前面我也写过一些关于金融科技的文章,今天我再来谈谈金融科技的阿喀琉斯之踵。
近几年,只要去看金融机构的年报,我们就可以发现:基本上每一家金融机构都会在年报中用非常大的篇幅来讲述其金融科技的应用,所有的金融机构都会把金融科技视为业务发展最重要的驱动因素。
伴随着智能终端设备的普及,以及移动互联技术的发展,大多数的零售端的金融服务已经完成了从线下到线上的转移,包括:消费支付、缴费、分期、借贷、理财、证券交易、保险等,普罗大众都可以通过移动终端从指间完成。毫无疑问。金融服务线上化是金融行业的发展趋势。
同时,金融又是一个非常严谨的行业,与钱打交道,有着严格的合规和风控要求(如:反洗钱、反欺诈等),因此金融企业对其客户提供服务之前,在开户、开卡、放款审批等环节,有严格的KYC(Know your customer)和风控流程。
那么,金融服务最基础也是最核心的一个问题来了:金融企业如何核实新客户的身份。
以银行为例:线下服务是在银行的可控的环境之下,客户去银行开户,提交身份证明文件,只要人证合一就可以很容易鉴别客户身份。银行也有一些工具比如身份证识别器、人脸与身份联网核查的识别比对。
而金融服务线上化以后,一切就变得不一样了:客户所在的物理环境也不再是金融企业的场所,客户可以在全世界任何一个角落通过互联网接入银行的服务;客户的物理身份证明文件也不再是金融企业的员工所能触达到的了。
在移动互联网场景下,金融机构通常采用以下方式来鉴别新客户身份:
一般比较常用的方式:首先通过视频进行活体检测;之后再比对活体检测过程中的照片与身份核查数据库中的身份证照片;再通过绑卡鉴权的方式来进行身份认证和账户信息核实。这几种方式叠加以后,基本上就可以确认客户的身份。
以上方式,看起来一切都非常完美,但事实真的如此吗?
传统线下服务,金融机构可以见到真人,并且能拿到客户的物理证件。
而线上服务导致一切都变了,看不见真人,金融机构开始通过远程在线视频来解决问题,也就是客户通过与人工坐席远程连线来完成身份鉴别。但是这种半线上化的方式也有弊端,需要大量的人工坐席,有时候客户的网络环境不稳定,导致体验不太好。
因此,很多企业开始改进方案,引入无远程坐席的方式,通过录制视频,在录制的过程中,随机产生数字或文字,客户通过念读,系统识别唇语与语音,以进行活体识别。
又或者,在生成视频的过程中,要求客户根据随机指令来进行点头、摇头、头的偏转等动作,金融机构的系统通过分析姿态、动作和微表情进行活体检测。
当然,也还有一些其他的非主流的视频检测技术,如:根据自然光线来进行的一些检测。
活体检测完成只能证明执行操作的客户在视频之中,还需要核实客户的身份。在互联网上,金融机构拿不到客户的物理身份证明文件,如果只提供身份证明文件的照片,照片是非常容易伪造的,并且肉眼难以鉴别。
虽然现在也有一些技术,可以根据自然光线来对实物照片来进行一些鉴别,但技术的成熟度普遍不高。
因此,目前比较普遍的做法是:根据客户提供的身份信息与身份核查数据库的信息进行比对;根据视频中的人像照片再与身份核查数据库的照片进行比对。
这里有一个非常核心的基础设施,那就是向外开放、安全的、受监管的身份核查数据库,这一般是来源于国家或政府部门核发身份证件的权威数据。对于金融机构来说,没有比这更有效的身份信息的鉴别方式了,也正因为存在这样的基础设施,金融的线上化才能在中国取得长足的发展。目前我们也看到香港也开始在构建这样的基础设施。
