原標題:銀行人臉識別系統(tǒng)被攻破 騙子用假人臉盜刷女子銀行賬戶43萬
李紅(化名)萬萬沒想到��,詐騙人員從她的交通銀行卡偷走近43萬元����,如入無人之境。
要想從交通銀行卡中轉賬�,需要用戶在手機銀行App上進行人臉識別,并進行短信驗證��。李紅陷入了詐騙分子的圈套��,她的手機短信被攔截����,手機號被設置了呼叫轉移,令她的驗證碼落入他人手中���,且無法接聽銀行的確認電話�����。
更嚴重的是����,“人臉識別”被攻破了�。銀行系統(tǒng)后臺顯示,在進行密碼重置和大額轉賬時��,“李紅”進行了6次人臉識別比對,均顯示“活檢成功”���。
那幾次人臉識別并不是身在北京的李紅本人操作�,登錄者的IP地址顯示在臺灣�。當李紅本人登錄手機銀行時,卡里的錢已被悉數(shù)轉走�����。她去派出所報案���,警察很快認定她遭遇了電信詐騙,并立案偵查���。
既然不是本人操作����,為何還能“活檢成功”�����?李紅懷疑交通銀行人臉識別系統(tǒng)的安全性�,并以“借記卡糾紛”為由將交通銀行告上法庭�����,要求賠償�。
2022年6月30日����,北京市豐臺區(qū)人民法院一審駁回了李紅的全部訴求。她準備繼續(xù)上訴�。
每個人只有一張臉,因其不易被仿冒����,人臉識別被認為具有較高安全性,近年來被普遍適用于銀行驗證中�����,用來保障資金安全�����。但超出普通人認知的是���,人臉具有 性的生物識別信息��,是敏感個人信息����,它 在無處不在的攝像頭下,極易獲得��。在如今人臉識別系統(tǒng)并不成熟的情況下�����,用合成活動人臉騙過審核系統(tǒng)的案例屢見不鮮�����。
長期關注個人信息保護的專家��,都對人臉識別的濫用充滿憂慮�。清華大學法學院教授勞東燕指出���,從制度框架的合理設定來考慮����,制造更多風險���、獲取更多收益的一方����,理應承擔更多的風險與責任,“人臉識別是銀行引進的��,其是作為風險制造的參與方�,通過這種方式銀行也獲益更多,應該承擔和其所獲收益成比例的風險責任”�����。
她還指出�����,隨著人工智能的發(fā)展����,詐騙手段科技含量更高,銀行應當與時俱進�,使其安保技術超過犯罪手段的技術。如果銀行因人臉識別技術存在的漏洞而相應承擔責任��,會有助于敦促銀行堵住技術上的安全漏洞���,對可能發(fā)生的詐騙犯罪起到預防作用�。
被騙42.9萬元
從接通電話那刻起,李紅就陷入“協(xié)助破案”的迷局中�����。那是2021年6月19日上午10:30����,電話那頭自稱“北京市公安局戶政科陳杰警官”的人告訴李紅,她的護照此前在哈爾濱涉嫌非法入境���,讓她向哈爾濱市公安局報案��。對方輕易地報出了李紅身份證號����,這令她開始相信電話那頭的“警官”�。
李紅被轉接給哈爾濱市公安局的“劉警官”�����。對方告訴她�����,她涉嫌“李燕反洗錢案”,并讓她登錄一個網(wǎng)站查看“公文”��。李紅用手機登錄對方提供的網(wǎng)站后����,發(fā)現(xiàn)在一張藍底的“通緝公告”上,印著自己的身份證照片�、身份證號等戶籍信息。
這令她陷入恐慌��,因為在她平常的認知中��,這些信息只有公安內(nèi)部的人才能獲得�����。接下來�,她對“警官”的指揮百依百順。按照指示����,她從網(wǎng)站下載了“公安防護”軟件和視頻會議軟件“矚目”。
“公安防護”是一款詐騙人員常用的“李鬼”手機軟件,其設計模仿“國家反詐中心”�����,如果受害者在里面輸入銀行卡和密碼�����,詐騙人員就可在后臺獲取這些信息�。
而“矚目”雖然是普通的視頻會議軟件,但提供共享屏幕功能�����。在“劉警官”的要求下����,李紅通過“矚目”,向?qū)Ψ焦蚕砹俗约旱氖謾C屏幕�,令其掌握了她安裝的App種類信息,對方還通過這項功能遠程操控她的手機����,令她的手機號設置了呼叫轉移��,無法接收短信和電話。
最容易被忽略的是“露臉”����。對方告訴李紅,為了驗證她是本人操作�����,她要通過“矚目”開啟會議模式�,于是李紅的人臉信息輕易暴露在對方面前。這也成為對方實施詐騙的關鍵一環(huán)�。
