央視“315”晚會曝光了人臉識別領域的安全風險之后，一時間引起廣泛關注。其實，繞過人臉識別策略的黑產自去年就開始出現。

　　2016年12月，騰訊守護者計劃安全團隊協助湖北公安搗毀一專門販賣公民身份證、動態認證視頻（抬頭、低頭、眨眨眼睛、讀一段文字）的團伙，共計抓獲犯罪嫌疑人14人，扣押贓款300余萬元，查獲的身份證相片及認證用視頻高達1800G，粗略計算超過50000人的身份信息被完全曝光。

　　這些信息不僅包括身份證正反面、還有手持自拍、側拍、拿報紙拍，更為神奇還有抬頭、點頭、左轉、右轉、讀文字的錄像。最令人擔憂的是，上述環節黑產人員都可以通過自動化生成，成本頗低。

　　下面，來看看這樣的網絡黑產究竟是怎樣作案的。

　　一、那些行業需要實名認證

　　《人民郵電報》官方微信發文稱，工信部近日下發通知，要求各基礎電信企業確保在2016年12月 31日前本企業全部電話用戶實名率達到95%以上，2017年6月30日前全部電話用戶實現實名登記。此為“史上最嚴電話實名制”。

　　寄快遞要實名制登記，支付寶、微信要實名制登記，網絡主播要實名制登記；更別提網絡貸款、遠程開戶、坐火車飛機，這一系列的行業都需要實名制。身份證和遠程視頻（俗稱刷臉）是這一些實名的核心之一，有人要實名就一定有人不想實名，黑產就這么誕生服務于龐大的市場。

　　一張包括正反面信息的身份證相片，只需50-100塊錢。一張人證一致的手持身份證相片，也只需要100-200元。如果想注冊企業賬號，你可以再花上800-1000元，就能給你出一整套的企業五證，拿去申請注冊企業賬號，或是申請個網店去搞點偷雞摸狗的勾當，效果都是有杠杠的。

　　以下是調研市場后的行情：

　?。ㄒ唬┳跃W店

　　一個實名認證成功的淘寶網店的黑市價格，個人注冊通過一審的店鋪可以賣300元，而個人注冊通過二審的店鋪可以賣800元，企業認證店鋪更貴，可以賣到1300元。這些被專門注冊用來販賣的淘寶網店。還有支付寶賬號，如果想升級到V2，也必須通過動態視頻來進行身份核查認證。但這一切，都能夠被黑產團伙制作出的動態視頻輕松搞定。

　?。ǘ┥暾埦W貸賬號

　　許多網貸平臺為追求效率和用戶體驗，往往只需要在網上提交資料進行身份信息審核，能夠在一天甚至更短的時間內完成審核及放貸，平臺的很多風控措施在這些黑產團伙面前都能夠繞過。而通過冒用他人身份在網貸平臺惡意騙貸一直是該行業的暗瘡。

　?。ㄈ?a href="http://www.johngarrisbuilder.com/search/result.shtml?siteID=123&query=第三方支付" target="_blank" title="第三方支付" class="hotLink" >第三方支付平臺身份認證

　　用虛假身份來進行第三方平臺的賬號并進行實名認證，這些賬號，無論是自用，還是在黑市上出售，其使用的目的都不會太正經。

　?。ㄋ模┵~號進行解凍或申訴

　　黑產人員所用的網店或第三方支付平臺賬號，多數并非本人實名申請的，因此一旦命中平臺的風控策略被凍結，就必須按要求提供注冊人本人的身份資料去解封。而這時，通過黑產人員制作一套注冊人的身份資料是最安全和快捷的辦法。

　　二、量產的身份證

　　作為企業風控人員，如果覺得跑腿找大爺大媽買賣身份證、住址、年齡、營業執照、轉賬憑證、銀行流水等的成本挺高，黑產規模不大，那就是鴕鳥心態了。

　　在PS面前，不僅可以隨意制作各類用于賬號身份審核的身份證相片、營業執照、銀行流水單等身份證明資料，還能將一張靜態的相片，制作成動態視頻，從而通過各大網絡支付平臺的動態視頻驗證程序。

　　以湖北警方破獲的案件為例，只需提供一個身份證號碼，就能PS出一整套仿真度極高的身份證相片、手持身份證相片及指定手持各種報紙的相片。全套資料專用于各大平臺的實名注冊認證。

