隨著科技發(fā)展,“人臉識(shí)別”的應(yīng)用越來(lái)越普遍�,然而這也為犯罪分子打開了方便之門����。一位用戶存在交通銀行的40多萬(wàn)存款���,在一個(gè)小時(shí)內(nèi),被盜刷一空��。
作者丨周奕航
編輯丨韓忠強(qiáng)
人臉識(shí)別方便了我們的生活���,也打開了潘多拉的魔盒����。
2021年�,有不法分子利用交通銀行的人臉識(shí)別授權(quán)功能,再通過潛伏在用戶手機(jī)里的木馬病毒攔截短信驗(yàn)證碼����,盜取了多位用戶的銀行存款,受害者包括金融行業(yè)員工�����、大廠員工�����、律師以及公司高管���。有用戶統(tǒng)計(jì)信息后告訴市界����,目前至少涉及6名用戶被盜刷資金��,每戶金額從幾萬(wàn)到幾十萬(wàn)不等�����,總金額超200萬(wàn)元�。
部分用戶為了追回自己被盜刷的存款,選擇將交通銀行訴至法庭���,但在今年6底�,卻收到了法院對(duì)交通銀行“未見存在明顯的過錯(cuò)和過失”的一審判決����,駁回用戶全部訴訟請(qǐng)求。博弈還在繼續(xù)���,一位受害者表示:“我們的資金因?yàn)榻煌ㄣy行的人臉識(shí)別風(fēng)險(xiǎn)被盜刷��,雖然一審判決并不如意�����,沒有打贏官司����,但我們會(huì)繼續(xù)上訴�!
這些案例幾乎都被定性為電信詐騙。事實(shí)上��,脫去電信詐騙的外殼���,人臉識(shí)別的風(fēng)險(xiǎn)也不容小覷�����。不少持卡人明確表示:“從來(lái)不敢使用人臉識(shí)別進(jìn)行支付���������!
01 被盜刷40多萬(wàn)
“因?yàn)殂y行的人臉識(shí)別系統(tǒng)風(fēng)險(xiǎn),存款全軍覆沒�����,一審判決又被全部駁回�。如果是你�����,會(huì)是什么樣的心情���?”談及一年前存款被盜刷的那個(gè)下午���,楚楓難掩失落。
“當(dāng)時(shí)一個(gè)自稱是公安局的人找到我��,準(zhǔn)確地說(shuō)出了我的姓名�、身份證號(hào)、工作單位以及家庭住址等信息��。他說(shuō)我的信息已經(jīng)泄露�����,銀行卡存在被盜刷的風(fēng)險(xiǎn)����!
在獲取了楚楓的信任后,對(duì)方發(fā)來(lái)一個(gè)所謂的防護(hù)網(wǎng)址�。而只要點(diǎn)進(jìn)去這個(gè)網(wǎng)址,就會(huì)中木馬病毒����,對(duì)方可以攔截楚楓的短信和電話。對(duì)方想讓楚楓看到什么�,才能看到什么。
后來(lái)����,他建議楚楓重新辦理一張交通銀行卡�����!皩⒋婵钷D(zhuǎn)入新卡中�����,這樣已經(jīng)泄露的銀行卡信息對(duì)騙子來(lái)說(shuō)也沒什么用了�!
在接到這個(gè)電話之前,楚楓和交通銀行沒有任何淵源��。
對(duì)于這個(gè)突如其來(lái)的“善意”提醒�����,楚楓選擇相信——對(duì)方完全站在公允的立場(chǎng)提醒用戶小心詐騙�。而重新辦理一張銀行卡也無(wú)可厚非��,交通銀行畢竟是國(guó)有大行之一���,安全性肯定有保障�����。
就這樣�,楚楓在交通銀行的營(yíng)業(yè)廳開了卡���,將自己的40多萬(wàn)存款悉數(shù)轉(zhuǎn)入其中�。同時(shí)還開通了交通銀行的小額轉(zhuǎn)賬功能——對(duì)應(yīng)的轉(zhuǎn)賬限額為單筆最高5萬(wàn)元���,單日累計(jì)5萬(wàn)元����。
(用戶在交通銀行網(wǎng)點(diǎn)開通銀行卡及小額轉(zhuǎn)賬功能。來(lái)源:用戶提供)
但隨后發(fā)生的事情讓他意識(shí)到不太對(duì)勁——對(duì)方一直在催促他將家里的存款全部存入這張卡中����。楚楓立刻報(bào)警、聯(lián)系銀行凍結(jié)賬戶�����。但為時(shí)已晚���,剛剛存入的幾筆存款已經(jīng)被盜刷了��。
楚楓傻眼了����。自己連手機(jī)銀行的APP還沒有來(lái)得及下載����,剛剛設(shè)置的轉(zhuǎn)賬限額也是每天只有5萬(wàn)元,不法分子在不到一個(gè)小時(shí)的時(shí)間里���,是如何將40多萬(wàn)的存款盜刷的�����?
