生物識別技術:印尼網絡安全的護城河

面對日益增加的網絡詐騙案件,許多東南亞科技公司正嘗試使用生物識別技術來保護數據安全、反擊網絡詐騙者,但目前這項技術仍存在漏洞。

印尼女生 Maia Estianty 原本是想在網上訂一些食物,結果她的电子錢包被不法分子洗劫一空。

2019年12月,Estianty 在 Gojek 的訂餐軟件 GoFood 上叫了一頓外賣。時間沒過去多久,她接到騎手的一通電話,說他的摩托車壞了,但幸運的是他的同事可以幫忙送 Estianty 的食物。Estianty 只需要撥打騎手提供的電話來確認該訂單已被轉交。

Estianty 照司機的話撥打了這個號碼,她沒有意識到這個號碼已經被設置了呼叫轉移,從而給黑客機會黑進她的電話。對方劫持了她的 Gojek 帳戶,透支了她 GoPay 上近80萬印尼盾(約57美元)的信用額度,隨後嘗試訪問手機上的其他 app。Estianty 趕快註銷了她的信用卡,甚至停用了電話號碼。

她在 Instagram 上發帖分享了自己的受騙經歷,雖然帖子現在已被刪除,但引起了公眾的關注。據當地媒體 Kompas 報道,Gojek 賠償了 Estianty 的信用額度損失,並公開譴責了騙子。

不幸的是,並非所有受害者都像 Estianty 那樣幸運。在印度尼西亞,類似的詐騙十分猖獗,其中很少案件能夠見報,也鮮有人得到了賠償。

與騙子賽跑

印度尼西亞有1.97億互聯網用戶,但大部分人在信息安全方面缺乏認知。根據 Gajah Mada 大學数字社會研究中心(CfDS)發布的一份報告,絕大多數印尼網絡用戶都很容易落入騙子的陷阱,甚至包括那些被認為更了解網絡的年輕一代網民。

這些網絡詐騙最常用的工具是“社會工程學”,這是黑客米特尼克在《欺騙的藝術》中提出的一種詐騙手法,利用人的心理弱點、本能反應、好奇心、信任、貪婪等,誘騙其做出某些舉動或透露機密信息,並通過這些從合法用戶手中套取的信息,進行詐騙或入侵計算機系統。騙子會用“您贏了彩票”或“這是系統要求”之類的借口來騙取受害者的一次性密碼(OTP)等隱私信息,以達成控制受害者賬戶的目的。根據 CfDS 的報告,由於對此缺乏防範意識,這種騙局在印尼很容易成功。而 CfDS 也指出,“社會工程學”已經進化的更加先進了。

為了應對日益嚴重的網絡詐騙,許多企業開始利用技術革新保護用戶的財產安全。生物識別技術就是其中一種手段,它能使網絡詐騙變得更困難。在確認身份的過程中加入用戶物理特徵的識別,例如,如果在电子錢包帳戶中檢測到異常行為,平台可能會在處理異常交易之前要求用戶進行面部或指紋識別,驗證失敗則凍結該帳戶。

很多印度尼西亞的科技公司現在都在研究生物識別技術,以提升用戶安全感。今年,Grab 推出了指紋識別來代替字符串密碼,並開始要求駕駛員和用戶在進行身份驗證時自拍。

“多年來,我們已經意識到詐騙者永遠不會停手。我們所做的,是遏制當前誘騙用戶的手段的發展,並給出新的解決辦法。” Grab 技術專利部門負責人 Wui Ngiap Foo 說。“要跟上騙子的步伐,我們也必須不斷髮展。”

生物特徵識別是 Grab 安全系統 GrabDefense 的第二層保護。該公司還使用人工智能技術對用戶的行為進行分析,AI 會根據一系列用戶特徵和數據(例如瀏覽時間和交易金額),將真實用戶與欺詐賬戶區分開。

例如,被盜的帳戶往往很少登陸,但會嘗試進行金額異常高的轉賬。當這些賬戶被標記后,系統將提示用戶進行額外的身份驗證程序,例如提交自拍照等,通過後才允許交易。而當 AI 通過欺詐模型確信欺詐行為正在發生時,系統通常會立即禁止或中止交易。

今年7月,Gojek 也上線了面部識別功能,以預防在該應用上出現交易欺詐。印尼电子錢包平台 Dana 也同樣採用了面部識別的登錄方式,Dana 的 CEO 兼聯合創始人 Vince Iswara 表示,越來越多的用戶激活了面部識別,因為該技術已被證明可以有效防止帳戶被盜。由於該登錄方式廣受歡迎,Dana 正考慮將它用於更廣泛的場景。

幾乎所有公司都表示,他們不會共享所收集的用戶生物特徵數據。Grab 稱公司非常重視個人數據保護,乘客的自拍照被安全地存儲,不與任何人(包括駕駛員)共享。而 Gojek 則有明確的隱私規定,該公司不會將用戶的生物識別數據保存在自己的系統上,而是在用戶的設備上存儲。

徘徊與盲點

據印尼政策研究及宣傳學會(ELSAM)副主任 Wahyudi Djafar 稱,目前印尼的法律中僅涵蓋了指紋和視網膜這兩種生物特徵數據,還沒有通過立法嚴格控制對生物識別數據的使用。

2020年1月最新起草的個人數據保護法案將面部特徵數據涵蓋在內,但是印尼議會尚未通過此法。根據草案,生物識別數據屬於“特定的個人數據”,只能用於有限的目的,例如在刑事案件或緊急醫療事件中。

網絡安全公司 Vaksincom 的一位安全專家 Alfons Tanujaya 表示,生物特徵識別有助於防止欺詐。“它與 OTP 不同,後者是文本中可以看到或被共享的数字號碼。生物特徵則無法複製,因為它們需要一個即時存在的物理實體。”

但是,印度尼西亞“道德黑客”組織的創始人 Teguh Aprianto 注意到了一個漏洞。使用生物特徵的登錄方式並不能完全替代密碼登錄,它們只是可選功能。由於登錄數據僅存儲在用戶的設備上,因此無法保護他們免受使用其他設備登陸賬戶(例如 Estianty 的情況)的黑客的攻擊。“指紋登錄將毫無用處,詐騙者如果可以訪問帳戶所有者的電話,仍然可以使用 OTP 劫持該帳戶。”

Aprianto 說,如果未知設備嘗試登錄的話,数字平台應該在應用內發送通知,而不是通過 SMS,而新設備只能在獲得常用設備的允許后才能登錄。

對此,科技企業必須繼續保持警惕,因為對使用“社會工程學”的欺詐者來說,生物識別技術仍然存在漏洞。

【本文作者任嘉,由合作夥伴36氪授權發布,文章版權歸原作者及原出處所有,轉載請聯繫原出處。文章系作者個人觀點,不代表立場。如內容、圖片有任何版權問題,請聯繫(editor@zero2ipo.com.cn)處理。】

【其他文章推薦】

未上市股票風險大嗎?投資必讀10大攻略!

未上市股票買賣運作流程及應注意事項為何?

※借錢救急!高雄借貸有多年貸款經驗的申辦團隊,提供您更多融資借貸!

※手頭吃緊沒處籌?高雄當舖合法借款,審核保密、撥款快!

※推薦新竹借款快速借錢平台

※推薦優質嘉義當舖借款平台

※推薦優質三重當舖,機車借款免留車首選