近年來(lái)����,人臉識(shí)別�����、指紋識(shí)別等身份驗(yàn)證技術(shù)已成為手機(jī)銀行的“標(biāo)配”���,在幫助用戶(hù)提高效率的同時(shí)��,也衍生了一些弊端����。近期���,有用戶(hù)發(fā)現(xiàn)��,在光大銀行手機(jī)端轉(zhuǎn)賬時(shí)所驗(yàn)證的指紋�����,并非是本人在銀行錄入的指紋�,而是手機(jī)內(nèi)存儲(chǔ)的指紋?�;谶@個(gè)發(fā)現(xiàn)�����,該名用戶(hù)對(duì)“指紋識(shí)別”擁有的高權(quán)限產(chǎn)生了質(zhì)疑�����。
一名用戶(hù)將自己的86萬(wàn)元積蓄存入了光大銀行����。但這些存款在短短的8天時(shí)間內(nèi),就被洗劫一空�����。
“在沒(méi)有交易密碼�,沒(méi)有短信驗(yàn)證碼的情況下,存款是如何被盜走的?”起初�����,該名用戶(hù)百思不得其解�����。直到她的家人查詢(xún)了登錄設(shè)備���,發(fā)現(xiàn)盜刷者是通過(guò)指紋登錄了手機(jī)銀行賬戶(hù),又以指紋支付的方式����,將存款盜刷。
【資料圖】
隨后�,她的家人按照光大銀行指紋識(shí)別的流程測(cè)試了轉(zhuǎn)賬系統(tǒng),并對(duì)系統(tǒng)的安全性產(chǎn)生了質(zhì)疑——轉(zhuǎn)賬過(guò)程中驗(yàn)證的指紋并非是銀行卡卡主的指紋���,而是盜刷者的指紋����。
近年來(lái)���,隨著大數(shù)據(jù)����、云計(jì)算、人工智能技術(shù)的發(fā)展���,生物識(shí)別(人臉識(shí)別���、指紋識(shí)別)應(yīng)用已成為手機(jī)銀行的“標(biāo)配”。但它們?cè)跒橛脩?hù)提供高效便捷服務(wù)的同時(shí)����,也給一些別有用心的人提供了可乘之機(jī)。
86萬(wàn)存款被盜刷背后
2021年8月�,年過(guò)六旬的文惠在光大銀行柜臺(tái)辦理了一張儲(chǔ)蓄卡。開(kāi)通手機(jī)銀行功能后����,存入了10萬(wàn)元錢(qián)。然而讓她始料未及的是����,這筆錢(qián)只在她的賬戶(hù)短暫停留了一瞬,就“失蹤”了��。
文惠對(duì)存款被盜一事毫不知情。在后續(xù)的一周里�,老人陸續(xù)向該卡內(nèi)轉(zhuǎn)入3筆存款,最多的一筆為38萬(wàn)元����。這三筆存款也沒(méi)能逃過(guò)被盜刷的命運(yùn),存入后立刻被洗劫一空�����。
算上最開(kāi)始的10萬(wàn)元���,文惠將自己的86萬(wàn)存款全部轉(zhuǎn)入了該賬戶(hù)中。但由于老人的日常支出較少����,取款的機(jī)會(huì)也是少之又少,直到2021年8月12日����,文惠需要一筆錢(qián)急用,連續(xù)幾次交易失敗后這才發(fā)現(xiàn)賬戶(hù)異常����。
(8月3日-8月10日銀行賬戶(hù)交易流水�,來(lái)源:用戶(hù)提供)
文惠的家人立刻報(bào)警����,聯(lián)系銀行凍結(jié)賬戶(hù)。但為時(shí)已晚����,在8月3日-8月10日之間,存款已被盜刷��。對(duì)此���,文惠及家人無(wú)法理解——明明轉(zhuǎn)賬限額只有5萬(wàn)元����,在沒(méi)有收到短信驗(yàn)證碼驗(yàn)證的情況下��,盜刷者是如何在短時(shí)間內(nèi)盜走了大額存款��?
