交通銀行人臉識別系統被攻破:6次人臉識別比對,近43萬被盜走
李紅(化名)萬萬沒想到,詐騙人員從她的交通銀行卡偷走近43萬元,如入無人之境。
要想從交通銀行卡中轉賬,需要使用者在手機銀行App上進行人臉識別,並進行簡訊驗證。李紅陷入了詐騙分子的圈套,她的手機簡訊被攔截,手機號被設定了來電轉駁,令她的驗證碼落入他人手中,且無法接聽銀行的確認電話。
更嚴重的是,“人臉識別”被攻破了。銀行系統後臺顯示,在進行密碼重置和大額轉賬時,“李紅”進行了6次人臉識別比對,均顯示“活檢成功”。
那幾次人臉識別並不是身在北京的李紅本人操作,登入者的IP地址顯示在臺灣。當李紅本人登入手機銀行時,卡里的錢已被悉數轉走。她去派出所報案,警察很快認定她遭遇了電信詐騙,並立案偵查。
既然不是本人操作,為何還能“活檢成功”?李紅懷疑交通銀行人臉識別系統的安全性,並以“借記卡糾紛”為由將交通銀行告上法庭,要求賠償。
2022年6月30日,北京市豐臺區人民法院一審駁回了李紅的全部訴求。她準備繼續上訴。
每個人只有一張臉,因其不易被仿冒,人臉識別被認為具有較高安全性,近年來被普遍適用於銀行驗證中,用來保障資金安全。但超出普通人認知的是,人臉具有唯一性的生物識別資訊,是敏感個人資訊,它裸露在無處不在的攝像頭下,極易獲得。在如今人臉識別系統並不成熟的情況下,用合成活動人臉騙過稽核系統的案例屢見不鮮。
長期關注個人資訊保護的專家,都對人臉識別的濫用充滿憂慮。清華大學法學院教授勞東燕指出,從制度框架的合理設定來考慮,製造更多風險、獲取更多收益的一方,理應承擔更多的風險與責任,“人臉識別是銀行引進的,其是作為風險製造的參與方,透過這種方式銀行也獲益更多,應該承擔和其所獲收益成比例的風險責任”。
她還指出,隨著人工智慧的發展,詐騙手段科技含量更高,銀行應當與時俱進,使其安保技術超過犯罪手段的技術。如果銀行因人臉識別技術存在的漏洞而相應承擔責任,會有助於敦促銀行堵住技術上的安全漏洞,對可能發生的詐騙犯罪起到預防作用。
被騙42。9萬元
從接通電話那起,李紅就陷入“協助破案”的迷局中。那是2021年6月19日上午10:30,電話那頭自稱“北京市公安局戶政科陳杰警官”的人告訴李紅,她的護照此前在哈爾濱涉嫌非法入境,讓她向哈爾濱市公安局報案。對方輕易地報出了李紅身份證號,這令她開始相信電話那頭的“警官”。
李紅被轉接給哈爾濱市公安局的“劉警官”。對方告訴她,她涉嫌“李燕反洗錢案”,並讓她登入一個網站檢視“公文”。李紅用手機登入對方提供的網站後,發現在一張藍底的“通緝公告”上,印著自己的身份證照片、身份證號等戶籍資訊。
這令她陷入恐慌,因為在她平常的認知中,這些資訊只有公安內部的人才能獲得。接下來,她對“警官”的指揮百依百順。按照指示,她從網站下載了“公安防護”軟體和影片會議軟體“矚目”。
“公安防護”是一款詐騙人員常用的“李鬼”手機軟體,其設計模仿“國家反詐中心”,如果受害者在裡面輸入銀行卡和密碼,詐騙人員就可在後臺獲取這些資訊。
而“矚目”雖然是普通的影片會議軟體,但提供共享螢幕功能。在“劉警官”的要求下,李紅透過“矚目”,向對方共享了自己的手機螢幕,令其掌握了她安裝的App種類資訊,對方還透過這項功能遠端操控她的手機,令她的手機號設定了來電轉駁,無法接收簡訊和電話。
