中阳期货

面临日益增添的网络诈骗案件，许多东南亚科技公司正实验使用生物识别手艺来珍爱数据平安、还击网络诈骗者，但现在这项手艺仍存在破绽。

印尼女生 Maia Estianty 原本是想在网上订一些食物，效果她的电子钱包被不法分子洗劫一空。

2019年12月，Estianty 在 Gojek 的订餐软件 GoFood 上叫了一顿外卖。时间没过去多久，她接到骑手的一通电话，说他的摩托车坏了，但幸运的是他的同事可以协助送 Estianty 的食物。Estianty 只需要拨打骑手提供的电话来确认该订单已被转交。

Estianty 照司机的话拨打了这个号码，她没有意识到这个号码已经被设置了呼叫转移，从而给黑客机遇黑进她的电话。对方挟制了她的 Gojek 帐户，透支了她 GoPay 上近80万印尼盾（约57美元）的信用额度，随后实验接见手机上的其他 app。Estianty 赶忙注销了她的信用卡，甚至停用了电话号码。

她在 Instagram 上发帖分享了自己的受骗履历，虽然帖子现在已被删除，但引起了民众的关注。据当地媒体 Kompas 报道，Gojek 赔偿了 Estianty 的信用额度损失，并公然训斥了骗子。

不幸的是，并非所有受害者都像 Estianty 那样幸运。在印度尼西亚，类似的诈骗十分疯狂，其中很少案件能够见报，也鲜有人得到了赔偿。

与骗子赛跑

印度尼西亚有1.97亿互联网用户，但大部分人在信息平安方面缺乏认知。凭据 Gajah Mada 大学数字社会研究中心（CfDS）公布的一份讲述，绝大多数印尼网络用户都很容易落入骗子的陷阱，甚至包罗那些被以为更领会网络的年轻一代网民。

这些网络诈骗最常用的工具是“社会工程学”，这是黑客米特尼克在《诱骗的艺术》中提出的一种诈骗手法，行使人的心理弱点、本能反映、好奇心、信托、贪心等，诱骗其做出某些行为或透露秘密信息，并通过这些从正当用户手中套取的信息，举行诈骗或入侵计算机系统。骗子会用“您赢了彩票”或“这是系统要求”之类的捏词来骗取受害者的一次性密码（OTP）等隐私信息，以杀青控制受害者账户的目的。凭据 CfDS 的讲述，由于对此缺乏提防意识，这种圈套在印尼很容易乐成。而 CfDS 也指出，“社会工程学”已经进化的加倍先进了。

为了应对日益严重的网络诈骗，许多企业最先行使手艺革新珍爱用户的财富平安。生物识别手艺就是其中一种手段，它能使网络诈骗变得更难题。在确认身份的过程中加入用户物理特征的识别，例如，若是在电子钱包帐户中检测到异常行为，平台可能会在处置异常买卖之前要求用户举行面部或指纹识别，验证失败则冻结该帐户。

许多印度尼西亚的科技公司现在都在研究生物识别手艺，以提升用户平安感。今年，Grab 推出了指纹识别来取代字符串密码，并最先要求驾驶员和用户在举行身份验证时自拍。

“多年来，我们已经意识到诈骗者永远不会停手。我们所做的，是停止当前诱骗用户的手段的生长，并给出新的解决办法。” Grab 手艺专利部门负责人 Wui Ngiap Foo 说。“要跟上骗子的措施，我们也必须不断生长。”

生物特征识别是 Grab 平安系统 GrabDefense 的第二层珍爱。该公司还使用人工智能手艺对用户的行为举行剖析，AI 会凭据一系列用户特征和数据（例如浏览时间和买卖金额），将真实用户与敲诈账户区离开。

例如，被盗的帐户往往很少上岸，但会实验举行金额异常高的转账。当这些账户被符号后，系统将提醒用户举行分外的身份验证程序，例如提交自拍照等，通事后才允许买卖。而当 AI 通过敲诈模子确信敲诈行为正在发生时，系统通常会立刻克制或中止买卖。

今年7月，Gojek 也上线了面部识别功效，以预防在该应用上泛起买卖敲诈。印尼电子钱包平台 Dana 也同样采用了面部识别的登录方式，Dana 的 CEO 兼团结创始人 Vince Iswara 示意，越来越多的用户激活了面部识别，由于该手艺已被证实可以有用防止帐户被盗。由于该登录方式广受欢迎，Dana 正思量将它用于更普遍的场景。

险些所有公司都示意，他们不会共享所网络的用户生物特征数据。Grab 称公司非常重视小我私家数据珍爱，搭客的自拍照被平安地存储，不与任何人（包罗驾驶员）共享。而 Gojek 则有明确的隐私划定，该公司不会将用户的生物识别数据保存在自己的系统上，而是在用户的装备上存储。

倘佯与盲点

据印尼政策研究及宣传学会（ELSAM）副主任 Wahyudi Djafar 称，现在印尼的执法中仅涵盖了指纹和视网膜这两种生物特征数据，还没有通过立法严格控制对生物识别数据的使用。

2020年1月最新起草的小我私家数据珍爱法案将面部特征数据涵盖在内，然则印尼议会尚未通过此法。凭据草案，生物识别数据属于“特定的小我私家数据”，只能用于有限的目的，例如在刑事案件或紧要医疗事宜中。

网络平安公司 Vaksincom 的一位平安专家 Alfons Tanujaya 示意，生物特征识别有助于防止敲诈。“它与 OTP 差别，后者是文本中可以看到或被共享的数字号码。生物特征则无法复制，由于它们需要一个即时存在的物理实体。”

然则，印度尼西亚“道德黑客”组织的创始人 Teguh Aprianto 注重到了一个破绽。使用生物特征的登录方式并不能完全替换密码登录，它们只是可选功效。由于登录数据仅存储在用户的装备上，因此无法珍爱他们免受使用其他装备上岸账户（例如 Estianty 的情形）的黑客的攻击。“指纹登录将毫无用处，诈骗者若是可以接见帐户所有者的电话，仍然可以使用 OTP 挟制该帐户。”

Aprianto 说，若是未知装备实验登录的话，数字平台应该在应用内发送通知，而不是通过 SMS，而新装备只能在获得常用装备的允许后才气登录。

对此，科技企业必须继续保持警惕，由于对使用“社会工程学”的敲诈者来说，生物识别手艺仍然存在破绽。