f**********a
发帖数: 72 | 1 交通银行一储户被偷走近43万元 当银行人脸识别系统被攻破
李红(化名)万万没想到,诈骗人员从她的交通银行卡偷走近43万元,如入无人之
境。
要想从交通银行卡中转账,需要用户在手机银行App上进行人脸识别,并进行短信
验证。李红陷入了诈骗分子的圈套,她的手机短信被拦截,手机号被设置了呼叫转移,
令她的验证码落入他人手中,且无法接听银行的确认电话。
更严重的是,“人脸识别”被攻破了。银行系统后台显示,在进行密码重置和大额
转账时,“李红”进行了6次人脸识别比对,均显示“活检成功”。
那几次人脸识别并不是身在北京的李红本人操作,登录者的IP地址显示在台湾。当
李红本人登录手机银行时,卡里的钱已被悉数转走。她去派出所报案,警察很快认定她
遭遇了电信诈骗,并立案侦查。
既然不是本人操作,为何还能“活检成功”?李红怀疑交通银行人脸识别系统的安
全性,并以“借记卡纠纷”为由将交通银行告上法庭,要求赔偿。
2022年6月30日,北京市丰台区人民法院一审驳回了李红的全部诉求。她准备继续
上诉。
每个人只有一张脸,因其不易被仿冒,人脸识别被认为具有较高安全性,近年来被
普遍适用于银行验证中,用来保障资金安全。但超出普通人认知的是,人脸具有唯一性
的生物识别信息,是敏感个人信息,它裸露在无处不在的摄像头下,极易获得。在如今
人脸识别系统并不成熟的情况下,用合成活动人脸骗过审核系统的案例屡见不鲜。
长期关注个人信息保护的专家,都对人脸识别的滥用充满忧虑。清华大学法学院教
授劳东燕指出,从制度框架的合理设定来考虑,制造更多风险、获取更多收益的一方,
理应承担更多的风险与责任,“人脸识别是银行引进的,其是作为风险制造的参与方,
通过这种方式银行也获益更多,应该承担和其所获收益成比例的风险责任”。
她还指出,随着人工智能的发展,诈骗手段科技含量更高,银行应当与时俱进,使
其安保技术超过犯罪手段的技术。如果银行因人脸识别技术存在的漏洞而相应承担责任
,会有助于敦促银行堵住技术上的安全漏洞,对可能发生的诈骗犯罪起到预防作用。
被骗42.9万元
从接通电话那刻起,李红就陷入“协助破案”的迷局中。那是2021年6月19日上午
10:30,电话那头自称“北京市公安局户政科陈杰警官”的人告诉李红,她的护照此前
在哈尔滨涉嫌非法入境,让她向哈尔滨市公安局报案。对方轻易地报出了李红身份证号
,这令她开始相信电话那头的“警官”。
李红被转接给哈尔滨市公安局的“刘警官”。对方告诉她,她涉嫌“李燕反洗钱案
”,并让她登录一个网站查看“公文”。李红用手机登录对方提供的网站后,发现在一
张蓝底的“通缉公告”上,印着自己的身份证照片、身份证号等户籍信息。
这令她陷入恐慌,因为在她平常的认知中,这些信息只有公安内部的人才能获得。
接下来,她对“警官”的指挥百依百顺。按照指示,她从网站下载了“公安防护”软件
和视频会议软件“瞩目”。
“公安防护”是一款诈骗人员常用的“李鬼”手机软件,其设计模仿“国家反诈中
心”,如果受害者在里面输入银行卡和密码,诈骗人员就可在后台获取这些信息。
而“瞩目”虽然是普通的视频会议软件,但提供共享屏幕功能。在“刘警官”的要
求下,李红通过“瞩目”,向对方共享了自己的手机屏幕,令其掌握了她安装的App种
类信息,对方还通过这项功能远程操控她的手机,令她的手机号设置了呼叫转移,无法
接收短信和电话。
最容易被忽略的是“露脸”。对方告诉李红,为了验证她是本人操作,她要通过“
瞩目”开启会议模式,于是李红的人脸信息轻易暴露在对方面前。这也成为对方实施诈