最容易被忽略的是“露臉”。對方告訴李紅,為了驗證她是本人操作,她要透過“矚目”開啟會議模式,於是李紅的人臉資訊輕易暴露在對方面前。這也成為對方實施詐騙的關鍵一環。
李紅始終沒能結束通話電話,“劉警官”故意令她與外界隔絕。下午13:46,按照要求,李紅趕到交通銀行北京長辛店支行,開設了一張借記卡。銀行開卡記錄顯示,李紅預留了自己的手機號,並允許借記卡透過“網上銀行、手機銀行、自助裝置”三種方式轉賬,也允許這張卡進行境外取現和消費,但在其他功能中,她選擇了“小額免密免籤不開通”。
這意味著,當她進行5萬元以內的轉賬時,仍需要驗證。此外,李紅還設定了轉賬限額,每日只能累計轉賬5萬元。
在辦理借記卡的過程中,交通銀行向李紅髮放《北京市公安局防範電信詐騙安全提示單》。這份提示單中,載明瞭業務型別為“開通網銀或手機銀行”,並提示她可能存在有冒充公檢法的人員,以打電話的方式告知她涉及案件,要求她向對方提供的賬號轉賬,或是告知網銀密碼。李紅在這份提示單上簽字。
李紅剛剛辦好的借記卡,這張卡就被詐騙人員所掌控了。銀行後臺顯示,當天13:51,即李紅開卡15分鐘後,就有詐騙人員透過人臉識別驗證,重置了李紅的使用者名稱和密碼,登入了她的手機銀行。但李紅對此並不知情,她正按照“劉警官”的要求,為了“清查個人財產”,向卡轉入所有積蓄,以及所有能夠貸款獲得的現金。
交易記錄顯示,14:06至14:09,李紅向這張卡轉賬5筆共計25萬元,14:11和14:13,又分兩筆轉入5萬元,此時李紅卡內已有30萬元。短短几分鐘後,14:20詐騙人員就透過掌握的李紅的手機銀行,將這30萬元轉了出去。此後在14:30,李紅又向卡內匯入12。9萬元,這些錢在14:40被悉數轉出。至此詐騙人員轉走了李紅42。9萬元。
詐騙人員掌握了李紅的“人臉識別+動態密碼”後,透過修改密碼,登入了她的手機銀行,此後便如入無人之境,即使李紅設定了每日5萬元轉賬限額,也在詐騙人員登入後被輕易修改,之後每筆大額轉賬也都透過“人臉識別+動態密碼”驗證透過。
交通銀行北京長辛店支行在法庭上回應稱,“交易密碼、動態密碼以及輔助人臉識別的客戶鑑別模式”符合監管要求,並且在李紅轉賬過程中,銀行對她進行了風險提示,包括透過運營商向她傳送了簡訊密碼、簡訊風險提示,以及在內部系統大資料分析發現異常後,撥打了李紅的手機,對轉賬人身份及轉賬情況進行核實。
但李紅稱,對於銀行所稱傳送了22條簡訊密碼及簡訊風險提示,她只收到了其中的11條,而銀行的來電她並未接到。這背後的原因在於她的簡訊被詐騙人員攔截,電話也來電轉駁到了詐騙人員的手機上。
銀行提供的通話錄音顯示,在當天14:23,在詐騙人員正將李紅銀行卡中的30萬元轉出時,銀行客服撥通李紅預留的手機號,詢問對方是否是李紅本人、轉賬是否本人操作、收款人資訊、與收款人的關係、轉賬的用途等,接電話的人均認可系本人操作,還稱與收款人是朋友關係。
下午16:00,李紅察覺到“劉警官”的反常態度,她在16:39用自己的手機首次登入了手機銀行,卻發現錢已被盜刷,她意識到自己被騙,前往派出所報警,並聯系銀行掛失銀行卡。
銀行出具的通話錄音顯示,當天17:08至17:25,銀行三次撥通李紅預留的手機號,接電話的人起先稱自己是李紅,認可辦理過業務,否認辦理銀行卡掛失,但後來否認自己是李紅,稱客服“打錯了”。
蹊蹺的“活檢成功”
