本文來自微信公眾號:市界(ID:ishijie2018),作者:周奕航,編輯:韓忠強,原文標題:《“刷臉”惹禍,交通銀行用户40萬存款被盜》,題圖來自:視覺中國
人臉識別方便了我們的生活,也打開了潘多拉的魔盒。
2021年,有不法分子利用交通銀行的人臉識別授權功能,再通過潛伏在用户手機裏的木馬病毒攔截短信驗證碼,盜取了多位用户的銀行存款,受害者包括金融行業員工、大廠員工、律師以及公司高管。有用户統計信息後告訴市界,目前至少涉及6名用户被盜刷資金,每户金額從幾萬到幾十萬不等,總金額超200萬元。
部分用户為了追回自己被盜刷的存款,選擇將交通銀行訴至法庭,但在今年6底,卻收到了法院對交通銀行“未見存在明顯的過錯和過失”的一審判決,駁回用户全部訴訟請求。博弈還在繼續,一位受害者表示:“我們的資金因為交通銀行的人臉識別風險被盜刷,雖然一審判決並不如意,沒有打贏官司,但我們會繼續上訴。”
這些案例幾乎都被定性為電信詐騙。事實上,脱去電信詐騙的外殼,人臉識別的風險也不容小覷。不少持卡人明確表示:“從來不敢使用人臉識別進行支付。”
被盜刷40多萬
“因為銀行的人臉識別系統風險,存款全軍覆沒,一審判決又被全部駁回。如果是你,會是什麼樣的心情?”談及一年前存款被盜刷的那個下午,楚楓難掩失落。
“當時一個自稱是公安局的人找到我,準確地説出了我的姓名、身份證號、工作單位以及家庭住址等信息。他説我的信息已經泄露,銀行卡存在被盜刷的風險。”
在獲取了楚楓的信任後,對方發來一個所謂的防護網址。而只要點進去這個網址,就會中木馬病毒,對方可以攔截楚楓的短信和電話。對方想讓楚楓看到什麼,才能看到什麼。
後來,他建議楚楓重新辦理一張交通銀行卡。“將存款轉入新卡中,這樣已經泄露的銀行卡信息對騙子來説也沒什麼用了。”
在接到這個電話之前,楚楓和交通銀行沒有任何淵源。
對於這個突如其來的“善意”提醒,楚楓選擇相信——對方完全站在公允的立場提醒用户小心詐騙。而重新辦理一張銀行卡也無可厚非,交通銀行畢竟是國有大行之一,安全性肯定有保障。
就這樣,楚楓在交通銀行的營業廳開了卡,將自己的40多萬存款悉數轉入其中。同時還開通了交通銀行的小額轉賬功能——對應的轉賬限額為單筆最高5萬元,單日累計5萬元。
(用户在交通銀行網點開通銀行卡及小額轉賬功能。來源:用户提供)
但隨後發生的事情讓他意識到不太對勁——對方一直在催促他將家裏的存款全部存入這張卡中。楚楓立刻報警、聯繫銀行凍結賬户。但為時已晚,剛剛存入的幾筆存款已經被盜刷了。
楚楓傻眼了。自己連手機銀行的APP還沒有來得及下載,剛剛設置的轉賬限額也是每天只有5萬元,不法分子在不到一個小時的時間裏,是如何將40多萬的存款盜刷的?
根據交通銀行規定,用户首次登錄手機銀行APP,需要手機短信的驗證碼和人臉識別的雙重驗證。(由於楚楓沒有下載手機銀行APP,所以沒有登錄密碼)。而交通銀行客服的説法也證實,“楚楓”利用了人臉識別重置了登錄密碼。
這也就是説,不法分子利用木馬病毒攔截了楚楓的手機短信,而後通過“假人臉”,重置密碼後登錄了楚楓的交通銀行賬户。
在交談過程中,楚楓着重強調了交通銀行人臉識別系統的第一個風險——如果不法分子使用的“假人臉”不能通過銀行人臉識別系統的認證,那麼後續涉及短信驗證碼、以及登錄銀行賬户等情況均不會發生。
而不法分子實現了盜刷資金的第一步後,又利用人臉識別調高了轉賬限額。2021年交通銀行的轉賬規則顯示——通過人臉識別,可以將單筆5萬的限額調整至單筆限額20萬,將每日5萬的轉賬限額,調整至每日限額50萬。
(通過“人臉識別”,可以調高轉賬限額。來源:用户提供)
調整限額後,就可以再次利用人臉識別加上攔截到的短信驗證碼進行轉賬。
楚楓提供的轉賬流水顯示,不法分子共進行了五次大額轉賬,加上登錄軟件重置密碼和調高限額的操作,共涉及6次人臉識別的過程,活檢結果均顯示通過。
(不法分子利用“假人臉”盜刷銀行卡,6次通過活檢。來源:用户提供)
至於不法分子究竟是什麼來頭——警方調取的內容顯示,不法分子的IP地址為中國台灣,使用的手機是一款海外手機,型號為摩托羅拉XT1686。
充滿戲劇性的是,楚楓本人在辦卡當天並未離開北京。而遠在台灣的不法分子,卻6次通過活體人臉識別,盜刷了他本人的40多萬存款。
楚楓表示,他的情況並非個案。在過去的2021年,僅他知道的就還有5位用户,同樣通過交通銀行人臉識別被盜刷,時間集中在2020年10月~2021年10月。
截至目前,距離楚楓的存款被盜刷已過去了整整一年,但法院一審判決的結果卻給了他當頭一棒,判決結果是交通銀行“未存在明顯過錯”,將楚楓的訴求全部駁回。
(法院判決交通銀行“無明顯的錯誤或過失”。來源:用户提供)
人臉識別市場的“AB”面