骗的关键一环。
李红始终没能挂断电话,“刘警官”故意令她与外界隔绝。下午13:46,按照要求
,李红赶到交通银行北京长辛店支行,开设了一张借记卡。银行开卡记录显示,李红预
留了自己的手机号,并允许借记卡通过“网上银行、手机银行、自助设备”三种方式转
账,也允许这张卡进行境外取现和消费,但在其他功能中,她选择了“小额免密免签不
开通”。
这意味着,当她进行5万元以内的转账时,仍需要验证。此外,李红还设置了转账
限额,每日只能累计转账5万元。
在办理借记卡的过程中,交通银行向李红发放《北京市公安局防范电信诈骗安全提
示单》。这份提示单中,载明了业务类型为“开通网银或手机银行”,并提示她可能存
在有冒充公检法的人员,以打电话的方式告知她涉及案件,要求她向对方提供的账号转
账,或是告知网银密码。李红在这份提示单上签字。
李红刚刚办好的借记卡,这张卡就被诈骗人员所掌控了。银行后台显示,当天13:
51,即李红开卡15分钟后,就有诈骗人员通过人脸识别验证,重置了李红的用户名和密
码,登录了她的手机银行。但李红对此并不知情,她正按照“刘警官”的要求,为了“
清查个人财产”,向卡转入所有积蓄,以及所有能够贷款获得的现金。
交易记录显示,14:06至14:09,李红向这张卡转账5笔共计25万元,14:11和14
:13,又分两笔转入5万元,此时李红卡内已有30万元。短短几分钟后,14:20诈骗人
员就通过掌握的李红的手机银行,将这30万元转了出去。此后在14:30,李红又向卡内
汇入12.9万元,这些钱在14:40被悉数转出。至此诈骗人员转走了李红42.9万元。
诈骗人员掌握了李红的“人脸识别+动态密码”后,通过修改密码,登录了她的手
机银行,此后便如入无人之境,即使李红设置了每日5万元转账限额,也在诈骗人员登
录后被轻易修改,之后每笔大额转账也都通过“人脸识别+动态密码”验证通过。
交通银行北京长辛店支行在法庭上回应称,“交易密码、动态密码以及辅助人脸识
别的客户鉴别模式”符合监管要求,并且在李红转账过程中,银行对她进行了风险提示
,包括通过运营商向她发送了短信密码、短信风险提示,以及在内部系统大数据分析发
现异常后,拨打了李红的手机,对转账人身份及转账情况进行核实。
但李红称,对于银行所称发送了22条短信密码及短信风险提示,她只收到了其中的
11条,而银行的来电她并未接到。这背后的原因在于她的短信被诈骗人员拦截,电话也
呼叫转移到了诈骗人员的手机上。
银行提供的通话录音显示,在当天14:23,在诈骗人员正将李红银行卡中的30万元
转出时,银行客服拨通李红预留的手机号,询问对方是否是李红本人、转账是否本人操
作、收款人信息、与收款人的关系、转账的用途等,接电话的人均认可系本人操作,还
称与收款人是朋友关系。
下午16:00,李红察觉到“刘警官”的反常态度,她在16:39用自己的手机首次登
录了手机银行,却发现钱已被盗刷,她意识到自己被骗,前往派出所报警,并联系银行
挂失银行卡。
银行出具的通话录音显示,当天17:08至17:25,银行三次拨通李红预留的手机号
,接电话的人起先称自己是李红,认可办理过业务,否认办理银行卡挂失,但后来否认
自己是李红,称客服“打错了”。
蹊跷的“活检成功”
民警追查到,2021年6月19日在13:51至14:42之间,李红手机银行登录者的IP地
址在台湾,使用的设备是摩托罗拉XT1686,而当时李红在北京,她的手机型号是小米8。
银行后台记录显示,李红的借记卡在6月19日那天共有7次操作涉及人脸识别,均显
