炒股就看金麒麟ળ分ì析师研报,权威,专业,…及时,全面,助您挖掘潜力主题机会!
Á 李红(化名)›万万没想到,诈骗人员从她的交通银行卡偷走近43万ν元,如入无人之境。
要想从交通银行卡中转账,需要用户在手机◑银行App上进行人脸识别,并进行短信验证。李红陷入了诈骗分子的圈套,她的手机短信被拦截,手机号被设置了呼叫转移,¤令她的验证码Ξ落入他人手中,且无法接听银行的确认电话。
更严重的是,“人脸识别”被攻破了。银行系统后台显示,在进行密码重置和大额转„账时,“李红”ća;进行了6次人脸Ê识别比对,均显示“活检成功”。
那几次人脸识别并不是身在北京的李红本人操作♩,登录者的IP地址显示在台湾。当李红本人登录手机银行时,卡里的钱已被悉∫数转走。她去派出所报案,ó警察很快认定她遭遇了电信诈骗,并立案侦查。
既然不是本人操作,为何还能“活检成功”?李红怀疑交ⓕ通银行人脸识别系统的安全性,并以ćb;“借Ν记卡纠纷”为由将交通银行告上法庭,要求赔偿。
2022年6月χ30日,北∃京市丰台区人民法院一审驳回了李红的全部诉求。她准备继续d3;上诉。
每个人只有一张脸,因其不易被仿冒,人脸识别被认为具有较高安全性,近年来被◘普遍适用于银行验证中,用来保障资金安全。但超出普通人认知的是,人脸具有唯一性的生物识别信息,是敏感个人信息,它裸露在无处不在的摄像👽头下,极易获得。在如今人脸识别系统并不成熟的情况下,用合成活动人脸骗过审核系统的案例屡见不鲜。
长期关注个人信息保护的专家,♣都对人脸识别的滥用充满忧લ虑。清华大学法学院教授劳东燕指出,从制度框架的合理设定来考虑,制造更多风险、获取更多收益的一方,理应承担更多的风险与责任,“人脸识别是银行引进的,其是作为风险制造的参与方,通过这种方式银行也获益更多,应该承担和其所获收益成░比例的风险责任”。
她还指出,随着人工智能的发展,诈骗手段科技含量更≥高,银行应当与时俱进,使其安保技术超过犯罪手段的技术。如果银行因人脸识别技术存在的漏洞而相应承担责任,会有助于敦促银行堵住技术上的安全漏洞,对可É能发生的诈骗犯罪ࢵ起到预防作用。
被骗‚42.9‰万元Κ
从接通电话那��起,李红就陷入“协助破案”的迷局中。那是2021年6月19日上ϑ午10:30,电话那头自称“北京市公安局户政科陈杰警官”的人告诉李红,她的护照此前在哈尔滨涉嫌非法入境,让她向哈尔滨市公安局报案。对方轻易地报出了李®红身份证号,这令她开始相信电话那头的“警官”。
李红被转接给哈尔滨市公ઝ安局的“刘警官”。对方告诉她,她涉嫌“李燕反洗钱案”,并让她登录一个网'站查看“公文”。李红用手机登录对方提供的网站后,发现在一张蓝¶底的“通缉公告”上,印着自己的身份证照片、身份证号等户籍信息。
这令她陷入恐慌,因为在她平常的认知中,这些信息只有公安内部的人才能ક获得。接下来,她对“警官”的指挥百依百顺。按照指示,她从网站下载了“公安防护”软件和视Å频会议软ü件“瞩目”。
ä “公安防护”是一款诈骗人员常用的“李鬼”手机软件,其设计模仿“ੋ国家反诈中心”,如果受害者在里面输入银行卡和密码,诈骗人员就可在后台获取这些信息。
◈ 而“瞩目”虽然是普通的视频会议软件,但提ƒ供共享屏幕功能。在“刘警官”的要求下,李红通过“瞩目”,向对方共享了自己Ε的手机屏幕,令其掌握了她安装的App种类信息,对方还通过这项功能远程操控她的手机,令她的手机号设置了呼叫转移,无法接收短信和电话。
