随着AI技术的崛起,一些不法分子已经将其应用于实施电信网络中。截至目前,结合上述案例在内,在犯罪领域有五类典型案例,正逐渐成为电信网络犯罪的主流。
转发微信语音。转发微信语音是骗子的常用欺诈术,操作简单但迷惑性强。骗子在盗取微信号后,便向其好友“借钱”,他们会转发之前的语音来取得受害人的信任,进而骗取钱财。尽管微信没有语音转发功能,但骗子可以通过提取语音文件或修改安装插件来实施。
不法分子盗取了魏某的微信,给其好友王某发送微信,表示需要借500元,并转发“我是我是”的语音,王某信以为线元,不料上当受骗。
冒充微信或QQ好友。冒充好友是骗子另一常见手段,好友身份容易让人放下警惕,特别是家人、领导等。骗子往往利用社交平台更换微信账号、QQ头像,冒充好友,要求转账汇款,实施。
某公司财务人员姚某收到一个QQ群添加消息,群名为“公司财务管理”。姚某入群后发现群成员均为公司领导头像,群内交谈的工作场景及领导语气与平常无异。“领导”在群内交代了一些工作注意事项后,便询问其公司财务情况,随后发来两个银行账号,要求姚某立即将公司账上的钱款转入该账户。姚某于是将钱款276万元悉数转出,随后他拿账单找公司领导签字才发现被骗。
声音合成。骗子通过分享视频、骚扰电话等来提取某人声音,获取素材后进行声音合成和语句剪辑,从而用伪造的声音行骗。
某公司财务小张接到领导电话,为避免缴纳滞纳金需立即给供应商转款2万元,并邮件发送转账信息。由于电话中“领导”口音与老板很像,小张听后信以为真,迅速完成转款,后发现被骗。
AI换脸。AI换脸正在兴起,相似或逼真的人脸更易取得受害者的信任。骗子用AI技术“换脸”,可以伪装成任何人,再通过视频确认信息。骗子首先分析网上的各类分享信息,根据所需实施,通过AI筛选目标人群。在视频通话中利用AI换脸技术,骗取信任并钱财。
AI程序筛选受害人。AI筛选技术也被不法分子广为利用,其利用AI技术分析社会大众在网上发布的各类文字、图片和视频信息,对人群进行筛选,在短时间内便可设计出定制化的脚本,从而实施精准。如,骗子实施情感时,往往筛选出经常发布感情类信息的人群,针对性地提供情感抚慰和感情支持;骗子实施金融时,常常筛选出习惯搜索投资理财信息的人群,利用高利、高息、高返点等诱导并套出受害人的资金。
整理上述五类新型欺诈术后,发现存在一些共性问题,值得总结和思考,避免群众在类似情境下上当受骗。
一是均为非面对面交流。人们常说“耳听为虚,眼见为实”,因此以往借款或者转账多为面对面进行。随着信息技术的发展,后来的借款和转账多为打电话、视频电话,再后来多变成微信留言、微信语音、QQ留言、微信视频等交流软件等新形式。不法分子正是利用了人们常用的社交渠道和“眼见为实”的心理,采用新型技术诱骗人上当受骗。只要受害人能提前当面核实、电话核实,在转账汇款之前通过其他途径联系需求人,就可以跳出骗子设置的“圈套”、打破虚拟技术的屏障,可能避免被骗的情况。
二是均涉财务资金欺诈。电信网络的主要目的是“谋财”,当然由于被骗资金金额巨大,有的案例也可能涉及“害命”,比如骗走了老人的治病钱、病人的救命钱等等。不难看出,无论哪种术,不法分子早晚都会提到钱:如对企业财务人员要求转账、打款,对普通受害者要求借钱等。因此,但凡涉及转账回款,所有人都应该有所警惕,提前做好与当事人、被转账方信息的核实,特别是提出转账和借款要求的人,无论对方是老板还是亲友。
三是多冒充熟人身份。既然的主要目的是“谋财”,“熟人”身份更容易达到这一目的。而且两类“熟人”更容易达到目的:一类是“老板”,特别对企业财务人员而言,“老板”没有分管副总、财务部总经理、财务科长等上级那么熟悉,却有足够的权威,利于骗子操纵;另一类是久未谋面的“亲友”,特别是同学、亲戚、网友等,不在身边却有足够信任。因此,但凡QQ、微信上有“熟人”要求转账的,请一定要当面或者电话联系,再三确认。
