生物識別技術：印尼網絡安全的護城河

面對日益增加的網絡詐騙案件，許多東南亞科技公司正嘗試使用生物識別技術來保護數據安全、反擊網絡詐騙者，但目前這項技術仍存在漏洞。

印尼女生 Maia Estianty 原本是想在網上訂一些食物，結果她的电子錢包被不法分子洗劫一空。

2019年12月，Estianty 在 Gojek 的訂餐軟件 GoFood 上叫了一頓外賣。時間沒過去多久，她接到騎手的一通電話，說他的摩托車壞了，但幸運的是他的同事可以幫忙送 Estianty 的食物。Estianty 只需要撥打騎手提供的電話來確認該訂單已被轉交。

Estianty 照司機的話撥打了這個號碼，她沒有意識到這個號碼已經被設置了呼叫轉移，從而給黑客機會黑進她的電話。對方劫持了她的 Gojek 帳戶，透支了她 GoPay 上近80萬印尼盾（約57美元）的信用額度，隨後嘗試訪問手機上的其他 app。Estianty 趕快註銷了她的信用卡，甚至停用了電話號碼。

她在 Instagram 上發帖分享了自己的受騙經歷，雖然帖子現在已被刪除，但引起了公眾的關注。據當地媒體 Kompas 報道，Gojek 賠償了 Estianty 的信用額度損失，並公開譴責了騙子。

不幸的是，並非所有受害者都像 Estianty 那樣幸運。在印度尼西亞，類似的詐騙十分猖獗，其中很少案件能夠見報，也鮮有人得到了賠償。

與騙子賽跑

印度尼西亞有1.97億互聯網用戶，但大部分人在信息安全方面缺乏認知。根據 Gajah Mada 大學数字社會研究中心（CfDS）發布的一份報告，絕大多數印尼網絡用戶都很容易落入騙子的陷阱，甚至包括那些被認為更了解網絡的年輕一代網民。

這些網絡詐騙最常用的工具是“社會工程學”，這是黑客米特尼克在《欺騙的藝術》中提出的一種詐騙手法，利用人的心理弱點、本能反應、好奇心、信任、貪婪等，誘騙其做出某些舉動或透露機密信息，並通過這些從合法用戶手中套取的信息，進行詐騙或入侵計算機系統。騙子會用“您贏了彩票”或“這是系統要求”之類的借口來騙取受害者的一次性密碼（OTP）等隱私信息，以達成控制受害者賬戶的目的。根據 CfDS 的報告，由於對此缺乏防範意識，這種騙局在印尼很容易成功。而 CfDS 也指出，“社會工程學”已經進化的更加先進了。

為了應對日益嚴重的網絡詐騙，許多企業開始利用技術革新保護用戶的財產安全。生物識別技術就是其中一種手段，它能使網絡詐騙變得更困難。在確認身份的過程中加入用戶物理特徵的識別，例如，如果在电子錢包帳戶中檢測到異常行為，平台可能會在處理異常交易之前要求用戶進行面部或指紋識別，驗證失敗則凍結該帳戶。

很多印度尼西亞的科技公司現在都在研究生物識別技術，以提升用戶安全感。今年，Grab 推出了指紋識別來代替字符串密碼，並開始要求駕駛員和用戶在進行身份驗證時自拍。

“多年來，我們已經意識到詐騙者永遠不會停手。我們所做的，是遏制當前誘騙用戶的手段的發展，並給出新的解決辦法。” Grab 技術專利部門負責人 Wui Ngiap Foo 說。“要跟上騙子的步伐，我們也必須不斷髮展。”

生物特徵識別是 Grab 安全系統 GrabDefense 的第二層保護。該公司還使用人工智能技術對用戶的行為進行分析，AI 會根據一系列用戶特徵和數據（例如瀏覽時間和交易金額），將真實用戶與欺詐賬戶區分開。

例如，被盜的帳戶往往很少登陸，但會嘗試進行金額異常高的轉賬。當這些賬戶被標記后，系統將提示用戶進行額外的身份驗證程序，例如提交自拍照等，通過後才允許交易。而當 AI 通過欺詐模型確信欺詐行為正在發生時，系統通常會立即禁止或中止交易。

今年7月，Gojek 也上線了面部識別功能，以預防在該應用上出現交易欺詐。印尼电子錢包平台 Dana 也同樣採用了面部識別的登錄方式，Dana 的 CEO 兼聯合創始人 Vince Iswara 表示，越來越多的用戶激活了面部識別，因為該技術已被證明可以有效防止帳戶被盜。由於該登錄方式廣受歡迎，Dana 正考慮將它用於更廣泛的場景。

幾乎所有公司都表示，他們不會共享所收集的用戶生物特徵數據。Grab 稱公司非常重視個人數據保護，乘客的自拍照被安全地存儲，不與任何人（包括駕駛員）共享。而 Gojek 則有明確的隱私規定，該公司不會將用戶的生物識別數據保存在自己的系統上，而是在用戶的設備上存儲。

徘徊與盲點

據印尼政策研究及宣傳學會（ELSAM）副主任 Wahyudi Djafar 稱，目前印尼的法律中僅涵蓋了指紋和視網膜這兩種生物特徵數據，還沒有通過立法嚴格控制對生物識別數據的使用。

2020年1月最新起草的個人數據保護法案將面部特徵數據涵蓋在內，但是印尼議會尚未通過此法。根據草案，生物識別數據屬於“特定的個人數據”，只能用於有限的目的，例如在刑事案件或緊急醫療事件中。

網絡安全公司 Vaksincom 的一位安全專家 Alfons Tanujaya 表示，生物特徵識別有助於防止欺詐。“它與 OTP 不同，後者是文本中可以看到或被共享的数字號碼。生物特徵則無法複製，因為它們需要一個即時存在的物理實體。”

但是，印度尼西亞“道德黑客”組織的創始人 Teguh Aprianto 注意到了一個漏洞。使用生物特徵的登錄方式並不能完全替代密碼登錄，它們只是可選功能。由於登錄數據僅存儲在用戶的設備上，因此無法保護他們免受使用其他設備登陸賬戶（例如 Estianty 的情況）的黑客的攻擊。“指紋登錄將毫無用處，詐騙者如果可以訪問帳戶所有者的電話，仍然可以使用 OTP 劫持該帳戶。”

Aprianto 說，如果未知設備嘗試登錄的話，数字平台應該在應用內發送通知，而不是通過 SMS，而新設備只能在獲得常用設備的允許后才能登錄。

對此，科技企業必須繼續保持警惕，因為對使用“社會工程學”的欺詐者來說，生物識別技術仍然存在漏洞。

【本文作者任嘉，由合作夥伴36氪授權發布，文章版權歸原作者及原出處所有，轉載請聯繫原出處。文章系作者個人觀點，不代表立場。如內容、圖片有任何版權問題，請聯繫（editor@zero2ipo.com.cn）處理。】

【其他文章推薦】

※未上市股票風險大嗎?投資必讀10大攻略!

※未上市股票買賣運作流程及應注意事項為何?

※借錢救急!高雄借貸有多年貸款經驗的申辦團隊,提供您更多融資借貸!

※手頭吃緊沒處籌?高雄當舖合法借款,審核保密、撥款快!

※推薦新竹借款快速借錢平台

※推薦優質嘉義當舖借款平台

※推薦優質三重當舖,機車借款免留車首選