“刷臉”惹禍,交通銀行用戶40萬存款被盜

2022-07-13 18:24:21 市界 

隨著科技發(fā)展,“人臉識別”的應用越來越普遍,然而這也為犯罪分子打開了方便之門。一位用戶存在交通銀行的40多萬存款,在一個小時內,被盜刷一空。

作者丨周奕航

編輯丨韓忠強

人臉識別方便了我們的生活,也打開了潘多拉的魔盒。

2021年,有不法分子利用交通銀行的人臉識別授權功能,再通過潛伏在用戶手機里的木馬病毒攔截短信驗證碼,盜取了多位用戶的銀行存款,受害者包括金融行業(yè)員工、大廠員工、律師以及公司高管。有用戶統(tǒng)計信息后告訴市界,目前至少涉及6名用戶被盜刷資金,每戶金額從幾萬到幾十萬不等,總金額超200萬元。

部分用戶為了追回自己被盜刷的存款,選擇將交通銀行訴至法庭,但在今年6底,卻收到了法院對交通銀行“未見存在明顯的過錯和過失”的一審判決,駁回用戶全部訴訟請求。博弈還在繼續(xù),一位受害者表示:“我們的資金因為交通銀行的人臉識別風險被盜刷,雖然一審判決并不如意,沒有打贏官司,但我們會繼續(xù)上訴!

這些案例幾乎都被定性為電信詐騙。事實上,脫去電信詐騙的外殼,人臉識別的風險也不容小覷。不少持卡人明確表示:“從來不敢使用人臉識別進行支付!

01 被盜刷40多萬

“因為銀行的人臉識別系統(tǒng)風險,存款全軍覆沒,一審判決又被全部駁回。如果是你,會是什么樣的心情?”談及一年前存款被盜刷的那個下午,楚楓難掩失落。

“當時一個自稱是公安局的人找到我,準確地說出了我的姓名、身份證號、工作單位以及家庭住址等信息。他說我的信息已經(jīng)泄露,銀行卡存在被盜刷的風險!

在獲取了楚楓的信任后,對方發(fā)來一個所謂的防護網(wǎng)址。而只要點進去這個網(wǎng)址,就會中木馬病毒,對方可以攔截楚楓的短信和電話。對方想讓楚楓看到什么,才能看到什么。

后來,他建議楚楓重新辦理一張交通銀行卡!皩⒋婵钷D入新卡中,這樣已經(jīng)泄露的銀行卡信息對騙子來說也沒什么用了!

在接到這個電話之前,楚楓和交通銀行沒有任何淵源。

對于這個突如其來的“善意”提醒,楚楓選擇相信——對方完全站在公允的立場提醒用戶小心詐騙。而重新辦理一張銀行卡也無可厚非,交通銀行畢竟是國有大行之一,安全性肯定有保障。

就這樣,楚楓在交通銀行的營業(yè)廳開了卡,將自己的40多萬存款悉數(shù)轉入其中。同時還開通了交通銀行的小額轉賬功能——對應的轉賬限額為單筆最高5萬元,單日累計5萬元。

(用戶在交通銀行網(wǎng)點開通銀行卡及小額轉賬功能。來源:用戶提供)

但隨后發(fā)生的事情讓他意識到不太對勁——對方一直在催促他將家里的存款全部存入這張卡中。楚楓立刻報警、聯(lián)系銀行凍結賬戶。但為時已晚,剛剛存入的幾筆存款已經(jīng)被盜刷了。

楚楓傻眼了。自己連手機銀行的APP還沒有來得及下載,剛剛設置的轉賬限額也是每天只有5萬元,不法分子在不到一個小時的時間里,是如何將40多萬的存款盜刷的?

