近年來�,人臉識(shí)別、指紋識(shí)別等身份驗(yàn)證技術(shù)已成為手機(jī)銀行的“標(biāo)配”��,在幫助用戶提高效率的同時(shí)���,也衍生了一些弊端。近期���,有用戶發(fā)現(xiàn)����,在光大銀行手機(jī)端轉(zhuǎn)賬時(shí)所驗(yàn)證的指紋���,并非是本人在銀行錄入的指紋���,而是手機(jī)內(nèi)存儲(chǔ)的指紋��?;谶@個(gè)發(fā)現(xiàn)��,該名用戶對(duì)“指紋識(shí)別”擁有的高權(quán)限產(chǎn)生了質(zhì)疑�。
一名用戶將自己的86萬元積蓄存入了光大銀行。但這些存款在短短的8天時(shí)間內(nèi)����,就被洗劫一空。
“在沒有交易密碼�����,沒有短信驗(yàn)證碼的情況下��,存款是如何被盜走的�?”起初,該名用戶百思不得其解��。直到她的家人查詢了登錄設(shè)備,發(fā)現(xiàn)盜刷者是通過指紋登錄了手機(jī)銀行賬戶,又以指紋支付的方式����,將存款盜刷�。
【資料圖】
隨后,她的家人按照光大銀行指紋識(shí)別的流程測(cè)試了轉(zhuǎn)賬系統(tǒng)����,并對(duì)系統(tǒng)的安全性產(chǎn)生了質(zhì)疑——轉(zhuǎn)賬過程中驗(yàn)證的指紋并非是銀行卡卡主的指紋,而是盜刷者的指紋�。
近年來,隨著大數(shù)據(jù)���、云計(jì)算��、人工智能技術(shù)的發(fā)展��,生物識(shí)別(人臉識(shí)別���、指紋識(shí)別)應(yīng)用已成為手機(jī)銀行的“標(biāo)配”。但它們?cè)跒橛脩籼峁└咝П憬莘?wù)的同時(shí)���,也給一些別有用心的人提供了可乘之機(jī)。
86萬存款被盜刷背后
2021年8月�����,年過六旬的文惠在光大銀行柜臺(tái)辦理了一張儲(chǔ)蓄卡。開通手機(jī)銀行功能后��,存入了10萬元錢���。然而讓她始料未及的是�,這筆錢只在她的賬戶短暫停留了一瞬�����,就“失蹤”了��。
文惠對(duì)存款被盜一事毫不知情��。在后續(xù)的一周里���,老人陸續(xù)向該卡內(nèi)轉(zhuǎn)入3筆存款�,最多的一筆為38萬元���。這三筆存款也沒能逃過被盜刷的命運(yùn)�,存入后立刻被洗劫一空��。
算上最開始的10萬元�����,文惠將自己的86萬存款全部轉(zhuǎn)入了該賬戶中。但由于老人的日常支出較少�,取款的機(jī)會(huì)也是少之又少,直到2021年8月12日��,文惠需要一筆錢急用����,連續(xù)幾次交易失敗后這才發(fā)現(xiàn)賬戶異常。
(8月3日-8月10日銀行賬戶交易流水�,來源:用戶提供)
文惠的家人立刻報(bào)警,聯(lián)系銀行凍結(jié)賬戶�����。但為時(shí)已晚��,在8月3日-8月10日之間�,存款已被盜刷。對(duì)此�,文惠及家人無法理解——明明轉(zhuǎn)賬限額只有5萬元,在沒有收到短信驗(yàn)證碼驗(yàn)證的情況下�����,盜刷者是如何在短時(shí)間內(nèi)盜走了大額存款����?