民警追查到,2021年6月19日在13:51至14:42之間,李紅手機銀行登入者的IP地址在臺灣,使用的裝置是摩托羅拉XT1686,而當時李紅在北京,她的手機型號是小米8。
銀行後臺記錄顯示,李紅的借記卡在6月19日那天共有7次操作涉及人臉識別,均顯示識別成功透過,其中1次為借記卡申請,1次為登入密碼重置,5次為大額轉賬,除了第一次不涉及活檢,後6次操作“活檢結果”均為成功。
李紅並未親自操作,為何6次“活檢結果”均為成功?李紅的丈夫馬躍(化名)在金融系統工作多年,他成為妻子起訴交通銀行的代理人。他告訴《中國新聞週刊》,銀行定下的“人臉識別+簡訊驗證碼”的驗證模式,其本質目的在於確保由使用者本人親自操作轉賬,他妻子在完全不知情的情況下,被詐騙人員從賬戶中轉走錢,銀行應當承擔保管不力的責任。
“這就好比,本來約定需要我本人去銀行才可以轉賬匯款,現在別人假冒我去銀行,銀行沒有發現,那麼造成的損失不應該由我完全承擔。”他認為,銀行與儲戶之間的關係是債權關係,銀行受騙,不應讓儲戶承擔全部責任。
李紅以“借記卡糾紛”為案由起訴交通銀行後,要求銀行賠償存款損失,但北京市豐臺區人民法院一審駁回了她的訴求。
法院認為,李紅在42。9萬元被盜過程中“過錯明顯”,交通銀行作為指令付款方,已透過多個登入密碼、驗證碼、人臉識別的合理方式識別使用人身份,未見存在明顯的錯誤或過失。
馬躍認為,李紅在北京剛辦理了借記卡,緊接著IP地址在臺灣的詐騙人員就能用不同的裝置登入,並頻繁操作大額轉賬,如此異常的操作,銀行本應該識別出轉賬的非儲戶本人。
李紅的遭遇並非孤例。早在2020年10月,浙江的趙女士就遭遇了同樣的騙局,她的經歷曾經被杭州本地媒體報道。趙女士講述,在與假冒警察的犯罪分子影片時,對方曾要求她做“張嘴”“眨眼”“搖頭”等動作,疑似通過錄像來騙過銀行的人臉識別系統。
聯絡上趙女士之後,馬躍又聯絡到4名同樣的受騙者,他們6人都遭遇了同樣的詐騙套路,涉案金額超過200萬元。
這6名受害者都為女性,受騙時間最晚的在2021年10月。她們都生活在大都市,具備一定知識水平,多人具備研究生學歷,還有人就是律師。
交通銀行的人臉識別服務商為北京眼神科技有限公司(下稱“眼神科技公司”)。這家公司成立於2016年6月,其創始人、董事長兼CEO周軍曾公開表示,其研究的“生物密碼”,令“使用者到哪裡密碼就跟隨到哪裡”“只有本人可用”。
其官網介紹,眼神科技是業內較早將指紋識別、人臉識別、虹膜識別等生物識別技術引入金融行業的AI企業,在金融行業,其目前已服務於中國工商銀行、中國農業銀行、中國銀行、中國建設銀行、交通銀行、郵儲銀行、招商銀行、民生銀行等近150家銀行機構,客戶覆蓋率達80%,實現櫃面內外應用、手機銀行、自助銀行、風控管理等金融業務場景的全面覆蓋。
2020年9月,眼神科技公司宣佈中標交通銀行人臉識別專案,向交通銀行全行提供人臉識別產品,“在現金管理、支付結算及賬戶管理等業務場景中實現人臉活檢及身份識別功能”。
在2021年9月,李紅和其他女性被詐騙報案後,交通銀行曾公告停用過人臉識別。這不久,馬躍就發現交通銀行手機銀行系統進行了改版升級。但在這年10月,仍有一名受害人的交通銀行賬戶被假人臉攻破。
目前,在交通銀行手機銀行使用者協議中,人臉識別技術提供方仍是眼神科技公司,記者就此事聯絡了這家公司,但對方未給予答覆。
板子該打在誰身上?
