安全專家：生物識別信息盡量不要在網絡上傳輸和後台上存儲

南都訊 記者錢柳君 4月24日-25日，由北京移動金融產業聯盟、移動支付網主辦的2019第三屆中國移動金融發展大會在北京舉辦。中國金融認證中心（CFCA）業務部助理總經理、電子認證與移動端身份認證技術專家張翼在會上表示，不少詐騙者捏造事實，以騙取用戶的信任加以實施詐騙，這種詐騙方式的防範措施是接通話或者視頻交流來辨別對方身份的真偽，但AI則可能輕易突破該防範措施。

犯罪分子也有面臨降低“成本”、增加“利潤”問題

隨著個人信息洩露事件的頻繁發生，各種各樣的欺詐行為和欺詐場景也層出不窮。張翼表示，對於攻擊者來說，“炫技”已經不是主流，牟利才是關鍵。他進一步解釋道，犯罪分子或者犯罪集團，其實也相當於“運營”了一個“企業”，甚至是一個產業，比如說“網絡犯罪黑色產業鏈”，其實他們一樣也面臨著降低“成本”、增加“利潤”、降低“風險”的問題。

圖為中國金融認證中心（CFCA）業務部助理總經理、電子認證與移動端身份認證技術專家張翼，主辦方供圖。

據張翼介紹，目前攻擊手段主要可以分為幾類，一是非接觸式、誘導被害人主動操作。在早先的電信詐騙案件中，詐騙者通過文本信息捏造事實，騙取用戶的信任以實施下一步詐騙手段，防範手段往往是要求直接通話或者視頻交流來辨別對方身份的真偽，但是目前AI則可能輕易突破該防範手段。張翼舉例稱，比如說詐騙者自稱是某某，以需要用錢讓用戶轉账，如今可以通過AI模擬，用高精技術做出人臉模型以騙取用戶的信任。

張翼指出，另一種攻擊手段是非接觸式、通過已有數據主動攻擊被害者。不法分子洗號或者是通過黑產數據直接嘗試破解現在的账號，這種攻擊手段對技術確實有一定的要求，它的成本是高於“非接觸式、誘導被害人主動操作”手段，但收益也非常高。

“還有接觸式攻擊，這種攻擊手段需跟用戶有一定接觸，比如不法分子將用戶的手機偷走後，通過手機的支付軟體、銀行軟體等直接轉账”，張翼強調，攻擊手段還有多次接觸式攻擊，比如不法分子先偷竊手機，root手機，安裝破解工具，將手機還回去，機主操作手機後，不法分子再次竊取手機等。

生物識別信息存儲在用戶側本地比伺服器更安全

張翼指出，攻擊者更傾向於使用非接觸式攻擊，因為其成本低、效率高，對技術的要求相對較低。接觸式攻擊雖然也有簡單高效的模式，但是總體上很難大範圍使用。

“一個人的數據，可能包括身份信息、電話、銀行卡、住址、消費情況等，進入了黑產之後，可能會被多次售賣。當售賣給攻擊者時，就可以進行非接觸式攻擊；售賣給某些商戶，就可以此來推銷、銷售，還有部分數據可以洗白、公開售賣”，張翼表示。

如何提高移動端的安全？張翼強調，使用更強有力的手段來應對非接觸式攻擊，特別是是設備強的相關技術；同時，生物識別信息存儲在用戶側本地比存儲在伺服器更有安全性。

張翼解釋道，生物識別信息盡量不要在網絡上傳輸和後台上存儲，這樣可以提高它的安全性，如果攻擊者想要拿到用戶的數據可能需要接觸才能拿到，難度程度非常大。不過，他也認為，單項技術實際上已經無法滿足新技術趨勢下的企業需求，需要在事前、事中、事後進行全流程防護。