林浩(文惠家人)查詢(xún)了該賬戶(hù)的近期登錄設(shè)備�����,記錄顯示盜刷者在一臺(tái)OPPO手機(jī)上通過(guò)指紋登錄了銀行賬戶(hù)����,隨后又以指紋支付的方式完成了多筆大額轉(zhuǎn)賬����。
(來(lái)源:用戶(hù)提供)
正常情況下���,在光大銀行手機(jī)端進(jìn)行轉(zhuǎn)賬時(shí)需要交易密碼和短信驗(yàn)證碼進(jìn)行雙重驗(yàn)證�����。如果開(kāi)通了指紋支付���,僅需要交易密碼和指紋就可以完成交易,同時(shí)還可以將轉(zhuǎn)賬限額修改為50萬(wàn)元����。
為了進(jìn)一步了解情況���,林浩對(duì)光大銀行的轉(zhuǎn)賬系統(tǒng)進(jìn)行了測(cè)試�����,同時(shí)用視頻記錄了測(cè)試的全過(guò)程:首先在他的手機(jī)設(shè)備上登錄文惠的銀行賬戶(hù)�����,輸入交易密碼后到了驗(yàn)證指紋的環(huán)節(jié)��。戲劇性的一幕出現(xiàn)了——林浩用自己的指紋�����,將文惠賬戶(hù)的存款成功轉(zhuǎn)出�����。
這個(gè)發(fā)現(xiàn)讓文惠一家極為震驚:如果盜刷者掌握了對(duì)方的交易密碼�,就可以在他的手機(jī)設(shè)備上使用自己的指紋,將其它用戶(hù)的存款盜走�。
與此同時(shí),在林浩提供的一份與光大銀行客服對(duì)話(huà)錄音顯示�����,用戶(hù)開(kāi)通指紋支付后��,交易時(shí)驗(yàn)證比對(duì)的指紋是手機(jī)機(jī)主的指紋���,并非是卡主的指紋����。
“在銀行網(wǎng)點(diǎn)開(kāi)卡時(shí)中有錄入指紋的環(huán)節(jié),但在手機(jī)端登錄和轉(zhuǎn)賬時(shí)查驗(yàn)的指紋卻來(lái)自手機(jī)系統(tǒng)�����,并非是銀行系統(tǒng)����。”林浩認(rèn)為����,光大銀行轉(zhuǎn)賬系統(tǒng)存在漏洞,在進(jìn)行指紋認(rèn)證程序時(shí)��,銀行沒(méi)有盡到自己的責(zé)任����,而是將核實(shí)指紋真?zhèn)蔚臋?quán)力交到了手機(jī)廠商的手中��。
至于交易密碼的泄露過(guò)程——林浩推測(cè)��,老人手機(jī)上的軟件數(shù)量較少���,而且習(xí)慣用同一個(gè)密碼���。有可能是盜刷者通過(guò)黑客手段碰撞其他軟件�����,破解了她的銀行卡交易密碼���。
在裁判文書(shū)網(wǎng)中,確有類(lèi)似案件的判決記錄:有犯罪嫌疑人非法購(gòu)買(mǎi)公民個(gè)人信息�����,以黑客手段對(duì)受害者的信息進(jìn)行碰撞���,最終破解了受害人的賬號(hào)和密碼�����。在該案件中���,光大銀行因沒(méi)能保障客戶(hù)存取款交易安全不受非法侵害,被判全責(zé)。
(來(lái)源:中國(guó)裁判文書(shū)網(wǎng))
對(duì)此��,文惠家人認(rèn)為:“在銀行存款被盜取前�����,老人并未進(jìn)行網(wǎng)銀操作�����,甚至手機(jī)��、銀行卡�、身份證均未離身,因此光大銀行同樣沒(méi)能盡到保護(hù)用戶(hù)銀行卡信息安全的義務(wù)�。”
截至目前�����,距離存款被盜刷已有一年多時(shí)間�。關(guān)于案件的進(jìn)展情況,國(guó)家信訪局的告知信息中顯示:經(jīng)過(guò)大數(shù)據(jù)查詢(xún)�,錢(qián)款已被轉(zhuǎn)往國(guó)外賬戶(hù)。目前尚無(wú)法確定嫌疑人身份�,大概率是在緬甸附近。
“這筆錢(qián)是文惠和她母親一輩子的積蓄����,以后是要留給小孩的?�!绷趾票硎荆骸皩?duì)于這樣的結(jié)果����,我們也很難以接受?����!?/p>
生物識(shí)別安全幾何�����?