林浩(文惠家人)查詢了該賬戶的近期登錄設(shè)備,記錄顯示盜刷者在一臺(tái)OPPO手機(jī)上通過指紋登錄了銀行賬戶��,隨后又以指紋支付的方式完成了多筆大額轉(zhuǎn)賬�����。
(來源:用戶提供)
正常情況下����,在光大銀行手機(jī)端進(jìn)行轉(zhuǎn)賬時(shí)需要交易密碼和短信驗(yàn)證碼進(jìn)行雙重驗(yàn)證。如果開通了指紋支付����,僅需要交易密碼和指紋就可以完成交易,同時(shí)還可以將轉(zhuǎn)賬限額修改為50萬元�。
為了進(jìn)一步了解情況,林浩對(duì)光大銀行的轉(zhuǎn)賬系統(tǒng)進(jìn)行了測(cè)試��,同時(shí)用視頻記錄了測(cè)試的全過程:首先在他的手機(jī)設(shè)備上登錄文惠的銀行賬戶����,輸入交易密碼后到了驗(yàn)證指紋的環(huán)節(jié)�����。戲劇性的一幕出現(xiàn)了——林浩用自己的指紋�,將文惠賬戶的存款成功轉(zhuǎn)出����。
這個(gè)發(fā)現(xiàn)讓文惠一家極為震驚:如果盜刷者掌握了對(duì)方的交易密碼,就可以在他的手機(jī)設(shè)備上使用自己的指紋����,將其它用戶的存款盜走。
與此同時(shí)�,在林浩提供的一份與光大銀行客服對(duì)話錄音顯示,用戶開通指紋支付后��,交易時(shí)驗(yàn)證比對(duì)的指紋是手機(jī)機(jī)主的指紋�,并非是卡主的指紋。
“在銀行網(wǎng)點(diǎn)開卡時(shí)中有錄入指紋的環(huán)節(jié)���,但在手機(jī)端登錄和轉(zhuǎn)賬時(shí)查驗(yàn)的指紋卻來自手機(jī)系統(tǒng)���,并非是銀行系統(tǒng)。”林浩認(rèn)為��,光大銀行轉(zhuǎn)賬系統(tǒng)存在漏洞��,在進(jìn)行指紋認(rèn)證程序時(shí)���,銀行沒有盡到自己的責(zé)任,而是將核實(shí)指紋真?zhèn)蔚臋?quán)力交到了手機(jī)廠商的手中��。
至于交易密碼的泄露過程——林浩推測(cè)���,老人手機(jī)上的軟件數(shù)量較少��,而且習(xí)慣用同一個(gè)密碼����。有可能是盜刷者通過黑客手段碰撞其他軟件��,破解了她的銀行卡交易密碼��。
在裁判文書網(wǎng)中���,確有類似案件的判決記錄:有犯罪嫌疑人非法購(gòu)買公民個(gè)人信息����,以黑客手段對(duì)受害者的信息進(jìn)行碰撞,最終破解了受害人的賬號(hào)和密碼���。在該案件中��,光大銀行因沒能保障客戶存取款交易安全不受非法侵害����,被判全責(zé)�����。
(來源:中國(guó)裁判文書網(wǎng))
對(duì)此���,文惠家人認(rèn)為:“在銀行存款被盜取前��,老人并未進(jìn)行網(wǎng)銀操作�����,甚至手機(jī)��、銀行卡����、身份證均未離身,因此光大銀行同樣沒能盡到保護(hù)用戶銀行卡信息安全的義務(wù)��?�!?/p>
截至目前����,距離存款被盜刷已有一年多時(shí)間���。關(guān)于案件的進(jìn)展情況����,國(guó)家信訪局的告知信息中顯示:經(jīng)過大數(shù)據(jù)查詢���,錢款已被轉(zhuǎn)往國(guó)外賬戶���。目前尚無法確定嫌疑人身份,大概率是在緬甸附近�����。
“這筆錢是文惠和她母親一輩子的積蓄,以后是要留給小孩的��?!绷趾票硎荆骸皩?duì)于這樣的結(jié)果,我們也很難以接受�。”
生物識(shí)別安全幾何�����?
