賬號漏洞，快堵！

楊丁淼 李雨澤

近來，不少網(wǎng)友發(fā)現(xiàn)，一些已被限制登錄的微信賬號竟然被成功“復(fù)活”，并被用于網(wǎng)絡(luò)詐騙。不僅如此，“復(fù)活”涉網(wǎng)詐的微信號，已成為一些不法分子牟利的生意。

“復(fù)活”上萬個網(wǎng)詐微信號

近日，江蘇南通警方破獲一起新型網(wǎng)絡(luò)犯罪案件，查出一條“查詢、出售公民身份證信息”“制作‘三色人臉動態(tài)短視頻”“重啟被限制登錄微信賬號”的黑產(chǎn)鏈條。以李某旗為首的5名犯罪嫌疑人全部落網(wǎng)，并在作案用電腦中發(fā)現(xiàn)大量公民個人信息。

“5名犯罪嫌疑人大多是初中學歷，自學網(wǎng)絡(luò)技術(shù)。”如皋市公安局網(wǎng)安大隊副大隊長王強偉說，一次偶然的機會，李某旗發(fā)現(xiàn)有人討論利用漏洞“復(fù)活”被封微信號，他覺得這是“生財之道”，決定“拜師學藝”。

掌握這項技術(shù)后，李某旗開始在網(wǎng)上招攬客戶，并將技術(shù)傳授給其他4人。每“復(fù)活”一個賬號，李某旗團伙收取100元至200元不等費用。截至案發(fā)，李某旗等人共“復(fù)活”了上萬個被限制登錄的微信號。

漏洞不少，賺錢很快！

究竟如何“復(fù)活”被封網(wǎng)詐微信號？不法分子會先用市場上常見的幾款“變臉”APP將微信號注冊人的照片變成模擬真人動作的視頻，保存在某款智能手機中。再利用這款手機的系統(tǒng)漏洞，通過“刷機”獲取root權(quán)限（即整個手機系統(tǒng)的最高權(quán)限）。之后，他們會在該手機上使用一款視頻切換軟件，當申請解除微信號限制登錄流程進入到動態(tài)人臉識別驗證階段時，該軟件就會自動讀取相冊中預(yù)存的人臉視頻。只要視頻中人像的清晰度達到要求，微信系統(tǒng)就會判定這項行為是真人操作，順利通過驗證，整個過程只需短短幾秒。

這起案件中發(fā)現(xiàn)的大量人臉圖片均為居民身份證照片，且其中大多數(shù)可用于突破“人臉識別驗證”。南通市公安局網(wǎng)安支隊支隊長張建稱，在相關(guān)監(jiān)管制度和法規(guī)不完善的情況下，不少公民的面部數(shù)據(jù)等重要個人信息通過多種渠道流入地下市場，形成顯著風險。據(jù)警方調(diào)查，李某旗團伙已非法獲利上百萬元。據(jù)李某旗供述，他最大的“金主”就是從事電信網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)淫穢色情等類犯罪活動的不法分子。

多方安全漏洞亟需堵上

這起案件表明“人臉數(shù)據(jù)”買賣已經(jīng)成為不法分子涉足的新型黑色產(chǎn)業(yè)，涉及上游侵犯公民個人信息和下游網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等多個環(huán)節(jié)，并形成了一條完整的黑色產(chǎn)業(yè)鏈，亟待引起軟件運營商和用戶的足夠重視。

北京航空航天大學工業(yè)和信息化法治戰(zhàn)略與管理重點實驗室辦公室主任趙精武建議，網(wǎng)絡(luò)平臺、手機終端商家等應(yīng)有效加強涉被封賬號重啟的技術(shù)驗證精度。監(jiān)管機構(gòu)應(yīng)當積極貫徹網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個人信息保護法的執(zhí)法要求，設(shè)置舉報投訴渠道，壓實平臺主體責任。趙精武還建議，公民應(yīng)增強對自身重要個人信息的保護意識，積極維護個人合法權(quán)益，共同守護網(wǎng)絡(luò)的清朗空間。

10月，《中華人民共和國反電信網(wǎng)絡(luò)詐騙法（草案）》（下稱“草案”）首次亮相。目前，草案已在中國人大網(wǎng)公布，公開征求意見。據(jù)悉，草案將統(tǒng)籌推進跨行業(yè)、企業(yè)統(tǒng)一監(jiān)測系統(tǒng)建設(shè)，加大懲處力度。