李紅始終沒能掛斷電話,“劉警官”故意令她與外界隔絕�����。下午13:46�����,按照要求�����,李紅趕到交通銀行北京長辛店支行����,開設了一張借記卡����。銀行開卡記錄顯示����,李紅預留了自己的手機號,并允許借記卡通過“網(wǎng)上銀行��、手機銀行����、自助設備”三種方式轉賬,也允許這張卡進行境外取現(xiàn)和消費��,但在其他功能中�����,她選擇了“小額免密免簽不開通”���。
這意味著�����,當她進行5萬元以內(nèi)的轉賬時��,仍需要驗證����。此外����,李紅還設置了轉賬限額,每日只能累計轉賬5萬元�����。
在辦理借記卡的過程中���,交通銀行向李紅發(fā)放《北京市公安局防范電信詐騙安全提示單》��。這份提示單中���,載明了業(yè)務類型為“開通網(wǎng)銀或手機銀行”,并提示她可能存在有冒充公檢法的人員��,以打電話的方式告知她涉及案件�,要求她向?qū)Ψ教峁┑馁~號轉賬�����,或是告 銀密碼��。李紅在這份提示單上簽字��。
李紅剛剛辦好的借記卡��,這張卡就被詐騙人員所掌控了��。銀行后臺顯示����,當天13:51�,即李紅開卡15分鐘后,就有詐騙人員通過人臉識別驗證����,重置了李紅的用戶名和密碼,登錄了她的手機銀行����。但李紅對此并不知情,她正按照“劉警官”的要求�,為了“清查個人財產(chǎn)”�����,向卡轉入所有積蓄�,以及所有能夠貸款獲得的現(xiàn)金����。
交易記錄顯示��,14:06至14:09����,李紅向這張卡轉賬5筆共計25萬元,14:11和14:13���,又分兩筆轉入5萬元���,此時李紅卡內(nèi)已有30萬元。短短幾分鐘后����,14:20詐騙人員就通過掌握的李紅的手機銀行,將這30萬元轉了出去���。此后在14:30���,李紅又向卡內(nèi)匯入12.9萬元�,這些錢在14:40被悉數(shù)轉出��。至此詐騙人員轉走了李紅42.9萬元����。
詐騙人員掌握了李紅的“人臉識別+動態(tài)密碼”后,通過修改密碼����,登錄了她的手機銀行,此后便如入無人之境�,即使李紅設置了每日5萬元轉賬限額,也在詐騙人員登錄后被輕易修改��,之后每筆大額轉賬也都通過“人臉識別+動態(tài)密碼”驗證通過�。
交通銀行北京長辛店支行在法庭上回應稱,“交易密碼�、動態(tài)密碼以及輔助人臉識別的客戶鑒別模式”符合監(jiān)管要求,并且在李紅轉賬過程中��,銀行對她進行了風險提示��,包括通過運營商向她發(fā)送了短信密碼、短信風險提示�����,以及在內(nèi)部系統(tǒng)大數(shù)據(jù)分析發(fā)現(xiàn)異常后���,撥打了李紅的手機���,對轉賬人身份及轉賬情況進行核實����。
但李紅稱,對于銀行所稱發(fā)送了22條短信密碼及短信風險提示�����,她只收到了其中的11條��,而銀行的來電她并未接到����。這背后的原因在于她的短信被詐騙人員攔截,電話也呼叫轉移到了詐騙人員的手機上����。
銀行提供的通話錄音顯示���,在當天14:23,在詐騙人員正將李紅銀行卡中的30萬元轉出時��,銀行客服撥通李紅預留的手機號�����,詢問對方是否是李紅本人���、轉賬是否本人操作�����、收款人信息���、與收款人的關系、轉賬的用途等���,接電話的人均認可系本人操作�,還稱與收款人是朋友關系。
下午16:00��,李紅察覺到“劉警官”的反常態(tài)度����,她在16:39用自己的手機首次登錄了手機銀行,卻發(fā)現(xiàn)錢已被盜刷�����,她意識到自己被騙��,前往派出所報警��,并聯(lián)系銀行掛失銀行卡��。
銀行出具的通話錄音顯示����,當天17:08至17:25�����,銀行三次撥通李紅預留的手機號����,接電話的人起先稱自己是李紅�����,認可辦理過業(yè)務�,否認辦理銀行卡掛失����,但后來否認自己是李紅,稱客服“打錯了”�。
蹊蹺的“活檢成功”
民警追查到,2021年6月19日在13:51至14:42之間���,李紅手機銀行登錄者的IP地址在臺灣���,使用的設備是摩托羅拉XT1686,而當時李紅在北京�,她的手機型號是小米8。