重新梳理文惠存款被盜刷的過(guò)程后����,市界發(fā)現(xiàn):在光大銀行手機(jī)端首次登錄時(shí),需要手機(jī)號(hào)碼���、登錄密碼以及短信驗(yàn)證碼����; 開(kāi)通指紋登錄功能后,則省去了登錄密碼和驗(yàn)證碼的環(huán)節(jié)�,可以通過(guò)指紋直接登錄賬戶(hù)。
然而在開(kāi)通指紋支付的過(guò)程中也同樣需要輸入交易密碼和短信驗(yàn)證碼���,并在最后通過(guò)人臉識(shí)別驗(yàn)證后��,才能開(kāi)通指紋登錄和指紋支付功能����。
也就是說(shuō)��, 除交易密碼泄露以外�����,文惠的短信驗(yàn)證碼也可能已被竊取�。
近年來(lái),電信詐騙猖獗��,許多不法分子以發(fā)送短信鏈接的形式進(jìn)行誘導(dǎo)���,一旦用戶(hù)點(diǎn)擊鏈接���,手機(jī)就會(huì)被植入木馬病毒�。不法分子再利用木馬病毒對(duì)用戶(hù)的短信和電話(huà)進(jìn)行攔截��,進(jìn)而獲取短信驗(yàn)證碼等信息���。
在文惠的印象中,她沒(méi)有點(diǎn)過(guò)不明鏈接����,也不太清楚自己的密碼和短信驗(yàn)證碼究竟在哪個(gè)環(huán)節(jié)泄露,家人只能試圖從她的描述中來(lái)還原事件的整個(gè)過(guò)程�����。
值得一提的是��,盜刷者在進(jìn)行第一筆大額轉(zhuǎn)賬時(shí)���,光大銀行后臺(tái)曾給文惠打過(guò)兩個(gè)視頻電話(huà)核實(shí)身份�,但文惠沒(méi)有及時(shí)接到����,導(dǎo)致第一次的交易因?qū)徍宋赐瓿啥∠?�。隨后���,光大銀行將驗(yàn)證方式改為了人臉識(shí)別聯(lián)網(wǎng)核查(點(diǎn)頭、張嘴����、轉(zhuǎn)頭等方式),驗(yàn)證了“文惠”的面容���,六分鐘后�,該筆交易成功��。
林浩查詢(xún)轉(zhuǎn)賬明細(xì)后發(fā)現(xiàn):盜刷者共進(jìn)行了9筆大額轉(zhuǎn)賬��。只有第1筆交易有人臉識(shí)別的聯(lián)網(wǎng)核查��,其它交易僅通過(guò)交易密碼和指紋認(rèn)證的方式就被轉(zhuǎn)出����。
(來(lái)源:用戶(hù)提供)