根據(jù)交通銀行規(guī)定,用戶首次登錄手機銀行APP,需要手機短信的驗證碼和人臉識別的雙重驗證。(由于楚楓沒有下載手機銀行APP,所以沒有登錄密碼)。而交通銀行客服的說法也證實,“楚楓”利用了人臉識別重置了登錄密碼。

這也就是說,不法分子利用木馬病毒攔截了楚楓的手機短信,而后通過“假人臉”,重置密碼后登錄了楚楓的交通銀行賬戶。

在交談過程中,楚楓著重強調了交通銀行人臉識別系統(tǒng)的第一個風險——如果不法分子使用的“假人臉”不能通過銀行人臉識別系統(tǒng)的認證,那么后續(xù)涉及短信驗證碼、以及登錄銀行賬戶等情況均不會發(fā)生。

而不法分子實現(xiàn)了盜刷資金的第一步后,又利用人臉識別調高了轉賬限額。2021年交通銀行的轉賬規(guī)則顯示——通過人臉識別,可以將單筆5萬的限額調整至單筆限額20萬,將每日5萬的轉賬限額,調整至每日限額50萬。

(通過“人臉識別”,可以調高轉賬限額。來源:用戶提供)

調整限額后,就可以再次利用人臉識別加上攔截到的短信驗證碼進行轉賬。

楚楓提供的轉賬流水顯示,不法分子共進行了五次大額轉賬,加上登錄軟件重置密碼和調高限額的操作,共涉及6次人臉識別的過程,活檢結果均顯示通過。

(不法分子利用“假人臉”盜刷銀行卡,6次通過活檢。來源:用戶提供)

至于不法分子究竟是什么來頭——警方調取的內容顯示,不法分子的IP地址為中國臺灣,使用的手機是一款海外手機,型號為摩托羅拉XT1686。

充滿戲劇性的是,楚楓本人在辦卡當天并未離開北京。而遠在臺灣的不法分子,卻6次通過活體人臉識別,盜刷了他本人的40多萬存款。

楚楓表示,他的情況并非個案。在過去的2021年,僅他知道的就還有5位用戶,同樣通過交通銀行人臉識別被盜刷,時間集中在2020年10月-2021年10月。

截至目前,距離楚楓的存款被盜刷已過去了整整一年,但法院一審判決的結果卻給了他當頭一棒,判決結果是交通銀行“未存在明顯過錯”,將楚楓的訴求全部駁回。

(法院判決交通銀行“無明顯的錯誤或過失”。來源:用戶提供)

02 人臉識別市場的“AB”面

人臉識別的流程,包括圖像采集、預處理、人臉特征點提取、人臉檢測和人臉匹配等。

與傳統(tǒng)的輸入密碼以及其它認證方式相比,人臉識別技術的應用在某些領域可以提高效率,優(yōu)化流程,具有采集快捷等優(yōu)勢。

近年來,受益于國內深度學習算法的發(fā)展和數(shù)據(jù)的累積,人臉識別應用如雨后春筍般涌現(xiàn)。人臉解鎖、人臉支付、上班打卡······人臉識別在這些場景的應用,已經(jīng)得到了社會的廣泛關注。

深度科技研究院院長張孝榮告訴市界:“目前國內人臉識別的市場規(guī)模大約50-70億元,從業(yè)者以智能安防企業(yè),互聯(lián)網(wǎng)巨頭和AI領軍企業(yè)為主,金融、交通和娛樂領域也在廣泛應用。”

雖然人臉識別在多個領域廣為涉獵,但由于金融領域涉及到用戶的支付安全問題,目前的人臉識別精度尚無法完全滿足相關需求。加之用戶還沒有完全養(yǎng)成人臉識別的習慣,冰鑒科技研究院王詩強認為,應用于金融領域的人臉識別尚處于成長階段。

伴隨著人臉識別領域不斷發(fā)展和擴張,質疑人臉識別濫用的聲音也越來越多。最直接的佐證是,人臉識別在一些領域已經(jīng)開始退場——央視315晚會曾曝光過行業(yè)內搜集人臉信息的亂象,最終多地零售門店、售樓處被迫拆除了人臉識別的攝像頭。

而在移動端,一些涉及刷臉支付、視頻采集等需要用到人臉信息的軟件,卻在隱私政策中對如何收集、使用、存儲、處理人臉信息避而不談,甚至還會在未告知用戶的情況下直接采集人臉圖像數(shù)據(jù)。

談及人臉識別所比對的信息來源,張孝榮表示:“信息來源一般比較復雜。除了用戶按要求自行上傳外,還包括證件信息采集設備收集,公安部門數(shù)據(jù)庫接口,有關部門視頻頭監(jiān)控數(shù)據(jù),第三方數(shù)據(jù)庫,網(wǎng)絡公開信息資料等等!