銀行后臺記錄顯示��,李紅的借記卡在6月19日那天共有7次操作涉及人臉識別���,均顯示識別成功通過��,其中1次為借記卡申請����,1次為登錄密碼重置,5次為大額轉賬�����,除了第一次不涉及活檢���,后6次操作“活檢結果”均為成功�。
李紅并未親自操作�,為何6次“活檢結果”均為成功?李紅的丈夫馬躍(化名)在金融系統(tǒng)工作多年�����,他成為妻子起訴交通銀行的代理人��。他告訴《中國新聞周刊》�����,銀行定下的“人臉識別+短信驗證碼”的驗證模式�����,其本質(zhì)目的在于確保由用戶本人親自操作轉賬����,他妻子在完全不知情的情況下,被詐騙人員從賬戶中轉走錢����,銀行應當承擔保管不力的責任。
“這就好比��,本來約定需要我本人去銀行才可以轉賬匯款��,現(xiàn)在別人假冒我去銀行��,銀行沒有發(fā)現(xiàn)���,那么造成的損失不應該由我完全承擔�。”他認為��,銀行與儲戶之間的關系是債權關系�����,銀行受騙,不應讓儲戶承擔全部責任���。
李紅以“借記卡糾紛”為案由起訴交通銀行后���,要求銀行賠償存款損失,但北京市豐臺區(qū)人民法院一審駁回了她的訴求�����。
法院認為��,李紅在42.9萬元被盜過程中“過錯明顯”��,交通銀行作為指令付款方�,已通過多個登錄密碼、驗證碼�����、人臉識別的合理方式識別使用人身份�,未見存在明顯的錯誤或過失。
馬躍認為��,李紅在北京剛辦理了借記卡�����,緊接著IP地址在臺灣的詐騙人員就能用不同的設備登錄�,并頻繁操作大額轉賬,如此異常的操作����,銀行本應該識別出轉賬的非儲戶本人。
李紅的遭遇并非孤例�。早在2020年10月,浙江的趙女士就遭遇了同樣的騙局����,她的經(jīng)歷曾經(jīng)被杭州本地媒體報道。趙女士講述���,在與假冒警察的犯罪分子視頻時�����,對方曾要求她做“張嘴”“眨眼”“搖頭”等動作���,疑似通過錄像來騙過銀行的人臉識別系統(tǒng)。
聯(lián)系上趙女士之后��,馬躍又聯(lián)系到4名同樣的受騙者,他們6人都遭遇了同樣的詐騙套路���,涉案金額超過200萬元�����。
這6名受害者都為女性�,受騙時間最晚的在2021年10月�。她們都生活在大都市,具備一定知識水平�����,多人具備研究生學歷�����,還有人就是律師���。
交通銀行的人臉識別服務商為北京眼神科技有限公司(下稱“眼神科技公司”)��。這家公司成立于2016年6月���,其創(chuàng)始人��、董事長兼CEO周軍曾公開表示,其研究的“生物密碼”��,令“用戶到哪里密碼就跟隨到哪里”“只有本人可用”�����。
其官網(wǎng)介紹�,眼神科技是業(yè)內(nèi)較早將指紋識別、人臉識別��、虹膜識別等生物識別技術引入金融行業(yè)的AI企業(yè)����,在金融行業(yè),其目前已服務于中國工商銀行���、中國農(nóng)業(yè)銀行�����、中國銀行�����、中國建設銀行�����、交通銀行�、郵儲銀行、招商銀行��、民生銀行等近150家銀行機構����,客戶覆蓋率達80%,實現(xiàn)柜面內(nèi)外應用���、手機銀行��、自助銀行�����、風控管理等金融業(yè)務場景的全面覆蓋�����。
2020年9月���,眼神科技公司宣布中標交通銀行人臉識別項目�����,向交通銀行全行提供人臉識別產(chǎn)品,“在現(xiàn)金管理�、支付結算及賬戶管理等業(yè)務場景中實現(xiàn)人臉活檢及身份識別功能”。
在2021年9月�����,李紅和其他女性被詐騙報案后���,交通銀行曾公告停用過人臉識別����。這不久��,馬躍就發(fā)現(xiàn)交通銀行手機銀行系統(tǒng)進行了改版升級�����。但在這年10月,仍有一名受害人的交通銀行賬戶被假人臉攻破����。
目前,在交通銀行手機銀行用戶協(xié)議中����,人臉識別技術提供方仍是眼神科技公司,記者就此事聯(lián)系了這家公司���,但對方未給予答復���。
板子該打在誰身上?
