圖片來源:攝圖網
當周娟看到「自己」的動態視頻時,驚訝到張大了嘴巴。這張「人臉」和自己確有幾分相似,會做出大笑、搖頭、張嘴等各種動作,屏幕上的人臉和背景明顯是合成的,看起來不太協調。
民警告訴她,就是這個「人臉視頻」騙過了某社交帳號上的人臉識別系統,讓她帳號里的錢不翼而飛……
5000元不翼而飛
家住浙江省杭州市上城區的周娟夫婦經營著一家早餐店。因店鋪靠近學校,生意一直不錯。雖然店裡非常忙,但周娟夫婦堅持讓兒子樂樂待在自己身邊,不讓他單獨一人在家。
3年前,夫妻倆對樂樂的看管並沒有現在這麼嚴。但自從發生「帳號」事件後,周娟夫婦意識到,樂樂雖然懂事聽話,但終究還是個孩子,需要父母更用心地監管,他們不能掉以輕心。
2020年暑假,樂樂突然迷上了一款遊戲,他沒有手機,就常用周娟的手機玩遊戲。因為他是未成年人,遊戲帳號填寫的是周娟的身份信息。這個遊戲可以用某社交平台帳號直接登錄,因此樂樂就用媽媽的該社交帳號登錄。
8月7日,周娟看到樂樂拿著自己的手機打遊戲,覺得樂樂的暑假作業已完成得差不多了,就沒管他。8月8日早晨,周娟打開社交軟體,發現平台一直提示密碼錯誤,無法登錄。她趕緊凍結帳號,然後進行帳號找回操作,經過一番周折,才重新登錄了帳號。
誰知登錄後,11條轉帳消息立刻彈了出來。周娟的心一下子沉了下來。經查發現,當日凌晨1點左右,有人登錄她的帳號進行了11次、每次500元左右的轉帳,一共轉走了5000元。
周娟想起前一天,樂樂一直在打遊戲,馬上把他叫來詢問,樂樂支支吾吾地回答說:「昨天下午玩遊戲時,我為了要免費的遊戲『皮膚』,把媽媽社交平台的帳號密碼告訴了網上認識的朋友。」而樂樂的遊戲登錄帳號和密碼就是媽媽的社交帳號和密碼。
提供帳號、密碼後,樂樂並沒有立即收到遊戲「皮膚」,劉靖告訴樂樂:「你先安心去睡覺吧,『皮膚』需要72小時才能到帳。」樂樂沒多想就去睡覺了。
11歲的樂樂如何能想到,他退出帳號後沒多久,媽媽帳號內錢包里的錢就被盜了。了解了事情的緣由,周娟立即帶著樂樂來到了派出所報案。
同時,警方還接到另外兩名被害人的報案,報案人稱自己的社交帳號登錄不上,凍結帳號後發現帳號內的錢都被轉走,收款人都是一個叫「比熊」的帳號。不僅如此,一名被害人發現不僅帳號內的錢被盜,帳號的好友也全都被刪光。
幾名報案人都想不明白,即使對方知道了自己的帳號和密碼,轉帳也需要人臉識別認證,錢包里的錢為何這麼輕而易舉被轉走呢?警方很快便抓獲了犯罪嫌疑人劉靖和她的兩個朋友——陳叔華和王等。
免費送遊戲「皮膚」
陳叔華和王等是初中同學,均無固定職業。2020年6月,陳叔華說,他通過遊戲群友找到了一個「破人臉」的工作,問兩位朋友要不要一起「清餘額」。
簡單地說,就是三人合夥盜取他人的某社交軟體的帳號和密碼,破解支付人臉識別系統,盜取帳戶內的錢,再把帳號賣掉。這工作聽起來似乎「很容易且來錢還快」,劉靖和王等爽快答應了。
三人很快進行了分工。劉靖負責在各群里騙取社交軟體的帳號密碼,陳叔華負責用AI(Artificial Intelligence,人工智慧)換臉技術破解支付系統的人臉識別系統,等帳號餘額被清空後,再把空帳號轉賣出去;王等則負責接收從各帳號轉走的錢,留下自己應得的,剩下的錢交給陳叔華。
三人商量好「盈利」分配比例,便開始「幹活」。
帳號和密碼騙到後,劉靖就登錄帳號,將帳號密碼和綁定手機號進行修改,帳號就盜竊成功了。
除了騙取他人帳號,劉靖還會通過一些灰色產業鏈非法購買社交帳號。對於這些帳號,他們也是把餘額清空後,再通過灰色產業鏈把帳號賣出去。這些被賣出的「優質」號很可能繼續被投入一些新的黑灰產業鏈,進行電信網絡詐騙等活動。
為了擴大交易,劉靖加了很多「帳號交易」群。因為買賣社交軟體帳號涉嫌違規,他們一般都會用「火星文」交流,即將買賣資訊化稱為簡單的字母或者數字符號。
「一般人不會搜索這些奇怪的字符,能看懂的都是了解灰色產業鏈交易的人。」協助辦理案件的杭州市上城區檢察院檢察官助理姚騏告訴《方圓》記者。
收購者購買這些帳號「代清餘額」,也像開「盲盒」,如果帳號內餘額很多,就賺了,如果沒有餘額,就只能賣掉這個號賺點小錢。空帳號出售的價格高低取決於帳號年限、徵信情況、資金流水、今後可能的用途等因素。
辦案人員從嫌疑人的電腦中查獲了大量其採用非法手段獲取的公民個人信息。(來源:資料圖片)
