警惕利用人工智能技术绕过图形类验证机制的新型犯罪手法

科技 2025-01-18 17:41 北京

近期，广西桂林公安网安部门工作发现，桂林市阳朔县某景点票务预约平台存在被滥用痕迹。经查，系“黄牛”团伙利用平台的验证码组件缺陷，实施非法抢票行为。广西桂林公安网安部门通过调查，成功抓获该“黄牛”团伙，缴获电脑等作案工具一批。同时发现，部分图形类验证码组件风险隐患突出，极易被不法分子利用，提醒广大单位、个人加强防范。

一、案件情况

2024年国庆节假期期间，广西桂林公安网安部门工作发现，大量网民反映某景点“一票难求”，旅游社和“黄牛”勾结在社交平台大肆发布代抢票广告。广西桂林公安网安部门高度重视，立即成立专案组开展调查。经对该票务预约平台运行日志进行分析，发现存在预约行为频次高、时间连续不间断等明显被“外挂”软件滥用痕迹。通过进一步侦查，成功锁定实施犯罪的“黄牛”团伙，专案组分赴北京、重庆、四川、广西抓获犯罪嫌疑人12名，缴获电脑等作案工具一批。经核查，该“黄牛”团伙利用外挂软件在2024年国庆节假期期间非法抢票约1万张。

二、犯罪手法

经查，犯罪嫌疑人预先在外挂软件中录入游客姓名、手机号等必要信息，平台放票时外挂软件自动发起请求抢票。经分析，发现该外挂软件的技术核心在于自动快速回答票务预约平台的图形类验证机制。正常情况下，游客预约门票需手动选中随机排列的图案以通过验证。犯罪嫌疑人提前通过发起频繁的注册请求，下载了数万张同类型的验证码图片，人工对验证图片中的正确答案进行标注，再利用标注的数据训练出高准确度的图像识别模型，在抢票时利用该模型自动快速推测正确验证码。

三、风险提示

此次涉案的图形类验证码组件使用范围较广，加之当前图像识别工具普及易得，相关网络应用验证机制被破解（绕过）风险突出。春节假期临近，为防止同类案件再次发生，提示相关单位、个人加强防范：一是广大网络运营单位、个人用户应对网络应用的注册、登录、关键业务操作等环节的验证码组件进行排查，特别是采用图案点选、文字点选类型的验证方式，评估验证码方案的安全风险，并同步加强对短时间、高频次的网络请求等异常行为的监测和阻断，及时封禁异常IP。二是验证码服务提供者应采取增加噪音、变形扭曲、更换字体等措施提升验证码复杂性，使自动化工具难以识别，并持续排查验证码组件存在的安全缺陷、风险漏洞，提供升级完善方案，履行法定的告知义务。

来源：广西网警赵云程朱天乐

-END-

欢迎关注我们~

网络安全和信息化

《网络安全和信息化》杂志官方所属，网络安全人员与IT运维人员的专业管理类经验、知识、资料，帮助用户提高网络安全能力建设和IT基础设施运营水平，提升IT管理人员工作能力。

最新文章

18部门发文：不得利用困境儿童个人信息进行募捐、直播带货

《网络安全标准实践指南——人工智能生成合成内容标识服务提供者编码规则（征求意见稿）》公开征求意见

《网络安全标准实践指南——摇一摇广告个人权益规范指引（征求意见稿）》公开征求意见

面对深度伪造视频我们可以做什么

《2023-2024年中国工业和信息化发展系列蓝皮书》正式出版

伪造国家项目！这些App，高风险→

报告曝光美方对中国网络攻击和窃密行为，外交部：敦促美方立即停止相关恶意活动

两部门连发三份文件规范公共数据资源授权运营相关活动

中央网信办启动“清朗·2025年春节网络环境整治”专项行动

网警解密“黄牛”抢票“开挂秘籍”

警惕利用人工智能技术绕过图形类验证机制的新型犯罪手法

派拓网络：2025年亚太地区五大网络安全趋势预测

六部门联合印发《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》

赛迪“数科”大讲堂“行业数字化”栏目第一期：数字化—技术、场景、新商机

AI搜索虽便捷，但伴随三大挑战

工信部：加强互联网数据中心客户数据安全保护

公安网安部门公布涉“日喀则地震”网络谣言典型案例

16款App存在隐私不合规行为被通报！

多家企业不履行网络安全保护义务被依法处罚

专家解读 | 国家数据基础设施建设的四个核心问题

国家发展改革委等四部门联合印发《关于促进数据标注产业高质量发展的实施意见》

划重点！2025年我国数据领域明确重点任务

国家网信办就《网络信息内容多渠道分发服务机构相关业务活动管理规定（草案稿）》公开征求意见

中文互联网语料资源平台发布

论大数据时代个人信息保护的政府责任

公安部：2024年公安机关共办理网络暴力案件8600余起

推动数据要素发挥乘数效应

第二批汽车数据处理4项安全要求检测情况通报发布

四问+一图，读懂《关于开展万兆光网试点工作的通知》

安全跟我学｜事关个人信息，这些你可以拒绝！

Gartner：目前仅8%的中国企业将生成式人工智能部署在生产环境中

重点防范境外恶意网址和恶意IP（续三）

三部门印发《国家数据基础设施建设指引》

国家网信办就《个人信息出境个人信息保护认证办法（征求意见稿）》公开征求意见

专家解读｜构建个人信息出境个人信息保护认证制度保障个人信息跨境安全有序流动

专家解读｜推动个人信息出境个人信息保护认证制度落地促进个人信息高效便利安全跨境流动

一图读懂｜《网络数据安全管理条例》自2025年1月1日起施行

《网络数据安全管理条例》解读二：核心规则设计的变化与延续（上）

《网络数据安全管理条例》解读三：核心规则设计的变化与延续（下）

网信部门严厉打击整治网络水军问题

《网络安全和信息化》杂志2025年第1期目录

收到这类短信，速删！

2024年1—11月我国软件业务收入122903亿元同比增长10.7%

22款APP及SDK存在侵害用户权益行为被通报

赛迪科创Pre独角兽（2024）发布

19项密码行业标准发布，自2025年7月1日起实施

六部门印发《关于促进数据产业高质量发展的指导意见》

数据领域常用名词解释（第一批）

《网络数据安全管理条例》解读一：条例出台的必要性与重要性

小型语言模型：AI领域的新热点

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