北京
一位前阿拉巴馬大學(xué)防守線球員,靠假發(fā)和化妝品,從銀行騙走了2000萬(wàn)美元。人臉識(shí)別風(fēng)控系統(tǒng),居然栽在了最原始的物理偽裝上。
騙局時(shí)間線:從球員到"演員"
盧瑟·戴維斯(Luther Davis)的職業(yè)生涯從未在NFL真正起飛。但2023年至2024年間,他找到了另一份"工作"——冒充現(xiàn)役球星申請(qǐng)貸款。
他精心準(zhǔn)備了假發(fā)、化妝工具,先后扮成獵鷹隊(duì)四分衛(wèi)邁克爾·佩尼克斯(Michael Penix)和布朗隊(duì)近端鋒大衛(wèi)·恩喬庫(kù)(David Njoku)。銀行的人臉識(shí)別驗(yàn)證環(huán)節(jié),被這套低成本偽裝逐一突破。
更荒誕的是,這套手法重復(fù)使用了多次才被發(fā)現(xiàn)。技術(shù)風(fēng)控的盲區(qū),恰恰是最低技術(shù)門檻的欺騙。
2000萬(wàn)美元流向何處
法庭文件顯示,騙局涉及多家金融機(jī)構(gòu)。戴維斯并非單干,背后有完整的文件偽造鏈條——假身份證、假稅單、假合同。
每筆貸款金額從數(shù)十萬(wàn)到數(shù)百萬(wàn)不等。銀行依賴的"生物特征+證件"雙因子認(rèn)證,在合成身份攻擊面前形同虛設(shè)。
這暴露了金融科技的一個(gè)尷尬現(xiàn)實(shí):前端界面越來(lái)越酷,后端風(fēng)控邏輯卻停留在十年前。
為什么這事值得科技圈警惕
人臉識(shí)別的核心假設(shè)是"生物特征唯一且難以復(fù)制"。但戴維斯案證明,這個(gè)假設(shè)在物理層就站不住腳。
更深層的問(wèn)題在于數(shù)據(jù)閉環(huán)——銀行從哪里獲取球星的真實(shí)人臉樣本做比對(duì)?公開(kāi)照片、比賽視頻、社交媒體,這些恰恰是最容易獲取的素材。攻擊者和防御者用的是同一批"訓(xùn)練數(shù)據(jù)"。
當(dāng)身份驗(yàn)證變成"比照片像不像",而非"驗(yàn)證真人意圖",騙局就找到了系統(tǒng)性的突破口。
冷思考:技術(shù)債的代價(jià)
戴維斯已認(rèn)罪,面臨最高20年監(jiān)禁。但2000萬(wàn)美元的學(xué)費(fèi),買的是整個(gè)行業(yè)的教訓(xùn)。
對(duì)金融科技產(chǎn)品經(jīng)理來(lái)說(shuō),這是道殘酷的數(shù)學(xué)題:一套假發(fā)化妝品成本不到200美元,擊穿的是價(jià)值千萬(wàn)的風(fēng)控系統(tǒng)。下次你設(shè)計(jì)"刷臉即付"功能時(shí),或許會(huì)多問(wèn)自己一句——如果用戶戴了假發(fā),我的產(chǎn)品會(huì)怎么辦?
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