根據(jù)交通銀行規(guī)定����,用戶首次登錄手機(jī)銀行APP,需要手機(jī)短信的驗(yàn)證碼和人臉識(shí)別的雙重驗(yàn)證����。(由于楚楓沒有下載手機(jī)銀行APP����,所以沒有登錄密碼)。而交通銀行客服的說(shuō)法也證實(shí)�,“楚楓”利用了人臉識(shí)別重置了登錄密碼。
這也就是說(shuō)��,不法分子利用木馬病毒攔截了楚楓的手機(jī)短信�����,而后通過“假人臉”���,重置密碼后登錄了楚楓的交通銀行賬戶�。
在交談過程中,楚楓著重強(qiáng)調(diào)了交通銀行人臉識(shí)別系統(tǒng)的第一個(gè)風(fēng)險(xiǎn)——如果不法分子使用的“假人臉”不能通過銀行人臉識(shí)別系統(tǒng)的認(rèn)證��,那么后續(xù)涉及短信驗(yàn)證碼�、以及登錄銀行賬戶等情況均不會(huì)發(fā)生。
而不法分子實(shí)現(xiàn)了盜刷資金的第一步后�����,又利用人臉識(shí)別調(diào)高了轉(zhuǎn)賬限額��。2021年交通銀行的轉(zhuǎn)賬規(guī)則顯示——通過人臉識(shí)別���,可以將單筆5萬(wàn)的限額調(diào)整至單筆限額20萬(wàn)�����,將每日5萬(wàn)的轉(zhuǎn)賬限額�,調(diào)整至每日限額50萬(wàn)��。
(通過“人臉識(shí)別”�,可以調(diào)高轉(zhuǎn)賬限額。來(lái)源:用戶提供)
調(diào)整限額后�����,就可以再次利用人臉識(shí)別加上攔截到的短信驗(yàn)證碼進(jìn)行轉(zhuǎn)賬。
楚楓提供的轉(zhuǎn)賬流水顯示��,不法分子共進(jìn)行了五次大額轉(zhuǎn)賬��,加上登錄軟件重置密碼和調(diào)高限額的操作��,共涉及6次人臉識(shí)別的過程����,活檢結(jié)果均顯示通過。
(不法分子利用“假人臉”盜刷銀行卡����,6次通過活檢��。來(lái)源:用戶提供)
至于不法分子究竟是什么來(lái)頭——警方調(diào)取的內(nèi)容顯示�,不法分子的IP地址為中國(guó)臺(tái)灣,使用的手機(jī)是一款海外手機(jī)�����,型號(hào)為摩托羅拉XT1686���。
充滿戲劇性的是�����,楚楓本人在辦卡當(dāng)天并未離開北京�。而遠(yuǎn)在臺(tái)灣的不法分子,卻6次通過活體人臉識(shí)別��,盜刷了他本人的40多萬(wàn)存款�����。
楚楓表示���,他的情況并非個(gè)案�。在過去的2021年�����,僅他知道的就還有5位用戶���,同樣通過交通銀行人臉識(shí)別被盜刷��,時(shí)間集中在2020年10月-2021年10月���。
截至目前�,距離楚楓的存款被盜刷已過去了整整一年�����,但法院一審判決的結(jié)果卻給了他當(dāng)頭一棒�,判決結(jié)果是交通銀行“未存在明顯過錯(cuò)”,將楚楓的訴求全部駁回���。
(法院判決交通銀行“無(wú)明顯的錯(cuò)誤或過失”�����。來(lái)源:用戶提供)
02 人臉識(shí)別市場(chǎng)的“AB”面
人臉識(shí)別的流程����,包括圖像采集���、預(yù)處理、人臉特征點(diǎn)提取����、人臉檢測(cè)和人臉匹配等��。
與傳統(tǒng)的輸入密碼以及其它認(rèn)證方式相比�,人臉識(shí)別技術(shù)的應(yīng)用在某些領(lǐng)域可以提高效率����,優(yōu)化流程,具有采集快捷等優(yōu)勢(shì)�����。