ñ 最容易被忽略的是“露脸”。对方告诉李红,为了验证她是本人操作,她要通过“瞩目”开启会议模式,于是李红的æ人脸信息轻易暴露在对方面前。这也成为对方实施诈骗的关键一环。
李红始终没能挂断电话,“刘警官”故意令她与外界隔绝。下午13:46,按照要求,李红赶到交通银行北京长辛店支行,开设了一张借记卡。银行开卡记录显示,李红৻预留了自己的手机号,并允许借记卡通过“网上银行、手机银行、自助设备”三种方式转账,也Á允许这张卡进行境外取现和消费,但在其他功能中,她选择了“小额免密免签不开通”。બ
这意味着,当她进行5∝万元以内的转账时,仍需要验证。此外,李红还设置了转账限额,每日只能累计转账5万元。
在办理借记ąc;卡的过程中,交通银行向李红发放《北京市公安局防范电信诈骗安全提示单》。这份提示单中,载明了业务类型为“开通网银或手机银行”,并提示她可能存在有冒充公检法的人员,以打电话的方式告知她涉及案件,要求她向对方提供的账号转账,或是告知网银密码。李红在这份提示单上签字。€
李红刚刚ਫ办好的借记卡,这张卡就被诈骗人员所掌控了。银行后台显示,当天13:51,即李红开卡15分钟后,就有诈骗人员通过人脸识别验证,重置了李红的用户û名和密码,登录了她的手机银行。但李红对此并不知情,她正按照“刘警官”的要求,为了“清查个人财产”,向卡转入所有积蓄,以及所有能够贷款获得的现金。
交易记录显示,14:06至14:09,李红向这张卡转账5笔共计25万元,14:11和14:1👽3,又分两笔转入5万元,此时李红卡内已有30万元。短短几æ分钟后,14:20诈骗人员就通过掌握的李红的手机银行,将这30万元转了出去。此后在14:30,李红又向卡内汇入12.9万元će;,这些钱在14:40被悉数转出。至此诈骗人员转走了李红42.9万元。
诈骗人员掌握了李红的“人脸识别+动态密码”后,通过修改密码,登录了她的手机银行⌋,此后便如入无人之境,即使李红设置了每日5万元转账限额,也在诈骗人员登录后被轻易修改,之后每笔大额转账也都通过“人脸识别+动态密码£”验证通过。
交通银行北京长辛店支行在∪法庭上回应称એ,“交易密码、动态密码以及辅助人脸识别的客户鉴别模式”符合监管要求,并且在李红转账过程中,银行对她®进行了风险提示,包括通过运营商向她发送了短信密码、短信风险提示,以及在内部系统大数据分析发现异常后,拨打了李红的手机,对转账人身份及转账情况进行核实。
但李红称,对于银行所称发送了22条短信密码及短信风险提示,她只收到了其中的11条,而银行的来电她并未接到。这背后的原因在于她的短信👽被诈骗人员拦截,电话也呼叫转移⁄到了诈骗人员的手机上。
银行提供的通话录音显示,在当天14:23,在诈d3;骗人员正将李红银行卡中的30万元转‘出时,银行客服拨通李红预留的手机号,询问对方是否是李红本人、转账是否本人操作、收款人信息、与收款人的关系、转账的用途等,接电话的人均认可系本人操作,还称与收款人是朋友关系。
ⓛ
下午16:00î,李红察觉到“刘警官”的反常态度,她在16:3ৄ9用自己的手机首次登录了手机银行,却发现钱已被盗刷,她意识到自己被骗,前往派出所报警,并联系银行挂失银行卡。
银行出具的通话录音显示,当天17:08至17:25,银行三次拨通李红预留的手机号,接电话的人੫起先称自己是李红,认可办理过业务,否认办理银行卡挂失,但后来否认自己是李红,称ૡ客服“打错了”。
࠷ 蹊跷的π“活检成૧功”
