天创培训:您身边的信息安全培训专家!
行业动态
安全专家:生物识别信息尽量不要在网络上传输和后台上存储

  4月24日-25日,由北京移动金融产业联盟、移动支付网主办的2019第三届中国移动金融发展大会在北京举办。中国金融认证中心(CFCA)业务部助理总经理、电子认证与移动端身份认证技术专家张翼在会上表示,不少诈骗者捏造事实,以骗取用户的信任加以实施诈骗,这种诈骗方式的防范措施是接通话或者视频交流来辨别对方身份的真伪,但AI则可能轻易突破该防范措施。


  犯罪分子也有面临降低“成本”、增加“利润”问题


  随着个人信息泄露事件的频繁发生,各种各样的欺诈行为和欺诈场景也层出不穷。张翼表示,对于攻击者来说,“炫技”已经不是主流,牟利才是关键。他进一步解释道,犯罪分子或者犯罪集团,其实也相当于“运营”了一个“企业”,甚至是一个产业,比如说“网络犯罪黑色产业链”,其实他们一样也面临着降低“成本”、增加“利润”、降低“风险”的问题。


  据张翼介绍,目前攻击手段主要可以分为几类,一是非接触式、诱导被害人主动操作。在早先的电信诈骗案件中,诈骗者通过文本信息捏造事实,骗取用户的信任以实施下一步诈骗手段,防范手段往往是要求直接通话或者视频交流来辨别对方身份的真伪,但是目前AI则可能轻易突破该防范手段。张翼举例称,比如说诈骗者自称是某某,以需要用钱让用户转账,如今可以通过AI模拟,用高精技术做出人脸模型以骗取用户的信任。


  张翼指出,另一种攻击手段是非接触式、通过已有数据主动攻击被害者。不法分子洗号或者是通过黑产数据直接尝试破解现在的账号,这种攻击手段对技术确实有一定的要求,它的成本是高于“非接触式、诱导被害人主动操作”手段,但收益也非常高。


  “还有接触式攻击,这种攻击手段需跟用户有一定接触,比如不法分子将用户的手机偷走后,通过手机的支付软件、银行软件等直接转账”,张翼强调,攻击手段还有多次接触式攻击,比如不法分子先偷窃手机,root手机,安装破解工具,将手机还回去,机主操作手机后,不法分子再次窃取手机等。


  生物识别信息存储在用户侧本地比服务器更安全


  张翼指出,攻击者更倾向于使用非接触式攻击,因为其成本低、效率高,对技术的要求相对较低。接触式攻击虽然也有简单高效的模式,但是总体上很难大范围使用。


  “一个人的数据,可能包括身份信息、电话、银行卡、住址、消费情况等,进入了黑产之后,可能会被多次售卖。当售卖给攻击者时,就可以进行非接触式攻击;售卖给某些商户,就可以此来推销、销售,还有部分数据可以洗白、公开售卖”,张翼表示。


  如何提高移动端的安全?张翼强调,使用更强有力的手段来应对非接触式攻击,特别是是设备强的相关技术;同时,生物识别信息存储在用户侧本地比存储在服务器更有安全性。


  张翼解释道,生物识别信息尽量不要在网络上传输和后台上存储,这样可以提高它的安全性,如果攻击者想要拿到用户的数据可能需要接触才能拿到,难度程度非常大。不过,他也认为,单项技术实际上已经无法满足新技术趋势下的企业需求,需要在事前、事中、事后进行全流程防护。