近年來(lái)�����,受益于國(guó)內(nèi)深度學(xué)習(xí)算法的發(fā)展和數(shù)據(jù)的累積�����,人臉識(shí)別應(yīng)用如雨后春筍般涌現(xiàn)���。人臉解鎖��、人臉支付����、上班打卡······人臉識(shí)別在這些場(chǎng)景的應(yīng)用,已經(jīng)得到了社會(huì)的廣泛關(guān)注����。
深度科技研究院院長(zhǎng)張孝榮告訴市界:“目前國(guó)內(nèi)人臉識(shí)別的市場(chǎng)規(guī)模大約50-70億元,從業(yè)者以智能安防企業(yè)�,互聯(lián)網(wǎng)巨頭和AI領(lǐng)軍企業(yè)為主,金融�����、交通和娛樂領(lǐng)域也在廣泛應(yīng)用����。”
雖然人臉識(shí)別在多個(gè)領(lǐng)域廣為涉獵���,但由于金融領(lǐng)域涉及到用戶的支付安全問題��,目前的人臉識(shí)別精度尚無(wú)法完全滿足相關(guān)需求���。加之用戶還沒有完全養(yǎng)成人臉識(shí)別的習(xí)慣,冰鑒科技研究院王詩(shī)強(qiáng)認(rèn)為���,應(yīng)用于金融領(lǐng)域的人臉識(shí)別尚處于成長(zhǎng)階段�。
伴隨著人臉識(shí)別領(lǐng)域不斷發(fā)展和擴(kuò)張���,質(zhì)疑人臉識(shí)別濫用的聲音也越來(lái)越多�。最直接的佐證是�,人臉識(shí)別在一些領(lǐng)域已經(jīng)開始退場(chǎng)——央視315晚會(huì)曾曝光過行業(yè)內(nèi)搜集人臉信息的亂象,最終多地零售門店����、售樓處被迫拆除了人臉識(shí)別的攝像頭。
而在移動(dòng)端����,一些涉及刷臉支付、視頻采集等需要用到人臉信息的軟件�����,卻在隱私政策中對(duì)如何收集����、使用、存儲(chǔ)�、處理人臉信息避而不談��,甚至還會(huì)在未告知用戶的情況下直接采集人臉圖像數(shù)據(jù)��。
談及人臉識(shí)別所比對(duì)的信息來(lái)源��,張孝榮表示:“信息來(lái)源一般比較復(fù)雜�。除了用戶按要求自行上傳外��,還包括證件信息采集設(shè)備收集��,公安部門數(shù)據(jù)庫(kù)接口��,有關(guān)部門視頻頭監(jiān)控?cái)?shù)據(jù)����,第三方數(shù)據(jù)庫(kù),網(wǎng)絡(luò)公開信息資料等等�。”
對(duì)此��,令牌云的創(chuàng)始人陳建偉認(rèn)為:“人臉識(shí)別在采集相關(guān)信息的過程中��,涉及隱私的風(fēng)險(xiǎn)巨大��。主要是不清楚采集方是否緩存或泄露了用戶的人臉照片��,哪怕僅僅是人臉特征值����!
但值得一提的是�,在日漸復(fù)雜的應(yīng)用場(chǎng)景下,相關(guān)監(jiān)管也如期而至��。2021年7月����,最高人民法院出臺(tái) 《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》;2021年11月��,《個(gè)人信息保護(hù)法》正式生效�。
在人臉識(shí)別領(lǐng)域,雖然建立的法律法規(guī)主要從個(gè)人信息保護(hù)法的角度出發(fā)��,但也傳遞出了監(jiān)管層想要在商業(yè)服務(wù)場(chǎng)景中規(guī)范人臉識(shí)別行為的信號(hào)�����。
03 到底是誰(shuí)的錯(cuò)�����?
在與楚楓的交談過程中,有一句話讓人印象深刻����!叭绻皇墙煌ㄣy行的人臉識(shí)別系統(tǒng)存在風(fēng)險(xiǎn)�,為何不法分子要煞費(fèi)苦心引導(dǎo)我把存款從其它銀行卡轉(zhuǎn)入交通銀行卡中�!