“一般來(lái)說(shuō),不法分子會(huì)通過(guò)多種非法渠道來(lái)獲取人臉照片���?!比四樧R(shí)別專(zhuān)家劉天表示: “有可能是利用證件照片或是本人視頻截屏(被騙進(jìn)行視頻通話(huà));或是通過(guò)合成照片后進(jìn)行面部替換�����,生成張嘴��、眨眼����、轉(zhuǎn)頭等動(dòng)態(tài)人臉���;還有可能是利用網(wǎng)絡(luò)攻擊手段���,在不啟動(dòng)攝像頭的情況下,向系統(tǒng)中注入偽造的動(dòng)態(tài)視頻來(lái)通過(guò)人臉認(rèn)證��?����!?/strong>
藍(lán)田是一名在人工智能科技公司工作的技術(shù)人員����。談及生物識(shí)別的發(fā)展現(xiàn)狀��,藍(lán)田認(rèn)為:目前的人工智能技術(shù)已較為成熟�����,基本可以做到防范詐騙�。但 由于人臉識(shí)別或指紋識(shí)別在不同的場(chǎng)景應(yīng)用時(shí)涉及成本�����、用戶(hù)體驗(yàn)��、檢測(cè)速度等一系列問(wèn)題�����,致使不同銀行選擇的安防系統(tǒng)不同��,所以安全等級(jí)也會(huì)不同��。
至于指紋和人臉的安全性問(wèn)題��,劉天表示:“這是個(gè)老生常談的問(wèn)題����。重點(diǎn)要看銀行���、手機(jī)廠商是否愿意承擔(dān)高成本。如果成本不受限制�,指紋和人臉的安全性相差不多——雖然指紋識(shí)別屬于接觸式識(shí)別,可能會(huì)受汗水�、灰塵等影響,甚至還存在部分指紋的紋理恰巧在算法的盲區(qū)��,無(wú)法被識(shí)別的情況�����。但這畢竟是小概率事件����, 從社會(huì)的發(fā)展角度來(lái)看�,使用生物識(shí)別的便捷性要超過(guò)弊端?��!?/strong>
目前人工智能技術(shù)供應(yīng)商也在幫助銀行升級(jí)風(fēng)控系統(tǒng)���,進(jìn)行AI反欺詐管理——根據(jù)數(shù)據(jù)判斷是否存在異地登錄等一系列涉嫌欺詐的行為,一旦觸發(fā)風(fēng)險(xiǎn)條件���,系統(tǒng)會(huì)自動(dòng)執(zhí)行強(qiáng)控制措施��。
“但如果銀行選擇的系統(tǒng)安全性不過(guò)關(guān)��,那么攻擊者有可能會(huì)通過(guò)代碼開(kāi)發(fā)對(duì)銀行App�、手機(jī)系統(tǒng)動(dòng)手腳,入侵人臉識(shí)別的底層系統(tǒng)���,劫持?jǐn)z像頭���,在銀行App不啟動(dòng)攝像頭的情況下,把視頻流直接傳給銀行App��,也能繞過(guò)活體檢測(cè)��?����!?/strong>
指紋權(quán)限過(guò)高��?
