经济观察网记者胡群“在‘我要给你卡里转账，你可以发给我朋友，我微信限制转账’的情况下，我们还是需要在和对方视频核实是我之后再谨慎。”2月17日，北京某高校老师在朋友圈说。凌晨，她的一个朋友让她帮忙通过微信转账。她打通了对方的微信视频进行验证，在视频中看到了熟悉的面孔，但对方没有说话就匆匆关闭了视频通话。

“我当时就知道他的微信号被盗了，但他并没有上当，但还是有朋友用这种方式被骗走了14000块。”她告诉经济观察网，骗子通过微信向他人提出上述帮助转账要求，受害人进行视频审核，接受骗子转账的6000元，帮其转账。但当天下午，骗子以急需用钱为借口向受害人借了14000元，直到晚上才发现被骗。

视频验证都是熟悉的面孔，为什么还是被骗？

“身份验证的潜在安全风险给金融行业资产带来了不确定性，攻击和伪造案件的日益多样化给AI技术安全带来了巨大挑战，如空照片挖洞、3D掩膜、深度伪造、语音合成、语音拼接等。，这些都是针对不同攻击的紧急有效的防伪能力。”中关村金科AI安全攻防实验室主任岳峰在接受经济观察网采访时表示，由于深度学习的发展和Deep Fake(一款备受争议的换脸技术软件)的出现，使得制作“假脸”的门槛大大降低，普通人可以做出一张可能并不存在的脸或者交换人脸，单帧画面可以非常逼真。一般情况下，黑产会用动态处理软件让照片中的人物张嘴转头，然后再用其他软件欺骗系统。通过修改相关数据和设置，将事先做好的动态人脸视频导入App，然后完成认证，再完成整个诈骗过程。

你的脸值多少钱？

移动支付已经成为主流支付方式。中国互联网络信息中心(CNNIC)发布的《2021年9月中国互联网络发展状况统计报告》显示，我国网络支付用户规模达8.72亿，占网民总数的86.3%。

当前疫情防控常态化，使得非接触式认证、无感式认证等身份识别需求激增。人脸识别技术因其方便易用的特点，在金融领域发挥着重要的作用。许多金融应用程序可以通过人脸识别进行支付和转账。指纹、刷脸等生物识别技术已经成为目前常用的移动支付验证方式，使用率已经超过数字密码验证方式。

1月25日，中国银联发布《2021年移动支付安全调查报告》显示，在移动支付验证方式中，指纹、刷脸等生物识别方式识别率最高，其使用率已超过数字密码验证方式。从年龄来看，45岁以上人群偏好密码支付，45岁以下人群偏好指纹、刷脸等生物认证方式，尤其在18-24岁的年轻人中，75%使用生物认证方式，比平均水平高出9个百分点。约30%的受访者使用动态验证码验证身份，其中46-55岁人群中有35%的人比平均水平高出6个百分点。

科技带来便利的同时，也会被一些不法分子利用。人脸识别技术带来的个人信息保护问题日益突出，引起了公众的广泛关注和担忧。岳峰说，在常规的人脸识别技术中，系统只会对采集的视频或图片做基本的质量检查和真实性验证。然而，这种基本的真实性验证技术并不能有效识别人脸的真假。随着伪造攻击工具的进化，有效性将会大大降低。黑产利用照片或视频翻拍达到混淆视听的效果是很常见的。这就导致了一系列的安全问题。

一般情况下，黑产会用动态处理软件让照片中的人物张嘴转头，然后用其他软件骗过系统。当App需要通过摄像头进行人脸验证时，启动“插件”，通过修改相关数据和设置，将事先制作的动态人脸视频导入App，然后完成认证。

2021年6月，国家互联网应急中心描述了人脸识别与认证漏洞的风险:由于部分app在设计过程中存在安全缺陷，攻击者可以用公开获取的用户照片替换活体采集的照片，从而破坏人脸识别与认证机制，登录用户账号，窃取用户敏感信息等。