民警追查到,2021年6月19日在13:5Āf;1至14ૠ:42之间,李红手机银行登录者的IP地址在台湾,使用的设备是摩托罗拉XT1686,而当时李♦红在北京,她的手机型号是小米8。
银行后台记录显示,李红的借记卡在6月19日那天共有7次操作涉及人脸识别,均显示识别成功通过,其中1次为借记卡申请,1次为登录密码重置,5次为大额转账,除了第一次不涉及活®ü检,后6次操作“活检结果”均为成功。
ઝ
李红并未亲自操作,为何6次“活检结果”均为成功?李红的丈夫马跃(化名)在金融系统工作多年,他成为妻子起诉交通银行的代理人。他告诉《中国新闻周刊》,银行定下的“人脸识别+短信验证码”的验证模式,其本∇质目的在于确保由用户本人亲自操作转账,他妻子在完全不੦知情的情况下,被诈骗人员从账户中转走钱,银行应当承担保管不力的责任。
∋ 憨“这就好比,本来约定需要我本人去银行才可以转账汇款,现在别人假冒我去银行,银行没有发现,那么造成的损失不应该由我完全承担。”他认为,银行与储户之间的关系是债权关系,银行受骗,不应让储户承ϒ担全部责任。
Π 李红以“借记卡纠ઞ纷”为♠案由起诉交通银行后,要求银行赔偿存款损失,但北京市丰台区人民法院一审驳回了她的诉求。
法院认为,李红在42.9万元被盗过程中“过错明显”,交通银行作为指令付款方,已通过多个登录密码、验证码、人脸ô识别的合理方式识别使⊃用人身份,未见存在明显的错误或过失。
马跃认为,李红在北京刚办理了借记卡,紧接着IP地址在台湾的诈骗人员就能用&不同的设备登录,并频繁操作大额转账,如此异常的操作,银行本应该识别出转账Ø的Ö非储户本人。
李红的遭遇并非孤例。早在2020年10月,浙江的赵女士就遭遇了同样Α的骗局,她的经历曾经被杭州本地媒体报道。赵女士讲述,在与假冒警察的犯罪分子视频时,对方曾要求她做“张嘴”“眨眼”“摇头”等动作,૧疑似通过录像来骗过银行的人脸识别系统。
联系上赵女士之后,马跃又联系到4名同样的受骗者,👿他们6人都遭遇了同样的诈骗套⌉路,涉案金额超过200万元。
Í这6名受害者都为女性,受骗时间最晚的在20◘21年10月。她们都生活在大都市,具备一定知识水平,多人具备研究生学历,还有人就是૨律师。
ઞ 交通银Þ行的人脸识别服务商为北京眼神科技有限公司(下称“眼神科技公司”)。这家公司成立于2016年6月,其创始人、董事长兼CúEO周军曾公开表示,其研究的“生物密码”,令“用户到哪里密码就跟随到哪里”“只有本人可用”。
其官网介绍,眼神科技是业内较早将指纹识别、人脸识别、虹膜识别等生ε物识别技术引入金融行业的AI企业,在金融行业,其目前已服务于中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、邮储银行、招商银行、民生银行等近150家银行机构,客户覆盖率达80%,实现柜面内外应用、▦手机银行、自助银行、风控管理等金融业务场景的Œ全面覆盖。
2020年9月,眼神科技公司宣布中标交通银行人脸识别项目,向交通银行全行提供人脸识别产品,“ι在现金管理、支付结算及账户管理等业务ળ场ય景中实现人脸活检及身份识别功能”。
在2021年9月,李红和其他女Ú性被诈骗报案后,交通银行曾公告停√用过人脸识别。这不久,马跃就发现交通银行手机银行系统进行了改版升级。但在这年10月,仍有一名受害人的交通¥银行账户被假人脸攻破。
ર 目前,在交通银行手机银行用户协议中,人脸识憨别技术提供੦方仍是眼神科技公司,记者就此事联系了这家公司,但对方未给予答复。
ਭ će;板子该打在κ谁身上?