提供身份證號和姓名就能買到身份照片
獲取被害人社交帳號、密碼後,要想轉走帳號里的錢,那就需要「人臉識別」了。
如何實現「人臉識別」?他們首先需要帳號主人的身份證號碼、姓名等個人信息。劉靖登錄被害人的帳號後,通過帳號進入手機中的某貸款軟體,假稱是被害人需要貸款,填寫申請表後,在申請表底端就會出現被害人的真實姓名和身份證號。
拿到真實姓名和身份證號後,劉靖再將被害人的身份證號、帳號提供給另外一販賣個人信息的灰色產業鏈,通過該灰色產業鏈獲取到被害人的身份證照片,再將照片中的一寸脫帽照截圖下來。
據了解,這類販賣個人信息的產業鏈有著完整的資料庫,只要提供身份證號和姓名,就能買到對應的身份證照片,而每張價格僅為25元到30元。
有了身份證照片後,劉靖提取到照片上的一寸脫帽照,將照片交給陳叔華。由陳叔華製作出AI換臉視頻破解支付系統的人臉識別功能。
首先,他們在網上下載一款圖像清晰化軟體,通過電子技術提高照片的清晰度,隨後又利用另外一款軟體將清晰度翻新的照片變成一段視頻。
隨後,他再將這段視頻用於支付系統的人臉識別檢測。為了使畫面更加逼真,陳叔華還利用摳圖軟體,把身份證照片中的白底背景改成了生活場景,營造出真實感。
目前,辦案人員還在追查關於販賣個人信息黑灰產業鏈的相關信息。
承辦本案的檢察官姚瑤說:「這些照片涉及出售公民個人信息的相關灰色產業鏈,這類產業鏈與公民個人信息的泄露可能有著直接的關係,但這些類案件涉及的相關灰色產業鏈很多都與電信網絡詐騙有關,源頭大都在國外,追查起來有一定難度。」
花1.8萬元購買的「破人臉」技術
陳叔華的「破人臉」技術,是他花1.8萬元在網上買的。
用這種方式製作的AI換臉視頻不是每次都能成功通過檢測的,有時候因為「換臉」時「張嘴」和「眨眼」的動作顛倒了,導致無法破解支付系統;有時還會因為圖片清晰度不夠,不符合人臉識別的要求。在這種情況下,陳叔華就會放棄,直接把這個社交帳號轉手賣掉算了。
陳叔華的AI換臉視頻做好後,劉靖就用該視頻破解支付系統,盜竊錢款。在登錄社交帳號前,他們也不知道該帳號里有沒有錢,有些帳號沒有餘額,他就會轉手把帳號賣掉。
完成這一系列清帳號餘額的流程必須迅速,且一般都在深夜完成。因為被害人通常不會在深夜登錄帳號,此時完成盜竊會比較順利。一旦被害人發現異常,帳號被凍結,將很難成功。
做完這一系列動作,王等就把被害人的帳號刪去,不留痕跡。三人合作了半個月,一共盜竊了3萬餘元,直到周娟報警他們被抓。
2021年11月30日,上城區檢察院以涉嫌盜竊罪對三人提起公訴。12月22日,上城區法院對該案作出判決,以盜竊罪判處陳叔華有期徒刑十個月,緩刑一年二個月,並處罰金2000元;以盜竊罪判處王等有期徒刑八個月,緩刑一年,並處罰金1000元;以盜竊罪判處劉靖有期徒刑七個月,緩刑一年,並處罰金1000元。
深挖背後的「深度偽造」技術
盜竊案至此也許可以告一段落,但是檢察官認為此事顯然沒那麼簡單。辦案過程中,上城區檢察院檢察技術人員邵日強就從嫌疑人手機中提取到了大量數據、材料,其中包括多個教授他人如何實施犯罪的視頻,大量買賣社交帳號的聊天記錄。
檢察技術人員說,儘管從刑事角度看,該案僅是一起簡單的盜竊案,但從提取到的視頻及聊天記錄來看,本案犯罪核心技術是deepfake(深度偽造)。通過證據分析他們發現,嫌疑人實施的作案手段是一個完整的犯罪鏈條,包括獲取被害人身份信息以及結合軟體偽造人臉識別視頻等多環節。
檢察機關根據分析出來的新證據材料,對嫌疑人進行了再次提審,將訊問角度放在技術層面,又找到了新突破點。
2022年2月,上城區檢察院就該案能否挖掘上游(電視劇)犯罪的相關線索召開了復盤會,將數據重新做精細化篩選。上城區檢察院認為,本案不只是小額盜竊案,現已提取到嫌疑人販賣公民個人信息、傳授犯罪方法、幫助信息網絡犯罪等多個犯罪線索,應當繼續追查。
於是,上城區檢察院重新出具了《線索移送函》,引導公安機關繼續深挖本案相關的非法產業鏈,目前還在繼續辦理中。
邵日強告訴《方圓》記者:「此案反映出兩個問題。第一,公民個人信息使用需要規範,嫌疑人通過某貸款軟體的身份信息進而獲取到該號照片,網際網路營運者濫用公民個人信息問題需重視。第二,人臉識別的安全性也需要重視和規範,技術安全性與身份認證場景應做分級,尤其是支付領域的應用場景應用應更為謹慎。」