所有国家和地区都会有隐私保护措施,身份核查数据库的技术门槛比较高,信息安全措施也比较严格,也需要对接入的机构进行审核。
目前合法的接口服务主要是由公安部下属的事业单位NCIIC所提供,除此之外也还有一些官方授权的接口服务商。由于NCIIC提供服务的时间久远,加上部分运营商偷偷缓存,且管理不严或技术漏洞,数据泄露还是比较严重的。在中国,身份信息交易是非法的,可以被量刑,公安部也在大力打击非法信息交易。
由于银行机构属于强监管机构,一般来说,银行机构对于开户、开卡都会比较严谨、规范,客户通常都会被要求去柜面核验身份。
中国的个人银行账户体系有三类:一类户、二类户、三类户。一类户的服务是最全面的,限制最少,必须要去到银行的场所去完成身份的核验。有一类户以后才能开二类户和三类户,二类户和三类户必须绑定一类户,开户不要求临柜核验。
实际上,基于银行卡、银行账户的身份鉴别方式是信任银行已有的身份核验程序,一方面用来进一步核验客户身份(一般来说银行卡和账户在自己手上,相关的操作是自己所为),另一方面也用来核验客户所提供的银行账户信息。
在早期,很多互联网金融平台要求客户转账,互金平台根据转款记录中的户名和账号来确定客户身份。
而后,鉴权方式变得更加复杂多样:
举一个简单例子:客户在互金平台只需要提供自己身份证件信息、银行卡号、手机号码进行绑卡,银行会核验信息的正确性,再给客户留存在银行的手机号码发送短信验证码,客户只要在平台上输入短信验证码,就完成了绑卡。
由于存在着电影特效处理这样的合法场景,视频处理技术得到了快速发展,尤其是人脸、姿态、表情的拟合以及其他视频特效技术。通过视频进行活体检测的方式也开始逐步面临挑战,我们来看几组图片:
现在,人脸、声音和表情拟合的实时处理技术也逐渐成熟,深度伪造的技术门槛也越来越低,伪造也几乎没有成本。
因此传统的视频检测活体的方法也会面临挑战,传统的一些视频活体检测技术会失效,金融机构不再容易鉴别在互联网的另一端的“客户”的真实身份。
我们可以看几组视频,骗过一些传统的视频活体检测技术并没有太大难度:
现代社会,我们有各种各样的自媒体,我们也会在朋友圈分享照片,人脸作为我们主要的生物特征,近乎是公开的,深度伪造的数据基础无处不在。
视频可以被伪造,那么基于视频中的截取的照片以及伪造的身份信息与身份核验数据库进行比对,也不可能辨别出真伪。
伪造一个身份的成本有多高呢?黑产无处不在,我给大家看看在某境外社交媒体上搜索的信息:
身份证、银行卡、Ukey、手机卡等全套下来,也许成本还不到四百块,有些甚至两三百块就可以买到。并且,这些身份证、银行卡、Ukey、手机卡以及基于这些之上的微信、支付宝账户一应俱全,他们会把记录养好,也就是俗称的“养卡”的过程。
这些又是怎么来的呢,这些人会去到贫困山区,找到一些人,向村民们购买身份证、银行卡、手机号码,或利用遗失的身份证、买来的身份证或泄露的身份信息去把关不严的银行、电信运营商开户,也不排除银行和运营商内部协同作案的可能性。
线上身份识别与线上信息核验是金融科技的阿喀琉斯之踵。
有阳光的地方就会有黑暗,远在人类诞生之初,欺诈就已经存在了,伴随着人类社会前进的脚步,欺诈也不会停止。这是一个魔高一尺道高一丈,又或者道高一尺魔高一丈的游戏。
金融科技构建起来的基础也并不是想象那么牢固,金融机构(银行、小贷、消费、三方支付等)也不是那么的高枕无忧。
也许有人会问境外的金融科技基础设施比较薄弱,为什么金融科技也能够发展,我很想对他们说:有一种力量(黑产),我们一无所知。
清科灵境