人臉識別系統被攻破,銀行究竟有沒有責任?浙江理工大學法政學院副教授郭兵告訴《中國新聞週刊》,在李紅一案中,重點正是人臉識別系統被詐騙人員輕易攻破。
郭兵長期關注人臉識別的安全性。他認為,李紅的人臉資訊有可能被詐騙人員仿造了,“詐騙人員掌握了她的人臉資訊,透過技術手段可以生成動態的人臉資訊”。他說,有一種人臉活化軟體,可分析照片和影片中的人臉資訊,生成一張可供人操控的“假人臉”,來騙過人臉識別軟體。
“我們的人臉識別技術不可能盡善盡美。”他提出,隨著人工智慧的發展,人臉識別軟體和破解的活化軟體都在發展,要謹防“道高一尺魔高一丈”。
事實上,被廣泛應用的人臉識別技術,其破解難度有時簡單得出乎意料。郭兵說,2019年,浙江有幾名小學生用照片破解了居民小區的快遞櫃,輕易取走他人的快遞。而在2021年10月,清華大學的學生團隊,僅用人臉照片就成功解鎖了20款手機。
“人臉的照片太容易獲得了。”郭兵說,如果人臉識別系統用照片就能解鎖,在遍佈攝像頭的當下,可能預示著巨大的隱患。
“現在電信詐騙非常猖獗,盜用人臉資訊的手段層出不窮,也給銀行的人臉識別系統帶來挑戰。”郭兵說,近期學界也對活化軟體展開了研究,“這都是釜底抽薪的手段”。
他更擔心的是,隨著技術的發展,犯罪分子可能掌握了照片,就可“活化”出動態人臉,騙過人臉識別系統。
銀行的防護能力關係到儲戶的資金安全。郭兵認為,應當對銀行的人臉識別系統提出更高的要求。
在立法層面上,對人臉資訊的保護正在逐步加強。在李紅被詐騙幾個月後,《個人資訊保護法》正式生效,其中突出了作為敏感個人資訊的生物識別資訊的特別保護,規定“處理個人敏感資訊應該進行更多的告知,包括相應的風險,以及應當取得個人的單獨同意”。
在清華大學法學院教授勞東燕看來,銀行普遍存在變相強迫採集儲戶人臉資訊的現象。她說,“至少就我個人的體會,去銀行辦理存款等業務,人臉識別都是在強制之下弄的,如果不同意採集人臉就辦不了相應業務。”
她告訴《中國新聞週刊》,儘管《個人資訊保護法》強化了對人臉資訊的保護,但這種強化其實只體現於徵求同意的環節,其他地方和普通個人資訊幾乎沒有差別,並沒有在實質上抬高法律保護的門檻。
所以,她堅持認為,全國人大及其常委會有必要考慮對生物識別資訊進行單獨立法,不應放在《個人資訊保護法》的框架下來進行保護。
她還提到,李紅在銀行辦卡時被要求籤署的《北京市公安局防範電信詐騙安全提示單》提示效果有限,“現在詐騙手段層出不窮,僅靠個人的警惕是很難防住的”。
在她看來,這個提示單對防範各種詐騙無法起到實質性作用,當儲戶被詐騙後,反而有可能起到讓銀行轉嫁責任的效果。
“防範和打擊犯罪,本應由國家、銀行與相關單位承擔主要責任,現在越來越多變相地轉嫁到作為被害人的個人身上。”她指出,“過多地讓弱者承擔風險並不公平”。
勞東燕認為,要防範此類詐騙犯罪,重要的是在制度框架層面重新來考慮合理分配風險的問題。她說,“風險跟責任有關,誰製造的風險原則上就應當由誰來承擔。”
她指出,人臉識別的推廣和帶來的風險,實際上是科技企業和銀行製造的,在這其中,銀行也比儲戶獲得了更多科技帶來的好處,“誰在其中獲益最大,誰就應該承擔與獲益成比例的風險”。
“另外,還應當考慮預防能力與預防效果方面的因素,將板子打在誰身上,預防效果是最好的呢?”在她看來,銀行的預防能力比儲戶要強得多,如果由銀行部分地或按比例地承擔因人臉識別風險造成的損失,將有助於督促銀行審慎採集與保護儲戶資訊,加強人臉識別系統的安全技術保障。
“銀行對人臉資訊的技術保障需要超過一般的犯罪手段,否則,銀行就不應採集與使用儲戶的人臉資訊。”她說。
發於2022。7。18總第1052期《中國新聞週刊》雜誌
雜誌標題:當銀行人臉識別系統被攻破
記者:苑蘇文