如果说上述黑产者的诈骗手法还比较初级的话，现在的骗术已经升级了。

“安防行业与黑产在人脸识别领域的攻防博弈经历了多次迭代，从早期的图像层面到中期的应用层面，再到后期的算法层面。金融业和证券公司通过一系列手段有效保护了黑产。但对抗并没有停止，人脸攻防进一步渗透到手机操作系统，给企业防护带来新的挑战。”2月14日，中国工商银行金融科技研究院发布的《2021年互联网金融黑产研究报告》显示，随着人脸识别攻防技术的不断发展和反复博弈，人脸识别的应用场景已经成为黑产对抗的主战场。除了众所周知的照片激活攻击，2021年出现了新的攻击技术，黑产精心设计了人脸欺诈场景，使用了新的攻击技术，使得“刷脸”刷脸再次面临新的挑战。

“仔细听视频通话，脸盗需要防范。”《2021年互联网金融黑产研究报告》显示，黑产从业者通过视频通话窃取受害者面部信息。一般黑产从业者冒充公安机关或银行工作人员，在洗钱、藏毒、贷款违约等案件中对受害人进行恐吓，并要求受害人通过视频通话核实身份。视频通话过程中，黑产者要求受害人完成指定的面部动作，同时开启录屏功能，获取受害人面部信息。与激活软件生成的合成视频相比，视频通话获得的人脸视频是受害人自己完成的人脸识别动作，不存在合成伪造的特征，很难被人脸算法识别。考虑到人脸特征的唯一性，一旦被黑产窃取，将直接导致人脸认证失效，造成资金和财产损失。所以在接视频电话之前，一定要核实对方的身份信息。

网络黑产泛滥

2021年全年，小盾安全共侦破涉黑团伙犯罪案件9381起，单个团伙平均账号在500个左右。一般是专业工作室模式，利用自己的群控设备或者租用云控服务，配合机器修改工具、模拟器、ip代理、代码接收平台、编码平台，完成批量作弊。

《2021年移动支付安全调查与研究报告》显示，因网络诈骗遭受损失的人数比例比2020年有所上升。2021年遭遇过网络诈骗并遭受损失的人数比例比去年上升了6%，达到14%，平均损失1650元，比2020年减少了272元。从年龄上看，00后是移动支付风险的高发人群，银行卡借贷比例高，网络诈骗造成经济损失的比例居首位。中老年人也是遭受诈骗的主要群体，主要集中在四五线城市和各个乡镇村。他们一般不太受科普欢迎，网络直播诈骗是主要渠道，而且金额通常巨大。从职业来看，大学生是网络诈骗的高危人群，近一半的人有使用第三方信用贷款账户的习惯。此外，网店店主、个体户创业者也是网络诈骗受害较多的人群。

“40岁以下的人是主要受害者，老年人诈骗比较少见”。腾讯《2021年电信网络诈骗治理研究报告》显示，从受害者的年龄构成来看，40岁以下的年轻人比例高达79%，50岁以上的受害者比例仅为8%。但随着中国老龄化社会的深入和进程的加快，老年人将成为中国网民中不可忽视的重要组成部分，银发族的网络安全也需要引起重视。

“整个黑色产业链由来已久。从互联网时代开始，我们把黑产的演变分为四个阶段。”小盾安全发布的《2021年业务风控洞察报告》称，现在是蛮荒时代，野蛮生长期，初具规模期，黑海期。

2010年之前，是黑产的狂野时代。在以PC为代表的互联网时代，黑产的主要盈利方式是控制个人电脑作为“肉鸡”，通过DDoS攻击、广告、安装流氓软件等方式实现。这个周期掌握的“肉鸡”数量决定了利润规模的上限。

2013年前后，随着O2O的兴起，随着大量资本的涌入，利用黑产的扩张来吸引新用户，账号的价值凸显。也是在这个时期，围绕“账号体系”的黑产产业链逐渐形成，包括厂商、收码平台、打码平台、群控等。，从而进入野蛮生长期。

2015年前后，网贷行业进入繁荣期，也是风险集中爆发期。由于其泛金融性质，需要严格的KYC认证，也就是在这个阶段，围绕KYC套房的整个产业链逐渐形成，包括:二次元、三次元、人脸、活体等。，黑产初具规模。

2019年以来，出海成为国内众多企业的选择。无论是电商、社交还是泛娱乐企业，都加入了出海大军。当时国内监管政策趋严，国内黑产也开始扬帆出海。基于国内多年的技术积累，黑企业在海外发展更加猖狂。