重新梳理文惠存款被盜刷的過程后���,市界發(fā)現(xiàn):在光大銀行手機(jī)端首次登錄時(shí)�����,需要手機(jī)號(hào)碼�、登錄密碼以及短信驗(yàn)證碼�����; 開通指紋登錄功能后�����,則省去了登錄密碼和驗(yàn)證碼的環(huán)節(jié),可以通過指紋直接登錄賬戶����。
然而在開通指紋支付的過程中也同樣需要輸入交易密碼和短信驗(yàn)證碼,并在最后通過人臉識(shí)別驗(yàn)證后�����,才能開通指紋登錄和指紋支付功能�。
也就是說, 除交易密碼泄露以外����,文惠的短信驗(yàn)證碼也可能已被竊取�����。
近年來���,電信詐騙猖獗���,許多不法分子以發(fā)送短信鏈接的形式進(jìn)行誘導(dǎo),一旦用戶點(diǎn)擊鏈接���,手機(jī)就會(huì)被植入木馬病毒����。不法分子再利用木馬病毒對(duì)用戶的短信和電話進(jìn)行攔截,進(jìn)而獲取短信驗(yàn)證碼等信息�����。
在文惠的印象中�,她沒有點(diǎn)過不明鏈接,也不太清楚自己的密碼和短信驗(yàn)證碼究竟在哪個(gè)環(huán)節(jié)泄露��,家人只能試圖從她的描述中來還原事件的整個(gè)過程���。
值得一提的是���,盜刷者在進(jìn)行第一筆大額轉(zhuǎn)賬時(shí),光大銀行后臺(tái)曾給文惠打過兩個(gè)視頻電話核實(shí)身份���,但文惠沒有及時(shí)接到����,導(dǎo)致第一次的交易因?qū)徍宋赐瓿啥∠?����。隨后,光大銀行將驗(yàn)證方式改為了人臉識(shí)別聯(lián)網(wǎng)核查(點(diǎn)頭�、張嘴、轉(zhuǎn)頭等方式)��,驗(yàn)證了“文惠”的面容�,六分鐘后,該筆交易成功�。
林浩查詢轉(zhuǎn)賬明細(xì)后發(fā)現(xiàn):盜刷者共進(jìn)行了9筆大額轉(zhuǎn)賬。只有第1筆交易有人臉識(shí)別的聯(lián)網(wǎng)核查��,其它交易僅通過交易密碼和指紋認(rèn)證的方式就被轉(zhuǎn)出�。
(來源:用戶提供)
“一般來說,不法分子會(huì)通過多種非法渠道來獲取人臉照片����?��!比四樧R(shí)別專家劉天表示: “有可能是利用證件照片或是本人視頻截屏(被騙進(jìn)行視頻通話)�����;或是通過合成照片后進(jìn)行面部替換��,生成張嘴�����、眨眼�����、轉(zhuǎn)頭等動(dòng)態(tài)人臉��;還有可能是利用網(wǎng)絡(luò)攻擊手段��,在不啟動(dòng)攝像頭的情況下�����,向系統(tǒng)中注入偽造的動(dòng)態(tài)視頻來通過人臉認(rèn)證���?��!?/strong>
藍(lán)田是一名在人工智能科技公司工作的技術(shù)人員。談及生物識(shí)別的發(fā)展現(xiàn)狀��,藍(lán)田認(rèn)為:目前的人工智能技術(shù)已較為成熟���,基本可以做到防范詐騙���。但 由于人臉識(shí)別或指紋識(shí)別在不同的場(chǎng)景應(yīng)用時(shí)涉及成本����、用戶體驗(yàn)�����、檢測(cè)速度等一系列問題��,致使不同銀行選擇的安防系統(tǒng)不同��,所以安全等級(jí)也會(huì)不同����。
至于指紋和人臉的安全性問題,劉天表示:“這是個(gè)老生常談的問題����。重點(diǎn)要看銀行�����、手機(jī)廠商是否愿意承擔(dān)高成本。如果成本不受限制�,指紋和人臉的安全性相差不多——雖然指紋識(shí)別屬于接觸式識(shí)別,可能會(huì)受汗水����、灰塵等影響,甚至還存在部分指紋的紋理恰巧在算法的盲區(qū)�����,無法被識(shí)別的情況�。但這畢竟是小概率事件, 從社會(huì)的發(fā)展角度來看�����,使用生物識(shí)別的便捷性要超過弊端��?�!?/strong>
目前人工智能技術(shù)供應(yīng)商也在幫助銀行升級(jí)風(fēng)控系統(tǒng)���,進(jìn)行AI反欺詐管理——根據(jù)數(shù)據(jù)判斷是否存在異地登錄等一系列涉嫌欺詐的行為�,一旦觸發(fā)風(fēng)險(xiǎn)條件,系統(tǒng)會(huì)自動(dòng)執(zhí)行強(qiáng)控制措施��。
“但如果銀行選擇的系統(tǒng)安全性不過關(guān)�,那么攻擊者有可能會(huì)通過代碼開發(fā)對(duì)銀行App、手機(jī)系統(tǒng)動(dòng)手腳����,入侵人臉識(shí)別的底層系統(tǒng),劫持?jǐn)z像頭���,在銀行App不啟動(dòng)攝像頭的情況下���,把視頻流直接傳給銀行App,也能繞過活體檢測(cè)��?���!?/strong>
指紋權(quán)限過高?