　　在PS面前，這些身份證或手持身份證的可信度基本為零，不僅可以隨意變換相片中的姓名、住址、身份證號碼等信息。就算是把整個身份證換個臉也是很輕松的事情。同一張臉，不同身份，或是同一個身份，不同的臉。你需要什么都能給你P出來。

　　黑產的威力遠不止如此，不光靜態的身份證認證已經被攻破，連動態的在線人像視頻認證，也已經被輕松搞定。

　　三、動態視頻認證——會說話的照片

　　一些B2C平臺、第三方支付平臺或各類網貸平臺，為了提高申請賬號真實性，除了需要在線提交手持身份證復印件進行身份驗證之外等，在用戶在進行一些高危操作或提升更高權限前，往往還需要進行真人視頻驗證。

　　這種真人視頻驗證有兩種：

　　一種是有平臺或企業工作人員在線進行一對一的視頻驗證。但這種視頻認證占用人力資源較高，效率低，所以通常只是銀行或證券行業使用。各類網絡平臺，因視頻驗證的量級大。

　　另一種是采用機器算法自動識別的非人工驗證方式，來完成動態視頻的驗證過程。

　　目前比較常見的機器審核的視頻驗證方式通常有三種：

　?。ㄒ唬┡c開戶開啟在線視頻之后，隨機要求用戶按指令作出四個指定動作，如點頭、搖頭、眨眼、張嘴；

　?。ǘ┰陂_啟在線視頻之后中，系統隨機生成一個四位數字，讓認證用戶口述念出；

　?。ㄈ┻@種驗證方式更加復雜，通常用于網貸類平臺，會要求用戶手持身份證件，指念出自己的姓名、身份證號或貸款合同條款等字句。但這些視頻驗證方式，只要不是人工一對一審核，就都有可能被軟件制作出來的虛假認證視頻給繞過。

　　四、制作動態視頻認證產業

　　真相遠比想象中要簡單得多，找到一張與賬號注冊者身份一致的大頭照或是手持身份證的高清照，再加一個Crazytalk軟件足矣。

　　用上面的工具，繞過動態視頻驗證，只需三步：

　?。ㄒ唬┱业揭粋€賬號注冊人的大頭照。這個并不難，在網上找個信息查詢商，提供一個身份證號碼，再花上幾十塊錢，就能很快查到與這個身份證號相關的戶籍資料；

　?。ǘ┯肅razytalk軟件將拿到的大頭照或身份證相片，圈定人臉的輪廓、眼睛、鼻子、嘴角、牙齒等等參數；導入到軟件中便可生成初步的信息，但這些都動態無聲音、無背景音的；

　?。ㄈ┮罁煌脚_驗證的方式不一，制作出的視頻要求也不一樣。有的是報一串隨時的數字，有的是念一長句話，還有的是點頭、搖頭、眨眼、張嘴等表情；

　?。ㄋ模┳詈笠徊骄褪球炞C了，用手機打開驗證頁面接通在線視頻，把視頻對著電腦屏幕，你驗證要我做嘛動作，我就在電腦屏幕上播放嘛動作，簡單嗎？真的就這么簡單。

　　也許你會問，視頻認證的要求播報的數字是隨機的，那提前做好的動態視頻認證怎么會知道？確實這是個關鍵點，無孔不入的黑產人員早就已經發現了這里的BUG了。

　　因為目前多數平臺的在線視頻驗證體系中，并沒有設置時效上的要求。也就是說，我可以先打開在線視頻認證界面，獲取到系統要求我念出的隨機數字，只要驗證的頁面不關，這串數字就不會變。然后黑產人員就可以拿著這串數字去從容的找人做動態視頻了。

　　一套動態視頻的制作時間，也就一兩個小時。至于點頭、搖頭、眨眼、張嘴等動作，則只要提前把一個相片的四個動作全部做成視頻就好了，你需要我做哪一個動作，我就播放哪一個給你看，就這么簡單。這樣一整套的動態認證視頻，制作周期只要1-2個小時，而收費則高達500到1000元。

　　五、買PS的身份證是否涉及違法

　　購買了身份證、幫別人PS或者制作了一個視頻看似只是做了一些微小的工作，但卻已經涉嫌偽造、變造身份證罪。

　　本罪是行為犯，只要行為人實施了偽造、變造居民身份證的行為，原則上就構成犯罪，應當立案追究刑事責任。刑法第二百八十條第三款偽造、變造居民身份證的，處三年以下有期徒刑、拘役、管制或者剝奪政治權利;情節嚴重的，處三年以上七年以下有期徒刑。

責任編輯：韓希宇