針對(duì)交通銀行方面“在用戶大額轉(zhuǎn)賬的過程中,已打電話求證轉(zhuǎn)賬人和收款人的名字等信息���,盡到了提醒義務(wù)”的說(shuō)辭���,分析師李好好表示:“在用戶手機(jī)電話和短信都被攔截的前提下,銀行核實(shí)方式的力度有些“弱”���。況且用戶剛剛在北京辦好銀行卡�,不法分子就可以在臺(tái)灣立刻盜刷����。即便是社交平臺(tái),出現(xiàn)異地登錄的情況也會(huì)有異地風(fēng)險(xiǎn)提示��。”
也就是說(shuō)�����,交通銀行在判斷轉(zhuǎn)賬風(fēng)險(xiǎn)以及異地登錄方面的風(fēng)控“核而未實(shí)”����,做得不盡如人意——這是交通銀行人臉識(shí)別系統(tǒng)存在的第二個(gè)“風(fēng)險(xiǎn)”。
如楚楓所說(shuō)�����,即便用戶存在信息泄露的問題����,最初每日的轉(zhuǎn)賬限額也僅為5萬(wàn)元����。但不法分子利用“假人臉”提升了每日的轉(zhuǎn)賬限額。人臉識(shí)別在這個(gè)過程中起到了關(guān)鍵作用��,最終用戶蒙受損失��。
關(guān)于交通銀行人臉識(shí)別存在的“風(fēng)險(xiǎn)”�,市界向交通銀行求證,但截至發(fā)稿����,并未收到對(duì)方回應(yīng)�����。
值得一提的是����,交通銀行的系統(tǒng)曾優(yōu)化升級(jí)了好幾次�����,還曾在2021年9月9日發(fā)布了一份“關(guān)于人臉識(shí)別停用”的公告��。
(交通銀行優(yōu)化系統(tǒng)���。來(lái)源:交通銀行官網(wǎng))
據(jù)鳳凰網(wǎng)科技報(bào)道�,為交行提供人臉識(shí)別服務(wù)的公司眼神科技����,成立于2016年6月。眼神科技2020年9月在公眾號(hào)中表示�,交通銀行引入了眼神科技的ABIS多模態(tài)生物識(shí)別統(tǒng)一身份認(rèn)證平臺(tái),融合指紋、人臉�、指靜脈、虹膜等多種核心技術(shù)���,應(yīng)用于VIP識(shí)別���、無(wú)人銀行、智易通���、手機(jī)銀行等應(yīng)用場(chǎng)景�。
交通銀行在2021年年報(bào)中表示��,銀行將以普惠金融�����、貿(mào)易金融�、科技金融��、財(cái)富金融“四大特色”為重點(diǎn)��,創(chuàng)新金融供給��,深化科技賦能,以數(shù)字化思維重塑業(yè)務(wù)流程�、展業(yè)模式和服務(wù)方式,守牢金融風(fēng)險(xiǎn)防控底線��。
從數(shù)據(jù)來(lái)看�����,2021年交通銀行實(shí)現(xiàn)營(yíng)收2693.9億���,同比增長(zhǎng)9.42%��;累計(jì)金融科技投入為 87.5 億元�����,同比增長(zhǎng) 23.60%�,占營(yíng)收的4.03%��,同比提升了0.5個(gè)百分點(diǎn)�。
除了交通銀行使用人臉識(shí)別認(rèn)證外,其他包括工�����、農(nóng)、中����、建在內(nèi)的國(guó)有大行以及部分股份制銀行,均有人臉識(shí)別這一流程����。
“AI人臉技術(shù)”在本質(zhì)上僅僅是軟件算法而已����,如何在享受人臉識(shí)別便捷性的同時(shí),避免黑產(chǎn)方的破解����?冰鑒科技研究院王詩(shī)強(qiáng)表示:“需要相關(guān)從業(yè)機(jī)構(gòu)配備技術(shù)人員,做好技術(shù)保密工作��,建立預(yù)警機(jī)制���,及時(shí)優(yōu)化升級(jí)相關(guān)技術(shù),才能降低相關(guān)風(fēng)險(xiǎn)發(fā)生��,減少客戶損失��。”
(文中楚楓�、李好好為化名)
(除單獨(dú)標(biāo)注來(lái)源外,以上圖片來(lái)自視覺中國(guó)(000681))
(責(zé)任編輯:李顯杰 )
最新評(píng)論