證號，手機號和綁定賬戶賬號。

在該案件中，如果進行了五要素驗證，則必須用受害者的身份開一張 I 類卡，而且預(yù)留受害者本人的手機號，那么攻擊成本將會大大增加。

最后，銀行也未能有效防止重放攻擊。所謂重放攻擊，是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程，破壞認證的正確性。

總結(jié)

以上是生活随笔為你收集整理的00后攻破厦门银行人脸识别系统，伪造76个假账户的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。