四是采用一种识别技术。“眼见为实”的心理告诉我们,看得到的一定是真的。但实施起来并非如此,特别是有了AI换脸技术后,看到的也可能是假象。从上述典型案例来看,正是由于犯罪分子利用了至少一种识别技术,模仿和冒充了受害人“熟人”的声音、头像、身份、语气和相貌等,在受害人难以辨别的情况下,才容易成功。
五是财务人员更需警惕。对受害者而言,企业财务人员手握资金管理权,更需警惕新型电信网络。财务人员要严格执行公司财务制度,遵循公司线下或系统内转账汇款审核、审批程序,特别需要注意核实转账汇款对手的身份,确认是公司的客户或供应商等。遇到对方提出的汇款要求,最好给公司负责人当面或打电话核实,以免上当受骗。除提高自身警惕性和审慎性外,公司法人需要进一步建立健全财务制度,杜绝通过QQ和微信指令财务人员转账汇款,必须通过正式的、安全的信息渠道发布,如内部公文、内部审批等。如遇此类,应及时收集嫌疑人账户等证据,第一时间拨打110报警。
不难看出,AI换脸等手段本质上是恶意模仿他人的相貌、语音、行为等,从而达到欺骗、占有受害者资金等利益目的。由此,更加凸显金融领域身份识别等技术的重要性,因为其本质是确保客户身份的唯一性、真实性和准确性,避免AI换脸等欺诈术的干扰和蒙骗。事实上,身份识别及相关技术的应用在金融领域由来已久,远早于AI换脸等欺诈术。
身份证件识别。其一,身份证件现场识别。在我国,身份证件现场识别最早可追溯到中国人民银行1994年公布的《银行账户管理办法》(银发〔1994〕255号)(以下简称“《办法》”),该文件主要针对储蓄业务,在账户设置和开户条件中涉及银行客户的身份识别等问题。《办法》首次提出存款人申请开立基本存款账户,应向开户银行出具下列证明文件之一:“一、当地工商行政管理机关核发的《企业法人证书》或《营业执照》正本……七、个人的居民身份证和户口簿。”囿于时代因素、法律环境和客户习惯等,该《办法》在银行并未得到严格地执行,存在一定笔名、别名、小名、化名甚至假名和匿名开户的情况。这一时期,身份证件现场识别主要应用于银行的信贷、储蓄等基础业务领域。
其二,身份证联网核查。2007年6月,中国人民银行会同建成运行了联网核查公民身份信息系统(以下简称“联网核查系统”),当时共连接了全国各省、自治区和直辖市的17万个银行机构网点,可以帮助金融机构实现客户身份的联网核查,及时验证和鉴别客户身份证件的真实性、有效性、准确性,进而通过“证网比对”“人证比对”提高客户身份识别的唯一性、真实性和准确性。联网核查系统向信息共享系统转发现有用户以及相关前置系统发出的核查请求;接受并转发商业银行用户以及通过其综合业务系统等发出的核查请求;接受并转发信息共享系统的核查结果。身份证联网核查的运用,大大提高了金融机构客户身份识别的及时性、准确性和针对性,有力堵截化解了大量非本人取款、转账等风险。
其他生物识别技术。除了传统的身份证件识别和身份证联网核查之外,还有其他生物识别技术,早在多年前就已经在金融业应用。笔者甄选几种主要的生物识别技术,用来判定客户的身份,在一定程度上能起到身份证联网核查的作用。
其一,指纹识别。指纹识别是基于对人指纹的分类比对并做出判别,尽管两枚指纹经常会呈现相似的总体特征,但其细节特征并不相同,反而存在一定的差异,这些差异肉眼难以识别。如,指纹纹路并不是连续的、平滑笔直的,而是经常出现分叉、中断或转折,上述变化就是“特征点”。在金融业,除了常见的保险柜和金库指纹锁之外,在部分自动柜员机取款时,单独的密码验证容易被不法分子破解,所以部分银行已开始记录与指纹的信息匹配,取款验证密码和的同时要比对指纹信息,若符合则可以取款,反之则否,这为用户安全给予更多保障。