人脸识别系统被攻破,银行究竟有没有责∈任?浙江理工大学法ćd;政学院副教授郭兵告诉《中国新闻周刊》,在李红一案中,重点正ë是人脸识别系统被诈骗人员轻易攻破。
郭兵长期关注人脸识别的安全性a1;。他认为,李红的人脸信息有可能被诈骗人员仿造了,“诈骗人员掌握了她的人脸信息,通过技术手段可以生成动态的人脸信息”。他说,有一种人脸活化软件,可分析照片和视频中的人脸信息,生成一张可供人操控的“假人脸”,来骗过人脸识别软件ψ。
“我们的人脸识别技术不可能尽善尽c8;美。”他提出,随着人工智能的发展,人脸识别软件和破解&#ffe0 ;的活化软件都在☼发展,要谨防“道高一尺魔高一丈”。
事实上,被广泛应用的人脸识别技术,其破解难度有时简单得出乎意料。郭兵说,2019年,浙江有几名小学ਠ生用照片破解了居民小区的快递柜,轻易取走他人的快递。÷而在2021年10月,清华大学的学生团队,仅用人脸照片就成功解锁了20款手机。
“人脸的照片太容易获得了。”郭兵说,如果人脸识Λ别系统用照片就能解锁,👽在遍布摄像头的当下,可能预示着巨大的隐患。
“现在电信诈骗非ò常猖獗,盗用人脸信息的手段层出不穷,也给银行的人脸识别系统带来挑战。”郭兵说,近期学ⓖ界也对活化软件展开了研究,“这都是釜底抽薪的手Ċc;段”。
他更担心的是,随着技ƒ术的发展,犯罪分子可能掌握了照片,就可“活化”出动态人脸,骗过人脸识别系统。
≅ 银行的防护能力关系到储户的资金é安全。郭兵认为,应当对银行的人脸识别系Ì统提出更高的要求。
在立法层面上,对人脸信息的保护正在逐步加强。在李红被诈骗几个月后,《个人信息保护法》正式生效,其中突出了作为敏感个人信息的生物识别信息的特别保护,规定Τ“处理个人敏感信息应该进行更多的告知,包括相应的风险,以及应当取得个人的单独同意”。b3;◙
在清华大学法学院教授劳东燕看来Āf;,银行普遍存在变相强迫采集储户人脸信息的现象。她说,“至少就我个人的体会,去银行办理存款等业务,人脸识别都是在强制之下弄的,如ƿ果不同意采集人脸就办不了相应业务。”
她告诉《中国新闻œ周刊》,尽管《个人信息保护法》强化了对人脸信息的保护,但这种强化其实只ਫ਼体现于征求同意的环节,其他地方和普通个人信息几乎没有差别,并没有在实质上抬高法律保护的门槛。
õ 所以,她坚持认为,全国人大及其常委▩会有必要考虑对生物识别信息进行单独立法,不应放在《个人信息保护法》的框架下来进行૩保护。
她还提到,李红ë在银行办卡时被要求Β签署的《北京市公安局防范电信诈骗安👽全提示单》提示效果有限,“现在诈骗手段层出不穷,仅靠个人的警惕是很难防住的”。
在她看来,这个提示单对防范各种ñ诈”骗无法起到实质性作用,当储户被诈骗后,反而有可能起到让银行转嫁责任的效果će;。
“防范和打击犯罪,本应由国家❄、银行与相关单位承担主要责任,现在越来越多℘变相地ⓚ转嫁到作为被害人的个人身上。”她指出,“过多地让弱者承担风险并不公平”。
劳东燕认为,要防范此类诈骗犯罪,重要的是在制度框架层面重新来考虑合ਖ਼理分配风险的问题。她说,“风险Ï跟责任有关,谁制造的风险原则上就应当由∨谁来承担。”
她指出,人脸识别的推广和带来的风👽险,实际上是科技企业和银行制造的,在这其中,银行也比储户获τ得了«更多科技带来的好处,“谁在其中获益最大,谁就应该承担与获益成比例的风险”。
“另外,还应当考虑预防能力♥与预防效果方′面的因素,将板子打在谁身上,预防效果是最好的呢?”在她看来,银行的预防ˆ能力比储户要强得多,如果由银行部分地或按比例地承担因人脸识别风险造成的损失,将有助于督促银行审慎采集与保护储户信息,加强人脸识别系统的安全技术保障。
“银行对人脸信息的技术保障需要超过一般的犯罪手ćb;段,否则,银行就不应Λ采集与使用储户的人脸信息。”她说。υ
发于2022↑.7.18મ总第1052期《中国新闻周刊♬》杂志
杂志标题:当银行人脸¸识别Φ系统被攻破ਲ਼
š Μ 记者:苑苏文
24小时滚动播报∀最新的财经资讯和视频,更多粉丝福利扫描二ਮ维码关注Β(sinafinance)
¡新ⓦ浪财经意见反馈留言板Ω
All Rૡights Reserved 新€浪公司 版权લ所有
