00后”黑客攻破厦门银行App人脸识别系统 怎么做到的?
2000年出生的河南男孩通过抓包技术攻破了厦门银行App人脸识别系统,使用虚假身份信息注册了多个账户并倒卖牟利,获刑三年。中小银行的App大多由外包供应商开发,可能方案不完善,存在漏洞。
据财新网报道,2000年出生、职业学院休学的河南男孩攻破了厦门银行App的人脸识别系统,进而使用虚假身份信息多个账户并倒卖牟利。他是怎么做到的?日前,裁判文书网公布了相关判决和裁定书,揭开谜底。
据判决书,被告人田世纪2000年1月出生,初中文化,无业,户籍地河南夏邑县。2019年1月5日至15日,田世纪在用银行App注册账户的过程中,先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。随后在输入开卡密码步骤时,田世纪将App返回到第一步,即上传身份证照片,输入伪造的身份信息,并再次进入到人脸识别步骤。此时,其上传此前拦截下来的包含其本人的身份信息数据包,使系统误以为要比对其本人的身份信息,遂使用其本人人脸通过银行系统人脸识别比对,成功利用虚假身份信息注册银行账户。通过上述方法,田世纪成功注册厦门银行Ⅱ类账户76个,并通过网络售卖赚取22010元。田世纪的行为导致厦门银行从2019年1月18日至今一直关闭手机银行App中Ⅱ类、Ⅲ类账户开户链接功能。(财新网)
【黑客案例解析】厦门银行手机APP遭入侵开户功能长期关闭 “黑客”系00后初中毕业生
2000年出生的田某,尽管只有初中文化,却有着极强的计算机天赋,并将手伸向了系统防卫森严的银行机构。
具体来看作案过程
2019年1月5日初,田某通过软件抓包、PS身份证等非法手段,在厦门银行手机银行APP内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户。其在注册账户过程中,田某先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。尔后,在输入开卡密码步骤,被告人田某将APP返回到第一步(上传身份证照片之步骤),输入伪造的身份信息,并再次进入到人脸识别之身份验证步骤。此时,其上传此前拦截下来的包含其本人的身份信息数据包,使系统误以为要比对其本人的身份信息,其遂用本人人脸通过银行系统人脸识别比对,使得成功利用虚假身份信息注册到银行账户。
利用上述方法,田某成功注册厦门银行Ⅱ类账户76个。其将上述账户信息(包括身份证号、银行卡号、绑定的手机号)卖给被告人多人,可证实获利金额为人民币22010元。因手机银行存在漏洞被田某利用,致使厦门银行从2019年1月18日开始,一直关闭手机银行APP软件中Ⅱ、Ⅲ类账户开户链接功能。
在贩卖账号过程中,田某结实了张某
张某,1995年出生,小学文化。起初,张某只是从田某手中购买账户。为赚取更多利润,张某向他人学习上述软件抓包技术,并使用该技术在多家银行尝试注册Ⅱ、Ⅲ类账户。其中,被告人张某利用该技术在厦门银行APP上拦截身份认证信息数次,在建设银行APP上使用拦截身份认证信息十余次,在浦发银行极速开户网页页面拦截身份认证信息四、五次。此外,被告人张某花费人民币1888元雇请他人利用上述软件抓包技术,在建设银行系统内成功注册12个Ⅱ、Ⅲ类账户。
2019年3月18日,田某在河南商丘被公安人员抓获;次月,张某在黑龙江哈尔滨被公安人员抓获。该案最终在厦门市思明区人民法院开庭审理,法院认为,被告人田某、张某犯非法获取计算机信息系统数据罪的事实清楚,证据确实、充分。法院一审判决:被告人田某犯非法获取计算机信息系统数据罪,判处有期徒刑三年,并处罚金人民币一万元;被告人张某犯非法获取计算机信息系统数据罪,判处有期徒七个月,并处罚金人民币五千元。
厦门银行App人脸识别被00后破解 线上开户功能至今关闭
近日,裁判文书网披露一起“黑客”入侵厦门银行手机银行App,利用虚假身份开户的案件。值得注意的是,两名犯罪分子分别为00后和95后,对应学历分别为初中文化和小学文化。
判决书提到,被入侵后,从2019年1月18日,厦门银行App关闭相应账户开户功能。2020年3月8日,隐私护卫队致电厦门银行客服,客服表示,目前仍不支持线上开户功能。
·· 1 ··欺骗App的人脸认证技术注册虚假账户
判决书显示,2019年1月5日至15日之间,犯罪分子田某通过软件抓包(抓取网络传输的数据)、PS身份证等非法手段,破解人脸识别等功能,在厦门银行手机银行App内使用虚假身份注册银行Ⅱ、Ⅲ类账户(Ⅱ、Ⅲ类账户为虚拟账户,可网上开通;Ⅰ类账户是全功能账户,比如借记卡,需在银行柜台办理)76个。
注册虚假账户后,田某将上述账户信息(包括身份证号、银行卡号、绑定的手机号)卖给张某等人,非法获利两万多元。
明知田某出售的账户为虚假身份注册的账户,张某仍多次购买,每套入手价格在100元至200元不等,然后再加价出售。
·· 2 ··厦门银行App关闭相关开户功能
起初,张某只是从田某处购买账户。为了赚取更多利润,张某向他人学习上述技术,并尝试在多家银行注册Ⅱ、Ⅲ类账户。其中,张某在厦门银行App、建设银行App上拦截身份认证十余次,在浦发银行极速开户网页页面拦截身份认证信息四、五次。
此外,张某还雇佣他人利用上述技术,在建设银行系统内成功注册12个Ⅱ、Ⅲ类账户。
因非法获取计算机信息系统罪,田某被判处有期徒刑三年,并处罚金一万元。张某具有坦白从轻处罚情节,被判处有期徒七个月,并处罚金五千元。
裁判文书还指出,从2019年1月,厦门银行关闭手机银行中Ⅱ、Ⅲ类账户开户链接功能。隐私护卫队致电厦门银行客服,客服表示,目前仍不支持上述功能。
对于厦门银行App被入侵一事,瑞星副总裁唐威称,这暴露App未验证人脸数据的来源是否可靠,使得犯罪分子可通过注入虚假数据的方式,伪造App需要验证的人脸信息。
芯盾科技技术专家尹晓东也认为,通信数据未加密,使得手机银行App和服务器端的通信难以保证完整性和可靠性。
对此,唐威建议,数据通讯应加密,并且,App端应对服务端数据进行严格验证;更可靠的方法是,人脸等生物信息应放在服务器上,认证过程也应放在服务端进行。
此外,尹晓东指出,入侵事件暴露出在厦门银行App上开通Ⅱ、Ⅲ类账户时,并未与Ⅰ类账户进行鉴权。
所谓鉴权,他解释说,用户开通II类账户时必须对相关信息进行鉴权,即验证对应I类账户的五要素,包括开户人姓名、身份证号、手机号、绑定账户/卡号、绑定账户是否为I类账户或信用卡。