目前����,生物識(shí)別(人臉識(shí)別����、指紋識(shí)別)已廣泛應(yīng)用于各類(lèi)場(chǎng)景����,對(duì)于注重交易安全的銀行業(yè)來(lái)說(shuō),更是占據(jù)著舉足輕重的地位��。
在上市銀行公布的2022年半年報(bào)中���,“金融科技”無(wú)疑是高頻詞匯����。2022年上半年���,多家商業(yè)銀行將發(fā)展金融科技、推進(jìn)數(shù)字化轉(zhuǎn)型提升到更高的戰(zhàn)略層面�����,金融科技投入金額和科技人才數(shù)量占比同比均大幅提升�����。
以光大銀行為例,截至2022年6月30日�,公司科技投入 21.38 億元,同比增長(zhǎng) 25.47%����;全行科技人員 2598 人,比上年末增加 237 人����,占全行員工的 5.69%。
除此之外�����,光大銀行還在半年報(bào)中表示:公司深化建設(shè)“123+N”數(shù)字銀行發(fā)展體系�。“一個(gè)智慧大腦”持續(xù)賦能����,開(kāi)發(fā)訓(xùn)練算法模型超900個(gè);實(shí)現(xiàn)多模態(tài)生物識(shí)別的交叉應(yīng)用�����,覆蓋場(chǎng)景500余個(gè)。
“從目前情況來(lái)看����,包括工農(nóng)中建在內(nèi)的國(guó)有四大行,擁有自己的人工智能開(kāi)發(fā)中心和業(yè)務(wù)系統(tǒng)���;但也有一些城商行受成本和需求影響�����,選擇從外包公司采購(gòu)搭載著算法和模塊的相應(yīng)產(chǎn)品����?���!?/strong>藍(lán)田表示:“有的銀行將重點(diǎn)放在人臉識(shí)別上,有的銀行是OCR(身份證�、銀行卡圖文識(shí)別),有的較重視AI 反欺詐��,有的是規(guī)范網(wǎng)點(diǎn)行為······不同銀行的需求不同����,最終選擇的算法模塊也會(huì)不同?�!?/p>通常情況下���,模型越復(fù)雜���,運(yùn)行速度越慢,但同時(shí)識(shí)別精度和準(zhǔn)確率也會(huì)越高��?���?紤]到用戶(hù)體驗(yàn)感以及卡頓等因素, 部分手機(jī)廠商會(huì)選取輕便化的模型�����,減少部分算法流程來(lái)提高運(yùn)行速度����。但銀行對(duì)安全性的要求極高,這樣的模型無(wú)法滿(mǎn)足基本要求�����。
在與文惠家人交談的過(guò)程中,有一句話(huà)讓人深刻——我明白銀行進(jìn)行生物識(shí)別認(rèn)證的初衷是為了增加安全屏障�,但從效果來(lái)看,似乎并不盡如人意�。
如其所說(shuō),即便文惠存在信息泄露的情況����,最初的轉(zhuǎn)賬限額也僅為5萬(wàn)元。但盜刷者利用不屬于老人的指紋�,來(lái)調(diào)高轉(zhuǎn)賬限額,致使老人蒙受巨額損失�。
“既然無(wú)法保證絕對(duì)的安全性,為何指紋識(shí)別可以擁有替代短信驗(yàn)證����、甚至是調(diào)高轉(zhuǎn)賬限額這樣的高權(quán)限?”
而光大銀行沈陽(yáng)市鐵西支行(文惠開(kāi)卡網(wǎng)點(diǎn))則認(rèn)為:老人存款被盜走的根本原因是遭到了電信詐騙�����,并非是因?yàn)殂y行的漏洞導(dǎo)致被騙���。該行行長(zhǎng)同時(shí)還表示:關(guān)于此事����,總行會(huì)給監(jiān)管回復(fù)�����。
市界查詢(xún)其它銀行APP后發(fā)現(xiàn)���, 大部分銀行在進(jìn)行轉(zhuǎn)賬交易時(shí)需要輸入交易密碼和短信驗(yàn)證碼進(jìn)行驗(yàn)證��。即便是開(kāi)通了指紋支付功能���,也僅能應(yīng)用于購(gòu)買(mǎi)電影票等生活類(lèi)場(chǎng)景,并不具備轉(zhuǎn)賬權(quán)限�。
面對(duì)猖獗的電信詐騙,許多年輕人尚不能保證自己不會(huì)落入其中的陷阱�����。對(duì)于老人群體來(lái)說(shuō)�,他們更需要社會(huì)的保護(hù)和關(guān)懷。在這場(chǎng)魔與道的較量中���,銀行唯有不斷升級(jí)風(fēng)控系統(tǒng)���,降低風(fēng)險(xiǎn)概率����,才能最大限度地減少用戶(hù)的損失��。
關(guān)鍵詞:
光大銀行
人臉識(shí)別
營(yíng)業(yè)執(zhí)照公示信息