人臉識別系統(tǒng)被攻破���,銀行究竟有沒有責任�����?浙江理工大學法政學院副教授郭兵告訴《中國新聞周刊》�,在李紅一案中��,重點正是人臉識別系統(tǒng)被詐騙人員輕易攻破����。
郭兵長期關注人臉識別的安全性��。他認為����,李紅的人臉信息有可能被詐騙人員仿造了���,“詐騙人員掌握了她的人臉信息�����,通過技術手段可以生成動態(tài)的人臉信息”。他說��,有一種人臉活化軟件����,可分析照片和視頻中的人臉信息,生成一張可供人操控的“假人臉”���,來騙過人臉識別軟件��。
“我們的人臉識別技術不可能盡善盡美��。”他提出�����,隨著人工智能的發(fā)展���,人臉識別軟件和破解的活化軟件都在發(fā)展��,要謹防“道高一尺魔高一丈”����。
事實上��,被廣泛應用的人臉識別技術����,其破解難度有時簡單得出乎意料。郭兵說��,2019年��,浙江有幾名小學生用照片破解了居民小區(qū)的快遞柜�,輕易取走他人的快遞。而在2021年10月�,清華大學的學生團隊��,僅用人臉照片就成功解鎖了20款手機���。
“人臉的照片太容易獲得了。”郭兵說����,如果人臉識別系統(tǒng)用照片就能解鎖,在遍布攝像頭的當下�����,可能預示著巨大的隱患����。
“現(xiàn)在電信詐騙非常猖獗�,盜用人臉信息的手段層出不窮,也給銀行的人臉識別系統(tǒng)帶來挑戰(zhàn)��。”郭兵說�����,近期學界也對活化軟件展開了研究����,“這都是釜底抽薪的手段”�����。
他更擔心的是���,隨著技術的發(fā)展,犯罪分子可能掌握了照片�,就可“活化”出動態(tài)人臉,騙過人臉識別系統(tǒng)�����。
銀行的防護能力關系到儲戶的資金安全���。郭兵認為�,應當對銀行的人臉識別系統(tǒng)提出更高的要求�����。
在立法層面上���,對人臉信息的保護正在逐步加強����。在李紅被詐騙幾個月后,《個人信息保護法》正式生效���,其中突出了作為敏感個人信息的生物識別信息的特別保護���,規(guī)定“處理個人敏感信息應該進行更多的告知,包括相應的風險�����,以及應當取得個人的單獨同意”�����。
在清華大學法學院教授勞東燕看來����,銀行普遍存在變相強迫采集儲戶人臉信息的現(xiàn)象���。她說����,“至少就我個人的體會,去銀行辦理存款等業(yè)務���,人臉識別都是在強制之下弄的���,如果不同意采集人臉就辦不了相應業(yè)務。”
她告訴《中國新聞周刊》����,盡管《個人信息保護法》強化了對人臉信息的保護,但這種強化其實只體現(xiàn)于征求同意的環(huán)節(jié)�����,其他地方和普通個人信息幾乎沒有差別���,并沒有在實質(zhì)上抬高法律保護的門檻����。
所以����,她堅持認為,全國人大及其常委會有必要考慮對生物識別信息進行單獨立法,不應放在《個人信息保護法》的框架下來進行保護���。
她還提到����,李紅在銀行辦卡時被要求簽署的《北京市公安局防范電信詐騙安全提示單》提示效果有限����,“現(xiàn)在詐騙手段層出不窮,僅靠個人的警惕是很難防住的”�。
在她看來,這個提示單對防范各種詐騙無法起到實質(zhì)性作用���,當儲戶被詐騙后����,反而有可能起到讓銀行轉嫁責任的效果���。
“防范和打擊犯罪�����,本應由國家、銀行與相關單位承擔主要責任,現(xiàn)在越來越多變相地轉嫁到作為被害人的個人身上���。”她指出���,“過多地讓弱者承擔風險并不公平”。
勞東燕認為���,要防范此類詐騙犯罪�����,重要的是在制度框架層面重新來考慮合理分配風險的問題���。她說,“風險跟責任有關�����,誰制造的風險原則上就應當由誰來承擔����。”
她指出,人臉識別的推廣和帶來的風險�,實際上是科技企業(yè)和銀行制造的,在這其中,銀行也比儲戶獲得了更多科技帶來的好處�,“誰在其中獲益最大,誰就應該承擔與獲益成比例的風險”���。
“另外��,還應當考慮預防能力與預防效果方面的因素��,將板子打在誰身上���,預防效果是最好的呢?”在她看來���,銀行的預防能力比儲戶要強得多����,如果由銀行部分地或按比例地承擔因人臉識別風險造成的損失�,將有助于督促銀行審慎采集與保護儲戶信息,加強人臉識別系統(tǒng)的安全技術保障�����。
“銀行對人臉信息的技術保障需要超過一般的犯罪手段���,否則�,銀行就不應采集與使用儲戶的人臉信息。”她說��。
投稿郵箱:chuanbeiol@163.com 詳情請訪問川北在線:http://sanmuled.cn/