其二,人脸识别。这是基于脸部特征进行身份识别的生物识别技术,也称面部识别、人像识别,可以呈现三维立体感,远超人眼识别能力。用摄像头采集人脸图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部识别。人脸与的指纹、虹膜等生物特征一样与生俱来,它的唯一性和不易复制性为身份鉴别提供了必要的前提。人脸识别还具有非强制性、非接触性,、并发性的特征。因此,人脸识别在金融机构柜面业务办理中较常用,例如开户、存款、转账、销户、自动柜员机取款、保管箱开锁等。
其三,虹膜识别。虹膜识别是基于人眼中的虹膜进行身份识别,应用于安防设备以及银行等需要保密的场所。人眼结构由瞳孔﹑巩膜、虹膜、视网膜、晶状体等组成。虹膜位于黑色瞳孔和白色巩膜之间的圆环状部分,包含很多相互交错的斑点、细丝、冠状、条纹、隐窝等细节特征,在胎儿发育成形后基本保持不变。上述特征决定了虹膜特征的唯一性,同时也决定了身份识别的唯一性。
如,一位储户在既未带,又未输入密码的情况下也可在自动柜员机上取款,由摄像机对该储户的眼睛扫描后迅速准确地完成客户身份识别,办理完成业务。这是美国德克萨斯州联合银行的真实场景,该行使用了“虹膜识别系统”。
其四,多元识别。除了常见的三类生物识别技术之外,还有一些生物识别技术也在金融业中得到应用,起到了类似效果。这些技术主要包括掌纹、静脉、声纹和多种生物技术组合识别。掌纹是指手指末端到手腕部分的手掌图像,其中主线、皱纹、细小的纹理、脊末梢、分叉点等特征可用于身份识别。因此,掌纹识别在某种程度上可视为指纹识别的升级版,其安全度、准确度往往高于指纹识别,可用于掌纹支付、掌纹取款等。
静脉识别包括指静脉识别和掌静脉识别,在银行自动柜员机中多有应用。首先从个人静脉分布图提取特征值,通过精密的红外线摄像头获取手指、手掌、手背静脉的图像并存储特征值。静脉比对主要对静脉特征进行核验,从而非接触式地对个人进行身份鉴定和确认。
声纹识别也称说话人识别,包括说话人辨认和说话人确认。声纹识别就是把声信号转换成电信号,再用计算机进行识别。银行交易时一般需要确认技术,如有的银行自动柜员机取款或保管箱采取密码和声纹双保险。
随着信息技术的发展,未来身份识别技术一定更加“百花齐放”。更丰富、更先进的生物识别技术将会更广阔地应用于我们的生产生活之中。那么,有哪些原则值得坚持,哪些经验教训值得总结,又有哪些问题亟待解决?
坚持“机器人三原则”。科学技术的进步很可能会引发一些问题。为保护人类,早在1940年科幻作家阿西莫夫就提出了“机器人三原则”,用以规范机器人的行为,他由此被誉为“机器人学之父”。这三原则是:一是机器人不得伤害人类,或看到人类受到伤害而袖手旁观;二是机器人必须服从人类的命令,除非该命令与第一条相矛盾;三是机器人必须保护自己,除非这种保护与以上两条相矛盾。对AI等身份识别技术而言,这三原则同样适用,同样值得坚持。如,AI不得伤害人类,包括对人类实施。上述原则可以逐步细化为AI的行业指引、应用规范、行为准则,从而确保AI技术不被滥用、混用、盗用,若出现问题,可以触发自纠、自救甚至自毁程序,以保障人类的生命和财产安全。
健全国家规范引导。科学技术更进步,更需要规范和引导,也更需要国家层面的统一管理和介入。近期,根据《全国信息安全标准化技术委员会网络安全标准实践指南管理办法(暂行)》要求,全国信息安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求(征求意见稿)》,就是一种很好的探索和尝试,值得称道和鼓励。同理,AI也必须遵守相应的规则,防止新技术被不法分子利用。并且,这一规则需要不断更新,紧跟新技术的迭发,确保新技术为国所用、为民所用。此外,国家金融监督管理总局、中国人民银行、中国证券监督管理委员会等金融监管机构,还将继续健全消费者权益和投资者权益保护等监管职责,建立健全金融机构对AI等新技术的应用,特别是逐步明确在消费者保护方面的识别规范和建设要求。