起底人脸认证黑产：破解接单月赚3万 800元传授黑科技

　　欢迎关注“创事记”微信订阅号：sinachuangshiji

　　“哪里有人脸认证的需求，哪里就会有生意。”

　　“代人脸认证”之所以能够被定义为“黑产”，在于无论是上游服务需求方，还是中游的技术服务商，亦或是下游的个人信息提供方，都游走在灰色地带。

　　而正是基于这条完整而缜密的供需产业链条，才让月赚3万的“代认证”工作生意兴隆，并且师徒相承灯火旺盛；也让加设了人工智能和人脸认证的安全应用门槛形同虚设。

　　文/力琴 四月  编辑/四月

　　来源：机器之能（ID:almosthuman2017）

　　凌晨两点，正是酣睡的好时间，昏暗的灯光下只剩下罗江快速敲打键盘的声音。因行业的特殊性，罗江通常是夜里上班，白天休息，此刻他精力充沛。

　　入行一年半，罗江起初靠传授“代人脸认证”技术谋生，摸爬滚打积累熟人客户，现在已经建立起一个小型工作室。

　　行情好的时候就做业务，行情不好就开课接生。

　　“只要技术好（代人脸认证），投入成本低，利润可观。行情好的时候，一个月赚3万不成问题。”罗江说道。

　　他向机器之心展示了自己在2019年10月和11月的账单，收入分别是2.63万元以及3.22万元。

　　有人的地方就有江湖，但这个江湖不太能见着光。这几年，人脸识别认证应用在互联网市场得到大规模的应用与推广，已经形成一条完整的产业链，而通过帮助他人完成人脸识别认证，并从中牟利的黑产也应运而生。

　　在这条完整的产业链上：

　　处于上游的需求人群，利用实名认证账户变现（薅羊毛）、推广、倒卖实名账户；

　　中游的技术服务商则以专门“代人脸识别认证”谋生，多以个体户或者小型工作室形式运作，提供过人脸认证、注册等服务，以及售卖过人脸认证软件等；

　　而在下游则是各种身份证、人脸照片、电话卡等身份信息的提供方。

　　在此次调查中，机器之心围绕中游进行展开，其营利模式包括两类，一是通过多次代过人脸认证牟利；二是单次售卖“代人脸认证”（圈子里也称“过人脸认证”）软件及方法。

　　为深入人脸识别认证黑产，我们潜入了一个名为“测试样本”的社群。

　　每天，社群都被各种“卖料”、“过某App人脸认证”、“提供过脸技术”消息刷屏，这些群通常处于满员状态，群里的讨论异常热闹。

　　跟他们打交道，得懂“行话”，否则就会吃一鼻子灰。目前，一些平台对于倒买倒卖的非法交易开始打压，这些“卖料”和“过证”人颇为谨慎。

　　1

　　支付类认证需求旺盛

　　“哪里有人脸认证的需求，哪里就有生意。”

　　有需求就有市场。目前很多类型的App都会默认开启“人脸认证”功能，以验明使用者的真实身份。

　　透过各类卖家在社群散发的“过人脸认证”广告，涉及的App类型包括几大类：支付型、社交型、婚恋以及生活服务型。

　　有从业者告诉机器之心，很多买家对支付类的过人脸认证需求较为旺盛，这也成为他们最赚钱的“业务”。

　　支付类App以支付宝为代表。在支付宝应用中，通常涉及到推广拉新、转账支付等都必须为真实用户，需要首先进行身份验证。所需信息包括姓名、身份证号码，身份证正反面照片，扫脸认证身份，以及最后绑定银行卡。

　　从业者罗江表示，现有专门针对支付宝账号售卖和收号的卖家，大多数都有过人脸认证的需求。账号分白号、V2、V3，等级不同，价格不同。

　　业内把只用手机号注册的号称之为白号；

　　通过人脸认证，绑定身份证的账号为V2；

　　通过人脸认证，绑定身份证以及银行卡的账号为V3。

　　罗江表示，一个已经绑定身份的支付宝V2账号，最多可卖到70元，V3账号最高可卖几百元。

　　至于购买支付宝账号客户的需求，多数用于参与支付宝拉新、薅羊毛、提升蚂蚁花呗额度等。此外，机器之心还发现有部分买家涉及灰色金融交易，包括用非本人身份进行贷款和盗刷钱财等。

　　谈到这方便，社群内回应很少；如果私信直接询问盗刷和贷款，可能被拉黑。

　　罗江表示，“干违法的事情不长久，如果你想这样做，别人都不搭理你。”

　　但罗江并不认为自己的生意有任何违法违规的嫌疑，他提供的支付宝过人脸认证的方案，只是认证通过后的买家如何操作，罗江认为已经与他无关，便可撇清责任。

　　基于支付宝需要活体认证的需求，罗江通过单个生成的眨眼、摇头等视频来模拟活体，帮助用户“骗过”应用，以此收费。

　　“一个视频最低20元，一天就可以卖出几百份”，罗江说道。按此计算，他的一天收入可到数千元。

　　不过，这并非是一项长久生意。

　　“最近受到支付宝升级、系统严查等影响，支付宝过脸的通过率低了很多。”罗江说道，群内顶着“支付宝”打广告的人也渐渐少了。

　　2

　　黑产还盯上了社交App

　　过脸认证蛋糕很大，就连社交类App的过人脸认证也被“黑产”盯上。

　　陌生人社交行业从2011年开始，先是诞生诸如陌陌、探探等平台级的陌生人社交产品。多数陌生人社交App基于“LBS定位+看脸”模式运作，机器将通过人脸识别判定所传照片是否为真人头像。