据腾讯披露，目前诈骗分子非法获取公民个人信息的途径主要有三种。通过“流氓软件”、钓鱼网站、系统漏洞、“拖库”等手段非法获取公民信息；通过暗网等非法渠道购买他人非法获取的公民个人信息；从企业的工商信息查询网站、企业官网、政府机关网站等公开渠道“抓取”公民个人信息。

2月18日，工信部通报了2022年第一批侵犯用户权益的app。“根据《个人信息保护法》、《网络安全法》、《电信条例》、《电信和互联网用户个人信息保护条例》等法律法规，我部近期组织第三方检测机构对移动互联网应用(app)进行了检测。截至目前，仍有107个app未整改到位。”据工信部信息通信管理局消息，检查中发现13个嵌入式第三方软件开发包(SDK)非法收集用户设备信息。

如何打赢黑产“持久战”？

针对黑产发展的严峻趋势，一方面政府出台政策，采取一系列措施打击，科技公司也在发挥越来越重要的作用。

公安机关通过“破卡”、全国反诈骗App等一系列措施打击黑产，有效减少了黑卡数量，堵住了黑产源头。在国家的重拳打击下，对黑产从业人员起到了有效的震慑作用，黑产进一步向隐蔽化、随机分组转移。

自2020年10月开展“破卡”行动以来，各地各部门重点打击犯罪团伙，清理电话卡、银行卡，从根源上有效遏制电信网络诈骗案件快速上升。2021年6-9月，全国电信网络诈骗犯罪数量连续4个月下降。随着“破卡”行动的深入推进，电信网络诈骗团伙获取“两张卡”的发货和销售渠道被堵塞，诈骗窝点用于作案的“两张卡”严重不足，大量涉案资金被冻结，一些诈骗分子甚至直接利用自己的银行账户进行洗钱转账，导致犯罪团伙的犯罪成本大幅增加，对电信诈骗活动造成沉重打击。

2021年9月，银监会办公厅下发《关于加强人脸识别技术应用安全管理的通知》，要求各机构全面梳理涉及人脸识别的业务场景和应用系统，开展风险排查整改，对在用人脸识别技术存在安全漏洞的尽快升级或修复，对存在风险隐患的应用系统尽快实施安全加固或改造。

2022年1月18日，由中国信通院云计算与大数据研究所牵头的中国首个可信人脸应用守护计划《人脸信息合规运营指南》指出，目前，我国已初步建立人脸信息保护法律标准体系。《刑法》和《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确规定了非法买卖人脸信息等犯罪行为。《民法典》、《个人信息保护法》、《关于运用人脸识别技术审理涉及个人信息民事案件适用法律若干问题的规定》为规范人脸信息处理活动提供了坚实基础，相关法律法规和标准不断更新完善。

2021年11月，中国信通院公布了“可信AI:人脸识别评测”首轮结果。中关村金科、腾讯云、百度、JD.COM、蚂蚁金服等7家知名企业顺利通过此次测评，系统安全防护能力达到优秀水平。公开资料显示，中关村金科多模态防伪安全平台目前支持11类防伪能力检测，其中活体攻击单帧静默错误接受率低至0.5%。深锻单帧检测的错误接受率低至0%；伪造身份证单帧检测准确率高达99.2%。

岳峰表示，到2023年，防伪产品将超过30种，平均防伪准确率普遍超过95%，预计服务企业超过300家。截至目前，德科多模态生物防伪安全平台已应用于金融机构的多个业务场景。比如，目前存在“黑灰产代理”以盈利为目的，诱导消费者委托代理人维权，让金融机构难受的场景。这款产品可以用来识别代理人进行维权，通过声纹识别和语音伪造检测，明确用户是自己还是自己。

腾讯守护者是一个集“用户举报、打击违规、教育用户”为一体的公益性综合安全服务平台。自成立以来，已服务1.5亿用户，收到近6000万次有效举报，打击了1000多万个账户的违法违规行为。

“在工业数字互联时代，黑产保护和数字化是一体两面。随着业务边界的扩大和增长，黑产的隐蔽性、技术化、产业化等特征越来越突出。未来仅靠一个企业无法应对黑产形式的千变万化是必然的。要通过国家、行业、机构各个层面的共建，强化抵制黑产之路。”根据《2021互联网金融黑产研究报告》。