人臉識別的流程,包括圖像採集、預處理、人臉特徵點提取、人臉檢測和人臉匹配等。
與傳統的輸入密碼以及其它認證方式相比,人臉識別技術的應用在某些領域可以提高效率,優化流程,具有采集快捷等優勢。
近年來,受益於國內深度學習算法的發展和數據的累積,人臉識別應用如雨後春筍般湧現。人臉解鎖、人臉支付、上班打卡……人臉識別在這些場景的應用,已經得到了社會的廣泛關注。
深度科技研究院院長張孝榮告訴市界:“目前國內人臉識別的市場規模大約50~70億元,從業者以智能安防企業,互聯網巨頭和AI領軍企業為主,金融、交通和娛樂領域也在廣泛應用。”
雖然人臉識別在多個領域廣為涉獵,但由於金融領域涉及到用户的支付安全問題,目前的人臉識別精度尚無法完全滿足相關需求。加之用户還沒有完全養成人臉識別的習慣,冰鑑科技研究院王詩強認為,應用於金融領域的人臉識別尚處於成長階段。
伴隨着人臉識別領域不斷髮展和擴張,質疑人臉識別濫用的聲音也越來越多。最直接的佐證是,人臉識別在一些領域已經開始退場——央視315晚會曾曝光過行業內蒐集人臉信息的亂象,最終多地零售門店、售樓處被迫拆除了人臉識別的攝像頭。
而在移動端,一些涉及刷臉支付、視頻採集等需要用到人臉信息的軟件,卻在隱私政策中對如何收集、使用、存儲、處理人臉信息避而不談,甚至還會在未告知用户的情況下直接採集人臉圖像數據。
談及人臉識別所比對的信息來源,張孝榮表示:“信息來源一般比較複雜。除了用户按要求自行上傳外,還包括證件信息採集設備收集,公安部門數據庫接口,有關部門視頻頭監控數據,第三方數據庫,網絡公開信息資料等等。”
對此,令牌雲的創始人陳建偉認為:“人臉識別在採集相關信息的過程中,涉及隱私的風險巨大。主要是不清楚採集方是否緩存或泄露了用户的人臉照片,哪怕僅僅是人臉特徵值。”
但值得一提的是,在日漸複雜的應用場景下,相關監管也如期而至。2021年7月,最高人民法院出台 《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》;2021年11月,《個人信息保護法》正式生效。
在人臉識別領域,雖然建立的法律法規主要從個人信息保護法的角度出發,但也傳遞出了監管層想要在商業服務場景中規範人臉識別行為的信號。
到底是誰的錯?
在與楚楓的交談過程中,有一句話讓人印象深刻。“如果不是交通銀行的人臉識別系統存在風險,為何不法分子要煞費苦心引導我把存款從其它銀行卡轉入交通銀行卡中。”
針對交通銀行方面“在用户大額轉賬的過程中,已打電話求證轉賬人和收款人的名字等信息,盡到了提醒義務”的説辭,分析師李好好表示:“在用户手機電話和短信都被攔截的前提下,銀行核實方式的力度有些‘弱’。況且用户剛剛在北京辦好銀行卡,不法分子就可以在台灣立刻盜刷。即便是社交平台,出現異地登錄的情況也會有異地風險提示。”
也就是説,交通銀行在判斷轉賬風險以及異地登錄方面的風控“核而未實”,做得不盡如人意——這是交通銀行人臉識別系統存在的第二個“風險”。
如楚楓所説,即便用户存在信息泄露的問題,最初每日的轉賬限額也僅為5萬元。但不法分子利用“假人臉”提升了每日的轉賬限額。人臉識別在這個過程中起到了關鍵作用,最終用户蒙受損失。
關於交通銀行人臉識別存在的“風險”,市界向交通銀行求證,但截至發稿,並未收到對方回應。
值得一提的是,交通銀行的系統曾優化升級了好幾次,還曾在2021年9月9日發佈了一份“關於人臉識別停用”的公告。
(交通銀行優化系統。來源:交通銀行官網)
據鳳凰網科技報道,為交行提供人臉識別服務的公司眼神科技,成立於2016年6月。眼神科技2020年9月在公眾號中表示,交通銀行引入了眼神科技的ABIS多模態生物識別統一身份認證平台,融合指紋、人臉、指靜脈、虹膜等多種核心技術,應用於VIP識別、無人銀行、智易通、手機銀行等應用場景。
交通銀行在2021年年報中表示,銀行將以普惠金融、貿易金融、科技金融、財富金融“四大特色”為重點,創新金融供給,深化科技賦能,以數字化思維重塑業務流程、展業模式和服務方式,守牢金融風險防控底線。
從數據來看,2021年交通銀行實現營收2693.9億,同比增長9.42%;累計金融科技投入為 87.5 億元,同比增長 23.60%,佔營收的4.03%,同比提升了0.5個百分點。
除了交通銀行使用人臉識別認證外,其他包括工、農、中、建在內的國有大行以及部分股份制銀行,均有人臉識別這一流程。
“AI人臉技術”在本質上僅僅是軟件算法而已,如何在享受人臉識別便捷性的同時,避免黑產方的破解?冰鑑科技研究院王詩強表示:“需要相關從業機構配備技術人員,做好技術保密工作,建立預警機制,及時優化升級相關技術,才能降低相關風險發生,減少客户損失。”
本文來自微信公眾號:市界(ID:ishijie2018),作者:周奕航,編輯:韓忠強