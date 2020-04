▲ 【FinTech】如果錄咗對方把聲 用「聲紋認證」係咪可以Hack到電話銀行?

嚟到「聲紋認證」系列第四篇,應該呢個系列嘅最後一篇喇,上三集就用咗好多篇幅去比較同分析HSBC同Citibank嘅「聲紋認證」技術各自有咩長短處,亦都嘗試去解釋佢哋背後嘅思維。

嚟到最後一篇,不如問個到肉啲嘅問題,就係如果我把聲畀人偷錄咗,佢係咪就可以盡情hack入我Phone Banking嗰度做嘢呢?

Citibank係不在此考慮的

如上幾篇文所講呢,由於Citibank嘅Voice authentication只係適用於有「真人接綫」嘅服務,咁如果你畀人偷錄咗把聲又唔使驚嘅,因為Citibank係邊傾偈邊認證嘅,「錄音」就係死嘅,即係唔識傾偈啦,所以我諗個CS哥哥姐姐唔會聽到你「九唔搭八」+「突然變聲」都唔發現掛。

所以呢個位Citibank又(好似)意外地比HSBC技高一籌;HSBC嘅定位係用嚟代替Phone PIN,即係大家用Voice Authentication登入之後,可以喺全機器嘅IVR(Interactive Voice Response)度做要做嘅事,全程係完全無人,亦唔需要再出聲嘅。

雖然未必可以轉賬,不過剩係幫你買末日輪都夠死咯喎,點算點算?

喺HSBC嘅世界偷錄係唔容易嘅

又同大家溫吓書,HSBC個Voice authentication technology叫咩呢?叻喎,就係叫Vocal Password,即係要講一句特定嘅語句,廣東話就係「我有件事想搵你幫吓手」,英文就係「I will need your help with something」,咁你又唔會無啦啦講句咁嘅嘢,又會畀人錄到啦係咪?

除咗一個特殊情況……就係當你打去Call centre用呢句Pass phase嚟登入嘅時候,我開着電話個錄音機偷錄就得喇。

You Cannot Step Into the Same River Twice

如果係咁,呢個時候Footprint Algorithms就大派用場喇。

呢個係甚麼東西呢?華田就喺網上搵到Avaya一份有關Vocal Password的Configuration guideline(佢都係用Vocal Password架喇),第33頁講到這個Footprint Algorithms的運作原理:

1. 當聲音檔被製成Vocal Password,系統會自動製成並儲存一個「腳印」,這個會是該段聲的一個縮影。

2. 當下次再有聲音進入要求認證的時候,該新製成的腳印會與以往的腳印作比對。

3. 根據跟以往所有的腳印的比對,系統會決定最新的一個腳印跟以往的腳印「過於相似」,從而得知這段聲音是不是一個錄音。

講簡單啲, 由於人應該係永遠無辦法講同一句說話兩次,所以如果呢一段聲同上一段聲太相似,咁就證明呢段聲係一個錄音喇!係咪好聰明先?

咁如果佢真係咁叻趁你日常對話偷咗你段聲呢?

Footprint Algorithm要有效發揮作用,前提係要嗰段聲要出現過喺銀行嘅System入面,但係如果嗰段聲真係純綷喺日常生活入面偷錄,個賊再對住個電話嚟做Playback,咁點算呢?

根據滙豐於2017年6月一份名為Voice Biometrics — Future of Financial Services嘅PowerPoint入面,喺第5頁倒數第三個Point,HSBC提到對於Playback有2套防衛機制:

Channel Playback and Footprint Algorithms help reduce risk of recorded playback of the IVR VocalPassword passphrase.

Footprint Algorithms就講咗喇,咁乜嘢叫Channel Playback呢?

Channel Playback的原理

我諗大家喺屋企睇歌唱節目嗰陣,都會遇到藝員「咪嘴」嘅情況,我哋隔住個電視機、單憑耳仔細心去聽,都係可以分辯出嚟的。

Channel Playback嘅大致想法就係模擬呢種經驗,嚟辨別出進入系統嘅聲音到底係「直接由聲帶發出」(即係Authentic嘅)定係「透過錄音機」(即係Playback)出嚟嘅。

背後個原理其實我都唔識,華田就親自Playback咗兩次自己把聲(係全新嘅)進入滙豐個系統,全部都終告失敗,當然可能係因為我部手機個Speaker太爛、雜音太多,又或者背景唔夠寧靜等等原因啦。

大家都可以試一試,不過試2次好喇,試多幾次佢以為你把聲真係畀人Compromise咗,轉頭幫你Suspend埋啲服務呀。

【文章來源:華田銀行;已獲授權轉載。原題:如果錄咗對方把聲,用「聲紋認證」就係咪可以hack到phone banking呢?】

【關於作者】

兒時夢想做i-banker,結果做了bank worker,還要是retail那種。過去在各大小銀行不同部門流徙,叫人借錢、催人還錢、審批貸款、出股票app、出借錢app、出信用卡、廣告策劃、銷售管理、分行佈點、生物認證、電子排隊、機器學習、敏捷開發,到現在還未安定下來。不懂財經、不懂經濟,只想談一下「銀行」這回事。