目前�,生物識(shí)別(人臉識(shí)別、指紋識(shí)別)已廣泛應(yīng)用于各類場(chǎng)景����,對(duì)于注重交易安全的銀行業(yè)來說�,更是占據(jù)著舉足輕重的地位�����。
在上市銀行公布的2022年半年報(bào)中��,“金融科技”無疑是高頻詞匯�����。2022年上半年����,多家商業(yè)銀行將發(fā)展金融科技�、推進(jìn)數(shù)字化轉(zhuǎn)型提升到更高的戰(zhàn)略層面,金融科技投入金額和科技人才數(shù)量占比同比均大幅提升����。
以光大銀行為例,截至2022年6月30日��,公司科技投入 21.38 億元�,同比增長(zhǎng) 25.47%;全行科技人員 2598 人�,比上年末增加 237 人�,占全行員工的 5.69%�����。
除此之外���,光大銀行還在半年報(bào)中表示:公司深化建設(shè)“123+N”數(shù)字銀行發(fā)展體系�?!耙粋€(gè)智慧大腦”持續(xù)賦能,開發(fā)訓(xùn)練算法模型超900個(gè)��;實(shí)現(xiàn)多模態(tài)生物識(shí)別的交叉應(yīng)用�����,覆蓋場(chǎng)景500余個(gè)���。
“從目前情況來看�,包括工農(nóng)中建在內(nèi)的國(guó)有四大行���,擁有自己的人工智能開發(fā)中心和業(yè)務(wù)系統(tǒng)�;但也有一些城商行受成本和需求影響�,選擇從外包公司采購(gòu)搭載著算法和模塊的相應(yīng)產(chǎn)品�����?���!?/strong>藍(lán)田表示:“有的銀行將重點(diǎn)放在人臉識(shí)別上����,有的銀行是OCR(身份證���、銀行卡圖文識(shí)別)�����,有的較重視AI 反欺詐�,有的是規(guī)范網(wǎng)點(diǎn)行為······不同銀行的需求不同���,最終選擇的算法模塊也會(huì)不同��?����!?/p>通常情況下����,模型越復(fù)雜,運(yùn)行速度越慢����,但同時(shí)識(shí)別精度和準(zhǔn)確率也會(huì)越高?���?紤]到用戶體驗(yàn)感以及卡頓等因素, 部分手機(jī)廠商會(huì)選取輕便化的模型�,減少部分算法流程來提高運(yùn)行速度。但銀行對(duì)安全性的要求極高�,這樣的模型無法滿足基本要求。
在與文惠家人交談的過程中���,有一句話讓人深刻——我明白銀行進(jìn)行生物識(shí)別認(rèn)證的初衷是為了增加安全屏障��,但從效果來看����,似乎并不盡如人意��。
如其所說,即便文惠存在信息泄露的情況���,最初的轉(zhuǎn)賬限額也僅為5萬元����。但盜刷者利用不屬于老人的指紋���,來調(diào)高轉(zhuǎn)賬限額,致使老人蒙受巨額損失�。
“既然無法保證絕對(duì)的安全性,為何指紋識(shí)別可以擁有替代短信驗(yàn)證����、甚至是調(diào)高轉(zhuǎn)賬限額這樣的高權(quán)限?”
而光大銀行沈陽(yáng)市鐵西支行(文惠開卡網(wǎng)點(diǎn))則認(rèn)為:老人存款被盜走的根本原因是遭到了電信詐騙����,并非是因?yàn)殂y行的漏洞導(dǎo)致被騙。該行行長(zhǎng)同時(shí)還表示:關(guān)于此事�����,總行會(huì)給監(jiān)管回復(fù)��。
市界查詢其它銀行APP后發(fā)現(xiàn), 大部分銀行在進(jìn)行轉(zhuǎn)賬交易時(shí)需要輸入交易密碼和短信驗(yàn)證碼進(jìn)行驗(yàn)證�。即便是開通了指紋支付功能,也僅能應(yīng)用于購(gòu)買電影票等生活類場(chǎng)景��,并不具備轉(zhuǎn)賬權(quán)限���。
面對(duì)猖獗的電信詐騙�,許多年輕人尚不能保證自己不會(huì)落入其中的陷阱����。對(duì)于老人群體來說,他們更需要社會(huì)的保護(hù)和關(guān)懷�����。在這場(chǎng)魔與道的較量中����,銀行唯有不斷升級(jí)風(fēng)控系統(tǒng),降低風(fēng)險(xiǎn)概率����,才能最大限度地減少用戶的損失。
關(guān)鍵詞:
光大銀行
人臉識(shí)別
營(yíng)業(yè)執(zhí)照公示信息