科技猎全国首例AI技术犯罪平台被端!BAT等如何利用AI技术反击?
本文来源于隐私护卫队、爱范儿、大数据周刊,经物联网智库整理并发布。
年初,绍兴的虞小姐收到了好友在QQ上发来的网购代付请求,在支付了1000余元后,该好友又要求再次支付,发觉不对劲的虞小姐立即向好友电话求证,才发现好友QQ被盗,立即报了案。
绍兴警方接到报案之后,立即展开侦查,通过对公民个人信息账号密码买卖这条线索进行深挖,发现了一条从非法获取网站后台数据,利用撞库软件和人工智能技术控制用户账号,再实行网络诈骗的互联网黑色产业链。最终,在腾讯与警方的共同努力下,成功抓捕犯罪嫌疑人193名,查明涉案金额5000多万元,缴获赃款600余万元,截获了10亿余组公民个人信息。
这条见不得光的产业链,由4个环节构成,数据获取、数据撞库、数据销售和数据犯罪。整个过程大概可以分成三步:
首先,黑产人员利用网站漏洞入侵,进行“拖库”,非法批量获取网站后台的用户注册数据;
其次,是对数据进行“洗库”,梳理归类,剔除重复和无效的数据,再将数据卖给下线;
然后,制作撞库软件的下线通过软件对数据进行批量匹配实施“撞库”,登录其他网站进一步获取有效的信息。举例来说,部分用户在A、B网站使用的账户和密码可能是一致的,通过已泄露的A网站的账户密码,可以尝试在B网站进行登录。
在撞库匹配时,往往需要输入验证码。警方所说的人工智能犯罪正是出在输入验证码的这个节骨眼上,黑产人员利用AI技术识别验证码,并且破解速度快至毫秒级。
-
AI如何配合黑产?
为了防范黑产人员通过机器程序海量窃取用户信息,网络平台通常会要求用户在注册登录时输入验证码,包括滑动方块、点选字符及识别图片等,然后即便如此也无法阻止黑产发展猖獗。
当网络黑产在进行撞库时,面对数以亿计的账户和密码信息,黑产人员不可能逐一识别,通常会将所遇到的海量验证码打码任务交给打码平台去完成。于是,提供专门服务的打码平台应运而生,被警方查封的快啊平台正是这样一个打码平台。
传统打码是通过人工完成,由一群被圈内称为“码奴”的人手动输入识别验证码。破解组织制作了打码软件,当在网上需要输入CAPTCHA时,打码软件自动把歪曲的图片信息送到打码工人面前,一个熟练的打码工人一分钟可以输入20个以上的CAPTCHA。这就是最早的打码破解模式。接下来,这种起源于中国的人力破解方式传到了全球各地,各大第三世界国家中有很多人靠打码为生(不完全统计有100万以上的打码工人存在),而这种工作也有了一个全球通用的名字:CAPTCHA Human Bypass。
快啊平台早期通过雇佣人员进行人工识别验证码扩充数据库,之后利用AI训练机器以及深度学习进行快速匹配,一秒就能完成1000多次打码,识别验证码的成功率超过83%(也有数据称准确率为99%)。
快啊打码平台基于主流AI深度学习Caffe框架,使用vgg16卷积核神经网络模型,可以直接输入原始图像(避免了对图像的复杂前期预处理),并能通过深度的机器学习来获得较高的验证码识别率。
由于不同方式生成的验证码风格迥异,且经常变换,为了实现精准识别,提高准确度,“快啊答题”收集了大量不同风格的样本,并开发了验证码接收与分发模块,输入端对接打码平台,输出端根据验证码类型轮询选择并推送到相应的验证码识别模型,验证码识别完成,返回验证码字符串到打码平台,打码平台确认是否识别正确,并将结果反馈至该分布式AI验证码识别系统进行进一步优化。
精确的验证码输出有赖于前期的训练,为此,该平台甚至收集超过10000个字体库,积累超过5000万的样本库进行训练。为了“精益求精”,他们甚至会收集错误样本进行算法改进,以达到更高的准确率。基于强大的人工智能,在被查封的前三个月内,快啊提供破解验证码服务达到259亿次,一年内获利竟达到1300多万元。
据公开资料介绍,截至目前,除了快啊打码平台使用了AI技术以外,光速打码平台也使用了该技术。目前互联网上仍存在其他打码平台,专门为网络黑灰产提供验证码破解识别服务。
-
有人利用AI犯罪,有人利用AI打击犯罪
随着信息化的逐渐完善,网络的处理和存储技术的不断发展,个人信息泄露事件层出不穷,愈演愈烈,盗窃账户、网络诈骗、盗取信息、黑客攻击等俨然成了一个“新兴产业”。网络黑灰产业不断升级演化、蔓延滋长,已然形成了一个平台化、专业化、精细化,相互独立又紧密协作的产业链。
显然,打击网络黑产已经迫在眉睫!下面一起看看BAT等企业如何利用AI打击黑产:
-
腾讯:天御业务安全防护系统
该系统是腾讯云安全在AI实践上的重要体现。基于腾讯内外部每天PB级数据量的安全大数据,天御的AI引擎能整合所有对抗经验和数据能力,形成多个解决单一安全问题的服务。经过业务中的正向和反向的反馈,天御系统更能不断优化。目前,天御已为开发者提供包括活动防刷、注册保护、登录保护、消息过滤、图片鉴黄、验证码、反欺诈等服务,帮助京东、滴滴出行、58同城、斗鱼TV等企业保障业务安全。
-
阿里:蚁盾风险评分
蚂蚁金服的算法模型每天都与各种黑产和欺诈行为进行博弈,在企业内部成立一个安全大脑,实现智能化、立体化和自动化的安全防控。蚁盾是一项拥有完整风控体系的服务,目前主要在金融和互联网新型行业进行布局,通过AI主动风险识别、动态风险网络以及人机结合的智能运营三方结合,以此来防控风险,多应用于消费金融、医院、出行等行业领域。
-
百度:磐石反欺诈工作平台
百度金融以人工智能技术为基础的“磐石反欺诈工作平台”在实时监测、判别欺诈行为,无缝对接金融风控上,建筑起立体的反欺诈防护盾,保护万亿级别的金融行业资产安全。此外,百度机器人小度就曾在模糊影像中找到真正的“罪犯”,所应用的技术正是人工智能技术(人脸识别技术)。
-
爱奇艺:反作弊系统的视频平台
如今,不仅微博粉丝量靠刷、微信公号阅读量靠刷,连视频网站播放的网络电影、网络电视剧的点击量也能刷。当我们每天津津有味地看着各大视频网站的电影、电视剧的时候,流量盗刷现象也逐渐涌现。针对此,作为中国视频网站爱奇艺建成全球领先的流量防刷系统,反刷策略和风险控制系统实时结合,通过AI技术手段对刷量行为进行有效拦截处理。借助大数据和机器学习,爱奇艺成为全球首家通过AI建立反作弊系统的视频平台。
研究报告分享
10月12日,亿欧智库,联合阿里研究院、微链共同出品 《AI商业化“二次革命”的产业落地——2017中国AI投资市场研究报告》 。报告从三大产业链层次和18个重点行业,到投资机构市场布局和巨头企业投资战略,报告深入探索AI各投资领域的变化趋势,总结AI投资市场主要“玩家”投资规律。
阅读报告请点击: 《AI商业化“二次革命”的产业落地——2017中国AI投资市场研究报告》