銀行真假人臉不分 儲户資金被盜案件頻發_風聞

　　圖源：東方IC

　　自己沒有登錄銀行App、沒有接到銀行電話確認，也沒有通過人臉識別驗證，甚至連手機銀行App都沒下載過，可賬户裏卻被轉走了近43萬元。這是北京市豐台區人民法院近日受理的一起訴訟案。

　　據報道，該案原告李紅（化名）去年接到自稱“北京市公安局户政科陳杰警官”的來電，通過一系列“引導”，詐騙分子獲取了李紅的銀行卡和密碼數據，還有李紅的人臉數據，詐騙分子通過假人臉將6次的人臉識別驗證一一攻破，然後盜刷賬户內錢款。

　　一時間，對銀行人臉識別系統是否安全的質疑被推上風口浪尖。目前的人臉識別技術或許還難以承受保護好人類這唯一的生物信息的“重任”，“刷臉”還須謹慎。

　　“

　　能作假的活體檢測

　　“人臉識別只是這個詐騙過程中的一環，問題的關鍵點在受害者下載的App上。”GeekPwn實驗室安全專家宋宇昊向《IT時報》記者表示。

　　據媒體報道，在李紅的賬户被盜前，李紅曾在“哈爾濱市劉警官”的“指導”下，下載了“公安防護”和“矚目”這兩個App，在註冊登錄時錄製了視頻進行驗證，並進行了屏幕共享，開啓了手機攔截電話、短信等功能。“哈爾濱市劉警官”還讓李紅辦理一張交行卡，把存款轉入其中，名曰“核實個人資產”。

　　在宋宇昊看來，通過這兩個“李鬼”App，詐騙分子獲取了李紅手機上的重要信息，其中包括李紅錄製的驗證視頻，還可以遠程控制她的手機。掌握受害人的人臉視頻，劫持受害人的電話和短信，詐騙分子可以輕而易舉地以李紅的名義登錄手機銀行進行各種操作，包括密碼重置、限額調整、大額轉賬等。而李紅卻因為手機開啓了攔截電話、短信等功能，對這一切毫無察覺。

　　按照常理説，人臉識別肯定要真實的本人出現在鏡頭中才能通過驗證，為什麼詐騙分子利用視頻也能通過活檢呢？

　　宋宇昊解釋，現在能繞過人臉識別的方法比較多。“最原始的方法，就是攻擊者得到人臉視頻後，打開手機上的銀行App，在驗證環節對着人臉視頻進行驗證，存在驗證通過的可能性。現在有的App人臉驗證系統已經對此類方法進行了防護，可以識別出攝像頭對準的是一個屏幕。”宋宇昊説，此外，攻擊者通過代碼開發對銀行App、手機系統動手腳，入侵人臉識別的底層系統，劫持攝像頭，在銀行App不啓動攝像頭的情況下，把視頻流直接傳給銀行App，也能繞過活體檢測。

　　在交行銀行卡被盜刷的案例中，詐騙分子繞過活體檢測的環境，騙過了銀行App。雖然活體驗證的攻防對抗技術有所提升，但依然會存在漏洞。

　　瑞萊智慧RealAI團隊曾通過對抗樣本攻擊，破解19款安卓手機的人臉識別解鎖系統。即便是搭載了交互式活體檢測功能的十餘款金融和政務服務類App，也都被輕易破解。

　　“

　　類似案件頻發

　　李紅的遭遇並非孤例，據媒體報道，從2020年10月至2021年10月，有多名交通銀行儲户被犯罪分子誘騙，將錢存入交通銀行後被盜刷，金額高達數百萬元。有被盜刷的交通銀行儲户認為，犯罪分子指定交通銀行而不是其他銀行，是因為他們發現並利用了交通銀行的人臉識別漏洞。