對此,令牌云的創(chuàng)始人陳建偉認為:“人臉識別在采集相關信息的過程中,涉及隱私的風險巨大。主要是不清楚采集方是否緩存或泄露了用戶的人臉照片,哪怕僅僅是人臉特征值!

但值得一提的是,在日漸復雜的應用場景下,相關監(jiān)管也如期而至。2021年7月,最高人民法院出臺 《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》;2021年11月,《個人信息保護法》正式生效。

在人臉識別領域,雖然建立的法律法規(guī)主要從個人信息保護法的角度出發(fā),但也傳遞出了監(jiān)管層想要在商業(yè)服務場景中規(guī)范人臉識別行為的信號。

03 到底是誰的錯?

在與楚楓的交談過程中,有一句話讓人印象深刻!叭绻皇墙煌ㄣy行的人臉識別系統(tǒng)存在風險,為何不法分子要煞費苦心引導我把存款從其它銀行卡轉入交通銀行卡中!

針對交通銀行方面“在用戶大額轉賬的過程中,已打電話求證轉賬人和收款人的名字等信息,盡到了提醒義務”的說辭,分析師李好好表示:“在用戶手機電話和短信都被攔截的前提下,銀行核實方式的力度有些“弱”。況且用戶剛剛在北京辦好銀行卡,不法分子就可以在臺灣立刻盜刷。即便是社交平臺,出現(xiàn)異地登錄的情況也會有異地風險提示。”

也就是說,交通銀行在判斷轉賬風險以及異地登錄方面的風控“核而未實”,做得不盡如人意——這是交通銀行人臉識別系統(tǒng)存在的第二個“風險”。

如楚楓所說,即便用戶存在信息泄露的問題,最初每日的轉賬限額也僅為5萬元。但不法分子利用“假人臉”提升了每日的轉賬限額。人臉識別在這個過程中起到了關鍵作用,最終用戶蒙受損失。

關于交通銀行人臉識別存在的“風險”,市界向交通銀行求證,但截至發(fā)稿,并未收到對方回應。

值得一提的是,交通銀行的系統(tǒng)曾優(yōu)化升級了好幾次,還曾在2021年9月9日發(fā)布了一份“關于人臉識別停用”的公告。

(交通銀行優(yōu)化系統(tǒng)。來源:交通銀行官網(wǎng))

據(jù)鳳凰網(wǎng)科技報道,為交行提供人臉識別服務的公司眼神科技,成立于2016年6月。眼神科技2020年9月在公眾號中表示,交通銀行引入了眼神科技的ABIS多模態(tài)生物識別統(tǒng)一身份認證平臺,融合指紋、人臉、指靜脈、虹膜等多種核心技術,應用于VIP識別、無人銀行、智易通、手機銀行等應用場景。

交通銀行在2021年年報中表示,銀行將以普惠金融、貿易金融、科技金融、財富金融“四大特色”為重點,創(chuàng)新金融供給,深化科技賦能,以數(shù)字化思維重塑業(yè)務流程、展業(yè)模式和服務方式,守牢金融風險防控底線。

從數(shù)據(jù)來看,2021年交通銀行實現(xiàn)營收2693.9億,同比增長9.42%;累計金融科技投入為 87.5 億元,同比增長 23.60%,占營收的4.03%,同比提升了0.5個百分點。

除了交通銀行使用人臉識別認證外,其他包括工、農(nóng)、中、建在內的國有大行以及部分股份制銀行,均有人臉識別這一流程。

“AI人臉技術”在本質上僅僅是軟件算法而已,如何在享受人臉識別便捷性的同時,避免黑產(chǎn)方的破解?冰鑒科技研究院王詩強表示:“需要相關從業(yè)機構配備技術人員,做好技術保密工作,建立預警機制,及時優(yōu)化升級相關技術,才能降低相關風險發(fā)生,減少客戶損失!

(文中楚楓、李好好為化名)

(除單獨標注來源外,以上圖片來自視覺中國(000681))

(責任編輯:李顯杰 )
看全文
寫評論已有條評論跟帖用戶自律公約
提 交還可輸入500

最新評論

查看剩下100條評論

熱門閱讀

    和訊特稿

      推薦閱讀