示识别成功通过,其中1次为借记卡申请,1次为登录密码重置,5次为大额转账,除了
第一次不涉及活检,后6次操作“活检结果”均为成功。
李红并未亲自操作,为何6次“活检结果”均为成功?李红的丈夫马跃(化名)在
金融系统工作多年,他成为妻子起诉交通银行的代理人。他告诉《中国新闻周刊》,银
行定下的“人脸识别+短信验证码”的验证模式,其本质目的在于确保由用户本人亲自
操作转账,他妻子在完全不知情的情况下,被诈骗人员从账户中转走钱,银行应当承担
保管不力的责任。
“这就好比,本来约定需要我本人去银行才可以转账汇款,现在别人假冒我去银行
,银行没有发现,那么造成的损失不应该由我完全承担。”他认为,银行与储户之间的
关系是债权关系,银行受骗,不应让储户承担全部责任。
李红以“借记卡纠纷”为案由起诉交通银行后,要求银行赔偿存款损失,但北京市
丰台区人民法院一审驳回了她的诉求。
法院认为,李红在42.9万元被盗过程中“过错明显”,交通银行作为指令付款方,
已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份,未见存在明显的
错误或过失。
马跃认为,李红在北京刚办理了借记卡,紧接着IP地址在台湾的诈骗人员就能用不
同的设备登录,并频繁操作大额转账,如此异常的操作,银行本应该识别出转账的非储
户本人。
李红的遭遇并非孤例。早在2020年10月,浙江的赵女士就遭遇了同样的骗局,她的
经历曾经被杭州本地媒体报道。赵女士讲述,在与假冒警察的犯罪分子视频时,对方曾
要求她做“张嘴”“眨眼”“摇头”等动作,疑似通过录像来骗过银行的人脸识别系统。
联系上赵女士之后,马跃又联系到4名同样的受骗者,他们6人都遭遇了同样的诈骗
套路,涉案金额超过200万元。
这6名受害者都为女性,受骗时间最晚的在2021年10月。她们都生活在大都市,具
备一定知识水平,多人具备研究生学历,还有人就是律师。
交通银行的人脸识别服务商为北京眼神科技有限公司(下称“眼神科技公司”)。
这家公司成立于2016年6月,其创始人、董事长兼CEO周军曾公开表示,其研究的“生物
密码”,令“用户到哪里密码就跟随到哪里”“只有本人可用”。
其官网介绍,眼神科技是业内较早将指纹识别、人脸识别、虹膜识别等生物识别技
术引入金融行业的AI企业,在金融行业,其目前已服务于中国工商银行(4.350, 0.02,
0.46%)、中国农业银行(2.780, 0.02, 0.72%)、中国银行(3.010, 0.01, 0.33%)、中国
建设银行(5.510, 0.02, 0.36%)、交通银行、邮储银行(4.700, 0.04, 0.86%)、招商银
行(35.280, 0.41, 1.18%)、民生银行(3.650, 0.03, 0.83%)等近150家银行机构,客户
覆盖率达80%,实现柜面内外应用、手机银行、自助银行、风控管理等金融业务场景的
全面覆盖。
2020年9月,眼神科技公司宣布中标交通银行人脸识别项目,向交通银行全行提供
人脸识别产品,“在现金管理、支付结算及账户管理等业务场景中实现人脸活检及身份
识别功能”。
在2021年9月,李红和其他女性被诈骗报案后,交通银行曾公告停用过人脸识别。
这不久,马跃就发现交通银行手机银行系统进行了改版升级。但在这年10月,仍有一名
受害人的交通银行账户被假人脸攻破。
目前,在交通银行手机银行用户协议中,人脸识别技术提供方仍是眼神科技公司,
记者就此事联系了这家公司,但对方未给予答复。
板子该打在谁身上?