　　除了交行，近日又有媒體報道，中行儲户也遇到了類似的詐騙。接到“涉嫌境外洗錢”的電話後，該儲户打開詐騙分子通過短信發來的鏈接確認身份信息，隨後在自己本人未登錄、未操作、未進行人臉識別的情況下，被轉走20萬元，而且也沒有收到銀行的電話確認和短信告知。值得注意的是，該儲户表示，自己拍過一段視頻，動作包括點頭搖頭等。

　　雖然在安全界人士看來，盜刷的源頭是儲户通過不明鏈接下載了帶有風險的App，但背後的人臉識別驗證問題依然不容忽視。

　　圖源：東方IC

　　一位銀行從業人士告訴《IT時報》記者，銀行會根據不同的業務場景匹配不同的驗證要素。根據中國銀保監會要求，銀行不能把生物信息作為主要或者唯一的校驗因素，只能作為輔助手段，卡密驗證等一些傳統的驗證方式才是主要的。

　　在他看來，發生銀行卡被盜刷的原因有二：一是用輔助校驗代替主要校驗手段，二是活體檢測技術不夠完善。“銀行主動發起的活體驗證，指令應該是隨機的，比如要求前一個用户做眨眼、搖頭動作，要求後一個用户做抬頭、向右轉等動作。如果受害人的視頻可以通過銀行App的驗證，也有可能掌握了指令的規律。”該人士表示，目前使用人臉識別技術的銀行主要通過兩種模式，一種是購買技術服務供應商提供的人臉識別技術，自建系統，這一類比較多，大銀行一般都有自己的對比源，比對過程掌握在銀行自己手裏；另一種是完全依託第三方公司，銀行只看比對結果，這種風險比較大，主要集中於一些沒有對比源的小銀行。

　　銀行的防護能力關係到儲户的資金安全，在上述銀行人士看來，目前，生物識別認證沒有形成統一的標準，但銀行使用人臉識別卻已相當普遍，各家銀行的技術能力參差不齊，在風險防控方面也面臨着諸多挑戰。

　　“

　　“魔”與“道”的鬥法

　　在李紅訴交行案件中，法院一審認為，李紅在資金被盜過程中“過錯明顯”，交行作為指令付款方，已通過多個登錄密碼、驗證碼、人臉識別的合理方式識別使用人身份，未見存在明顯的錯誤或過失。最終，法院一審駁回了李紅的上訴。

　　也有律師認為，銀行“人臉識別技術是否存在漏洞”的情況不能被忽略，如果真因為人臉技術識別了假人臉導致損失，作為要求使用人臉識別技術作為驗證手段的一方，理應承擔責任。“雖然現在人臉識別已經廣泛普及，但是對涉及技術侷限和風險的公共教育和學界討論、對法律上的舉證責任、舉證能力、風險防範能力、司法公正的考量、對技術帶來的社會權力的對比和分析，各個環節都是缺失的。”有律師這樣表示。

　　當風險來臨，恰似一場“魔”與“道”的鬥法，看誰更技高一籌。

　　圖源：東方IC

　　清華大學法學院教授勞東燕曾對媒體表示：“人臉識別技術的實質，是收集用户的生物信息，其最常見的使用目的、場景都是身份認證。身份認證本身沒有多大風險，人臉識別的風險主要在於通過人臉這種獨特的、具有可識別性的生物信息，同特定的個人鎖定之後，就可以對某個特定個人的所有行蹤進行識別、追蹤。人臉識別技術肯定有好處，但對於個人和企業來説，也必須意識到風險和危害。”

　　在立法層面上，對人臉信息的保護正在逐步加強。對於金融機構來説，遠程交易過程中的生物識別是其面臨的一大課題。“在生物識別驗證方面，金融行業應建立統一的標準，技術水平各不相同的銀行可以參照執行。此外，風險防控是一種立體的思維方式，銀行需要通過技術手段加強一整套風險監測、風險處置的流程。”上述銀行從業人士認為。

　　作者／IT時報記者   潘少穎

　　編輯／ 錢立富  挨踢妹 

　　排版／ 季嘉穎  

　　圖片／ 東方IC

　　來源／《IT時報》公眾號vittimes