　　用户上传照片后，还需要通过人脸识别进行真人检验，检验成功后才拥有配对选择的权利。由于平台缺乏监管，黑灰产无孔不入，诈骗、涉黄等事件时常发生。

　　为规范互联网婚恋交友行业经营行为，今年10月24日，探探、陌陌、百合佳缘、有缘网共同发起《互联网婚恋交友行业自律公约》。

　　《公约》对“用户实名认证”提出了明确的限制，要求通过动态验证码、人脸识别、人工审核等方式完成实名认证，而未经实名认证的用户则无法进行发帖、评论等交互服务。

　　新京报曾曝光探探的人脸认证问题，该名记者将自己的头像顺利地认证为明星照片。探探是一款知名陌生人社交软件，用户通过观看照片、信息等资料，滑动手指来进行配对。

新京报记者用艺人头像通过探探的真实头像认证

　　在探探进行真人认证通常需要两步。首先，上传的图片要通过审核，之后用户通过人脸认证才可成功。认证之后探探头像下方会出现一个蓝V的标志。

　　因为陌生人社交软件的特殊属性，相关平台一直是电信诈骗、非法引流等诸多黑色产业链的重要上游之一，此前，石家庄的一位探探用户刘茜（化名）就发现自己的照片被用于网络招嫖。

　　而盗用他人身份认证漏洞的存在则让诈骗犯们更加轻松地绕过AI技术的安全关卡。

　　“代过各大网站，随机动作，人脸验证，全能选手，需要的私聊。”在一个近500人满员内部社群里，一位昵称为“五八网络科技工作室”的卖家不停吆喝着。

　　他称其可以通过“过App人脸认证”技术，破解多款App的动态人脸认证，帮助买家完成实名认证，其中包括58同城、陌陌、世纪佳缘、伊对等。

　　各个平台人脸代认证的价格不一样，58同城是40元，陌陌是80元、世纪佳缘是130元、伊对160元。

　　机器之心联系到卖家，亲自“体验”了一回“代认证服务”。

　　正常情况下，通过一个App的实名认证需要通过三重认证手续：手机号验证、身份证认证和人脸认证。

　　第一步，只需要购买可查收手机验证码的手机卡就可以完成，单价在五到十几元不等。

　　后续两道关卡则需要买“料”，即指买入身份证正反面以及半身照片，料的成本较低，通常不超过五元。

　　我们以三元的单价购入了十套身份证信息，每套内含高清身份证正反面，以及一张半身照。

　　卖家只要求我们提供手机号和验证码，不到五分钟，就完成了一次“非本人身份”的“实名认证”。在我们的账号下，已经成功了绑定他人的身份证账号和姓名。

58同城账号被“代人脸认证”

　　在58同城，完成人脸认证的用户可拥有发布、网邻通、金融产品以及商业推广的使用特权。

　　这位卖家表示，目前在对接一家公司的过人脸需求。

　　“一个公司，几百人，一个人5个账户，都要做。”昵称为“五八网络科技工作室”说道，“公司客户通常就是大生意了。”

　　3

　　800元！人脸过证技术包教会

“过人脸”认证教学演示过程

　　在内部社群里，罗江直接把业务贴在了昵称栏——“过各种人脸，出优质视频”。

　　罗江称：“破解58人脸认证，这套『过App人脸认证技术』仅需800元，包教会。”

　　我们以“求学”为由深入了解了这项神秘的“黑科技”。

　　所谓的“过人脸认证技术”并不仅指单个技术，而是由多个软硬件方案组合而成。据罗江介绍，可提供电脑版和手机版两套方案：

　　逍遥模拟器破解版、CrazyTalk、三色工具箱、虚拟摄像头，三者构成电脑版的配置；如果要在手机端使用，则需配备一台小米4或者OPPOR9、华为，外加刷机包。

　　通过他发来的演示视频，我们看到网盘里的文件夹有动态制作工具软件包——CrazyTalkv6.1、三色工具箱。

　　CrazyTalk是一款CG动画制作专业软件，由软件公司Reallusion推出，目前已经迭代到第八代，主要用于面部动画制作，该软件使用语音和文本对面部图像进行生动的动画处理。

　　在罗江演示的CrazyTalk文件夹里，有多个摇头、抬头、眨眼等ctildle格式的脚本，其中文件名涉及联通、陌陌、58同城等平台。

　　“现在只教58同城的过人脸方法，很简单”，罗江说道。“只需要提供身份证大头照或者手持身份证照片即可。至于其他平台的『刷脸』都可以自己去揣摩。”

