旗下微信矩阵:

生物识别技术:印尼网络安全的护城河

很多印度尼西亚的科技公司现在都在研究生物识别技术,以提升用户安全感。今年,Grab 推出了指纹识别来代替字符串密码,并开始要求驾驶员和用户在进行身份验证时自拍。
2020-12-14 10:43 · 36氪 任嘉

面对日益增加的网络诈骗案件,许多东南亚科技公司正尝试使用生物识别技术来保护数据安全、反击网络诈骗者,但目前这项技术仍存在漏洞。

印尼女生 Maia Estianty 原本是想在网上订一些食物,结果她的电子钱包被不法分子洗劫一空。

2019年12月,Estianty 在 Gojek 的订餐软件 GoFood 上叫了一顿外卖。时间没过去多久,她接到骑手的一通电话,说他的摩托车坏了,但幸运的是他的同事可以帮忙送 Estianty 的食物。Estianty 只需要拨打骑手提供的电话来确认该订单已被转交。

Estianty 照司机的话拨打了这个号码,她没有意识到这个号码已经被设置了呼叫转移,从而给黑客机会黑进她的电话。对方劫持了她的 Gojek 帐户,透支了她 GoPay 上近80万印尼盾(约57美元)的信用额度,随后尝试访问手机上的其他 app。Estianty 赶快注销了她的信用卡,甚至停用了电话号码。

她在 Instagram 上发帖分享了自己的受骗经历,虽然帖子现在已被删除,但引起了公众的关注。据当地媒体 Kompas 报道,Gojek 赔偿了 Estianty 的信用额度损失,并公开谴责了骗子。

不幸的是,并非所有受害者都像 Estianty 那样幸运。在印度尼西亚,类似的诈骗十分猖獗,其中很少案件能够见报,也鲜有人得到了赔偿。

与骗子赛跑

印度尼西亚有1.97亿互联网用户,但大部分人在信息安全方面缺乏认知。根据 Gajah Mada 大学数字社会研究中心(CfDS)发布的一份报告,绝大多数印尼网络用户都很容易落入骗子的陷阱,甚至包括那些被认为更了解网络的年轻一代网民。

这些网络诈骗最常用的工具是“社会工程学”,这是黑客米特尼克在《欺骗的艺术》中提出的一种诈骗手法,利用人的心理弱点、本能反应、好奇心、信任、贪婪等,诱骗其做出某些举动或透露机密信息,并通过这些从合法用户手中套取的信息,进行诈骗或入侵计算机系统。骗子会用“您赢了彩票”或“这是系统要求”之类的借口来骗取受害者的一次性密码(OTP)等隐私信息,以达成控制受害者账户的目的。根据 CfDS 的报告,由于对此缺乏防范意识,这种骗局在印尼很容易成功。而 CfDS 也指出,“社会工程学”已经进化的更加先进了。

为了应对日益严重的网络诈骗,许多企业开始利用技术革新保护用户的财产安全。生物识别技术就是其中一种手段,它能使网络诈骗变得更困难。在确认身份的过程中加入用户物理特征的识别,例如,如果在电子钱包帐户中检测到异常行为,平台可能会在处理异常交易之前要求用户进行面部或指纹识别,验证失败则冻结该帐户。

很多印度尼西亚的科技公司现在都在研究生物识别技术,以提升用户安全感。今年,Grab 推出了指纹识别来代替字符串密码,并开始要求驾驶员和用户在进行身份验证时自拍。

“多年来,我们已经意识到诈骗者永远不会停手。我们所做的,是遏制当前诱骗用户的手段的发展,并给出新的解决办法。” Grab 技术专利部门负责人 Wui Ngiap Foo 说。“要跟上骗子的步伐,我们也必须不断发展。”

生物特征识别是 Grab 安全系统 GrabDefense 的第二层保护。该公司还使用人工智能技术对用户的行为进行分析,AI 会根据一系列用户特征和数据(例如浏览时间和交易金额),将真实用户与欺诈账户区分开。

例如,被盗的帐户往往很少登陆,但会尝试进行金额异常高的转账。当这些账户被标记后,系统将提示用户进行额外的身份验证程序,例如提交自拍照等,通过后才允许交易。而当 AI 通过欺诈模型确信欺诈行为正在发生时,系统通常会立即禁止或中止交易。

今年7月,Gojek 也上线了面部识别功能,以预防在该应用上出现交易欺诈。印尼电子钱包平台 Dana 也同样采用了面部识别的登录方式,Dana 的 CEO 兼联合创始人 Vince Iswara 表示,越来越多的用户激活了面部识别,因为该技术已被证明可以有效防止帐户被盗。由于该登录方式广受欢迎,Dana 正考虑将它用于更广泛的场景。

几乎所有公司都表示,他们不会共享所收集的用户生物特征数据。Grab 称公司非常重视个人数据保护,乘客的自拍照被安全地存储,不与任何人(包括驾驶员)共享。而 Gojek 则有明确的隐私规定,该公司不会将用户的生物识别数据保存在自己的系统上,而是在用户的设备上存储。

徘徊与盲点

据印尼政策研究及宣传学会(ELSAM)副主任 Wahyudi Djafar 称,目前印尼的法律中仅涵盖了指纹和视网膜这两种生物特征数据,还没有通过立法严格控制对生物识别数据的使用。

2020年1月最新起草的个人数据保护法案将面部特征数据涵盖在内,但是印尼议会尚未通过此法。根据草案,生物识别数据属于“特定的个人数据”,只能用于有限的目的,例如在刑事案件或紧急医疗事件中。

网络安全公司 Vaksincom 的一位安全专家 Alfons Tanujaya 表示,生物特征识别有助于防止欺诈。“它与 OTP 不同,后者是文本中可以看到或被共享的数字号码。生物特征则无法复制,因为它们需要一个即时存在的物理实体。”

但是,印度尼西亚“道德黑客”组织的创始人 Teguh Aprianto 注意到了一个漏洞。使用生物特征的登录方式并不能完全替代密码登录,它们只是可选功能。由于登录数据仅存储在用户的设备上,因此无法保护他们免受使用其他设备登陆账户(例如 Estianty 的情况)的黑客的攻击。“指纹登录将毫无用处,诈骗者如果可以访问帐户所有者的电话,仍然可以使用 OTP 劫持该帐户。”

Aprianto 说,如果未知设备尝试登录的话,数字平台应该在应用内发送通知,而不是通过 SMS,而新设备只能在获得常用设备的允许后才能登录。

对此,科技企业必须继续保持警惕,因为对使用“社会工程学”的欺诈者来说,生物识别技术仍然存在漏洞。

【本文由投资界合作伙伴36氪授权发布,本平台仅提供信息存储服务。】如有任何疑问,请联系(editor@zero2ipo.com.cn)投资界处理。

本文涉及