人脸识别系统被攻破,银行究竟有没有责任?浙江理工大学法政学院副教授郭兵告
诉《中国新闻周刊》,在李红一案中,重点正是人脸识别系统被诈骗人员轻易攻破。
郭兵长期关注人脸识别的安全性。他认为,李红的人脸信息有可能被诈骗人员仿造
了,“诈骗人员掌握了她的人脸信息,通过技术手段可以生成动态的人脸信息”。他说
,有一种人脸活化软件,可分析照片和视频中的人脸信息,生成一张可供人操控的“假
人脸”,来骗过人脸识别软件。
“我们的人脸识别技术不可能尽善尽美。”他提出,随着人工智能的发展,人脸识
别软件和破解的活化软件都在发展,要谨防“道高一尺魔高一丈”。
事实上,被广泛应用的人脸识别技术,其破解难度有时简单得出乎意料。郭兵说,
2019年,浙江有几名小学生用照片破解了居民小区的快递柜,轻易取走他人的快递。而
在2021年10月,清华大学的学生团队,仅用人脸照片就成功解锁了20款手机。
“人脸的照片太容易获得了。”郭兵说,如果人脸识别系统用照片就能解锁,在遍
布摄像头的当下,可能预示着巨大的隐患。
“现在电信诈骗非常猖獗,盗用人脸信息的手段层出不穷,也给银行的人脸识别系
统带来挑战。”郭兵说,近期学界也对活化软件展开了研究,“这都是釜底抽薪的手段
”。
他更担心的是,随着技术的发展,犯罪分子可能掌握了照片,就可“活化”出动态
人脸,骗过人脸识别系统。
银行的防护能力关系到储户的资金安全。郭兵认为,应当对银行的人脸识别系统提
出更高的要求。
在立法层面上,对人脸信息的保护正在逐步加强。在李红被诈骗几个月后,《个人
信息保护法》正式生效,其中突出了作为敏感个人信息的生物识别信息的特别保护,规
定“处理个人敏感信息应该进行更多的告知,包括相应的风险,以及应当取得个人的单
独同意”。
在清华大学法学院教授劳东燕看来,银行普遍存在变相强迫采集储户人脸信息的现
象。她说,“至少就我个人的体会,去银行办理存款等业务,人脸识别都是在强制之下
弄的,如果不同意采集人脸就办不了相应业务。”
她告诉《中国新闻周刊》,尽管《个人信息保护法》强化了对人脸信息的保护,但
这种强化其实只体现于征求同意的环节,其他地方和普通个人信息几乎没有差别,并没
有在实质上抬高法律保护的门槛。
所以,她坚持认为,全国人大及其常委会有必要考虑对生物识别信息进行单独立法
,不应放在《个人信息保护法》的框架下来进行保护。
她还提到,李红在银行办卡时被要求签署的《北京市公安局防范电信诈骗安全提示
单》提示效果有限,“现在诈骗手段层出不穷,仅靠个人的警惕是很难防住的”。
在她看来,这个提示单对防范各种诈骗无法起到实质性作用,当储户被诈骗后,反
而有可能起到让银行转嫁责任的效果。
“防范和打击犯罪,本应由国家、银行与相关单位承担主要责任,现在越来越多变
相地转嫁到作为被害人的个人身上。”她指出,“过多地让弱者承担风险并不公平”。
劳东燕认为,要防范此类诈骗犯罪,重要的是在制度框架层面重新来考虑合理分配
风险的问题。她说,“风险跟责任有关,谁制造的风险原则上就应当由谁来承担。”
她指出,人脸识别的推广和带来的风险,实际上是科技企业和银行制造的,在这其
中,银行也比储户获得了更多科技带来的好处,“谁在其中获益最大,谁就应该承担与
获益成比例的风险”。
“另外,还应当考虑预防能力与预防效果方面的因素,将板子打在谁身上,预防效
果是最好的呢?”在她看来,银行的预防能力比储户要强得多,如果由银行部分地或按
比例地承担因人脸识别风险造成的损失,将有助于督促银行审慎采集与保护储户信息,
加强人脸识别系统的安全技术保障。
“银行对人脸信息的技术保障需要超过一般的犯罪手段,否则,银行就不应采集与
使用储户的人脸信息。”她说。
发于2022.7.18总第1052期《中国新闻周刊》杂志
杂志标题:当银行人脸识别系统被攻破
记者:苑苏文 |
|