　　在这个小型的过认证工作室里，罗江主要负责拉业务，教学的任务则由他的徒弟“小点”负责。

　　通过QQ远程操控，点点在我们的电脑上演示制作流程。

　　在Crazytalk软件中导入人脸照片，一点一点地标记眉峰、眼角等人脸关键点。他还时不时提醒，圈定的位置要尽量贴合五官的轮廓，否则导出视频后，就会容易被看出破绽。

　　整套素材的制作原理在于将人脸照片通过软件套在动作脚本上，便可按脚本做出眨眼、点头、摇头、张嘴的动作，随后经过格式工厂导出视频格式。

　　最后通过将制作好的“活体视频”投放在需要验证的手机或者电脑摄像头前端，完成验证。

　　早些时候，《法治周末》曾披露破解某支付类App动态人脸识别的全操作流程。

　　准备条件包括：持有“高质量料子”（一手高清静态正面人像大头照、身份证正反面照）、“VR过人脸技术7.0刷机包”和一部“小米4”手机。

法治周末记者在卖家QQ远程的协助下，成功把制作好的“眨眼”人像投放在电脑端。于伟力摄

　　在手机端制作活体视频的要义在于，先通过刷机，下载脸部动画制作工具等流程，顺利制作出了活体动态人像视频。与此同时，后台系统可以自动抓取脚本，读取文件，App动态人脸识别匹配成功。

　　小点表示，一般教人学习过人脸，只会教到如何标记人像，导入脚本即可，方法操作简单。通常涉及如何制作脚本。

　　谈及原因，小点激动地说道，“那我岂不是没活路了？”

　　脚本成为破解过人脸认证的核心，不同App的过人脸识别脚本也有所不同。与小点类似的“过证技术老师们”靠着核心脚本立足行业，并不会轻易把铁饭碗交给别人。

　　4

　　成立工作室，带徒弟，规模化运营

　　在人脸识别黑产中，中游参与者扮演着重要的角色。他们是专门从事人脸识别认证的人群，多数以工作室形式运作，提供过人脸认证、注册等服务以及传授过人脸认证技术等。

　　据罗江介绍，大多数工作室以个体为单位，参与运营的人员较少。多数人学会“过人脸认证技术”后，积累一定的客户资源，便自己单干挣钱。

　　目前，罗江的工作室只有两人，与徒弟一同运作。他主要负责拉业务，接收有意学习过脸技术的人、同时兼做自己的过人脸认证业务。而徒弟小点则主要负责售后、教人学习技术以及兼作自己的业务。

　　小点的过脸认证技术由罗江传授。他入行快一年，每月可挣2万。每天晚上，罗江和小点都会按时上线，通过远程指导教人“过人脸认证”。

　　“我只教人如何使用技术，至于他人要用技术去做什么，我们一概不管”。

　　罗江目前带过的徒弟不下20人，以前是给他打下手做业务。现在手下徒弟凭着技术和熟人人脉大多都可以单枪匹马闯“江湖”。

　　对于从事人脸识别认证黑产的工作室而言，如果要保证业务经营正常，需要掌握两项门道。一是拥有过硬的过人脸认证技术，制作动作脚本的能力；二是有靠谱的“料库”，使用一手的身份证、上半身图片等等。

　　行内经常强调采用高质量“料子”，即没有重复使用的高清正面大头照、手持身份证半身照和身份证正反照，采用这种料子通过动态人脸识别的成功率较高。

　　而反复使用的“料子”，人脸认证系统会在识别时进行拦截，通过动态人脸识别的成功几率极低。

　　这个行业之所以能够成为黑产，因为从上游需求方到下游的资源提供方，都在灰色地带游走。

　　罗江很清楚自己能做什么，不能做什么。他经常提醒带过的徒弟，“管好自己就行，违法的事情干不长久”。

　　作为老手，罗江也逐渐摸透这个行业的特点，能做的好项目断断续续，只要过人脸的需求一直存在，就没有赚不到钱的生意。

　　“有些项目人家一升级，一升级就得等着，有时候还做不来。有的项目做不了也不用着急，那就等一等，做其他项目，能做就没有绝对赚不到的钱。”

　　据前瞻产业研究院数据显示，全球人脸识别技术行业市场规模为23.91亿美元。整体来看，人脸识别技术行业市场规模不断扩大，增速处于高速增长区间。

　　在国内，人脸识别技术正在大面积广泛推广，更多应用在安防和金融领域，例如学校、机场和银行等。

　　我们尚不清楚现在开通人脸认证功能的App数量，但从这次调查来看，该类App已经十分广泛，包括社交应用、支付类应用、婚恋网站、陌生人社交平台、网约车等等。

　　而与此同时，国内对人脸识别技术使用涉及的隐私问题并不乐观，尤其是对人脸识别数据及个人隐私信息的保护。目前我国并未针对人脸识别作出立法，对人脸识别数据的保护，也更多通过对公民信息和个人隐私的相关保护制度进行。

　　人脸识别技术在多行业、多终端应用的趋势已经不可逆转，但在不可估量的风险危机到来之前，落地应用这道门应该由谁来把守已经成为亟待解决的问题。

　　注：罗江和小点均为化名。