存在光大銀行的85萬元不翼而飛，“騙子怎能用他的指紋轉走我的錢？”_風聞

　　圖源：東方IC

　　8天內，存在光大銀行的85萬元不翼而飛，沒有驗證碼二次確認，沒有短信提醒。　　2021年8月，瀋陽的錢雲（化名）遭遇了電信詐騙，人臉、指紋等生物識別密碼沒能擋住對方。一年來，錢雲全家都在尋找“85萬消失”的原因和線索，警方告訴他們，錢款已被全部轉至境外，案件還在偵破中。

　　“銀行告訴我們，轉賬時只要選擇了指紋識別，就不會給簽約手機發驗證碼，但這個指紋調用的是手機裏的指紋識別結果，不是我岳母的。”錢雲的女婿李豪（化名）認為，這是導致錢款消失的主要原因。　　《IT時報》記者分別聯繫涉事的光大銀行瀋陽鐵西支行和光大銀行電話客服，截至發稿，都沒有得到銀行對此事的説法。

　　1個多月來，關於銀行生物識別被攻破的案例屢見報端，詐騙分子“騙”過了銀行的人臉識別安全系統，用App控制了被騙人的手機，利用人臉識別+動態密碼的方式轉走了儲户的所有存款。

　　**然而，**錢雲案例中可能呈現出一種新的風險：有些銀行在登錄、轉賬時支持的生物識別認證結果，其指紋、面容信息均取自操作者的手機系統。　　去年10月，李豪在自己的手機上登錄了弟弟的光大銀行賬户，轉賬輸入密碼時，銀行App申請調用手機的Face ID，李豪用自己的臉通過驗證，轉賬成功。這意味着，最後一道關口，銀行將核實密碼的權力交給了手機廠商。

　　接到李豪投訴後，《IT時報》記者進行了多日測試，在簽約手機、登錄密碼、驗證碼等多重驗證的情況下，開通面容ID支付並不如李豪測試視頻中那麼輕而易舉，走到最後一步之前，銀行設置了重重障礙。　　然而， 允許將手機自身的生物識別結果調用為銀行轉賬時的驗證密碼，在安卓手機指紋被破解、人臉識別被騙過、大批數據泄露等消息並不鮮見的當下，是否妥當？當越來越多的技術手段被用於銀行降低成本時，誰來為風險擔責？

　　#事件緣起#　　2021年8月初，錢雲在家附近的光大銀行開設了一張儲蓄卡。8月12日晚，錢雲發現銀行卡里的85萬餘元消失了。查詢後發現，2021年8月3日~8月10日間，錢雲的賬户發生多次轉賬。今年4月22日國家信訪局給李豪的回覆中表示，經過大數據查詢，錢款已被轉往國外賬户。　　生物識別系統可能被雙重攻破　　此前交通銀行儲户被盜刷43萬元的案例中，受害人下載了詐騙分子推薦的App，對方通過這項功能遠程操控她的手機，為她的手機號設置了呼叫轉移，令其無法接收短信和電話，而且錄製了她的視頻。此後警方調查發現，銀行系統後台顯示，在進行密碼重置和大額轉賬時，“李紅”進行了6次人臉識別比對，均顯示“活檢成功”，而登錄者的IP顯示是中國台灣地區。業內普遍認為，這意味着，交行的人臉識別系統被攻破了。

　　今年近70歲的錢雲，並不太清楚自己的密碼在哪個環節泄露了，甚至連自己的人臉信息有沒有泄露也不太清楚。家人只能試圖從她的描述中還原事件的過程，“她在很多網絡平台上用的賬户密碼是相同的，有可能是賬户密碼泄露了，但在被盜刷幾乎同一時間，她接到過詐騙電話，也可能是被詐騙分子利用了。”李豪分析，詐騙分子在異地通過賬號密碼登錄了岳母的光大銀行手機賬户，以假人臉通過了銀行的認證系統，並開通了指紋識別密碼功能，這樣既能進行大額轉賬，轉賬時也不需要簽約手機收取驗證碼，加上岳母沒有開通餘額短信通知，一次次轉賬在毫不知情的情況下發生了。　　他的臉可能是你的轉賬密碼　　賬户被盜刷後，李豪多次向光大銀行相關人士以及客服人員瞭解情況，銀行人員不經意透露的一個信息震驚了他：**轉賬過程中，銀行驗證的是機主的指紋或人臉，而非卡主的指紋或人臉。**也就是説，只要機主的人臉或指紋能夠通過手機驗證，給銀行一個“yes”的答案，銀行便可以通過驗證。　　這在李豪看來有點“匪夷所思”，“開卡時，我岳母留了自己的指紋和人臉信息，那為何銀行不去比對儲户信息，而是採用手機給出的驗證結果呢？如果A在自己的手機上登錄了B的賬號，那不就可以用A的人臉去通過面容ID了嗎？”

　　為了驗證這個想法，去年10月，李豪做了一個測試。在李豪發給《IT時報》記者的一段視頻中，他在自己的手機上登錄了弟弟的光大銀行手機賬户，給一張沒有轉賬過的銀行卡轉賬1500元，輸入交易密碼後，手機頁面上顯示調用FaceID進行人臉識別，此時攝像頭對準的是李豪的臉，並非其弟弟的臉，頁面顯示驗證通過，轉賬成功。

　　“理論上，應該是將我弟弟的臉和他在銀行預留的生物信息比對才能轉賬，但從這次測試看，驗證的是機主的臉**。這種情況帶來的財產損失誰來承擔？**”李豪對此頗為不解。　　#記者測試#　　在核實身份和轉賬過程中，銀行生物識別系統到底驗證的是誰的信息？

　　記者向多位銀行業人士瞭解，大多數銀行驗證的是卡主的生物信息，“轉賬時不驗證卡主信息，卻去驗證機主信息，邏輯不對。”一位銀行業人士表示。農行、郵政儲蓄等銀行客服人員也表示，驗證生物信息時匹配的是卡主信息。“系統會綜合考慮用户的設備環境，通過驗證碼、交易密碼、生物識別等方式交叉驗證用户身份，生物信息是和卡主本人比對。”郵政儲蓄銀行客服人員説。

　　確認：可用面容ID登錄他人賬户　　李豪提供的視頻顯示，此前涉事銀行人員明確説，轉賬時比對的是機主的指紋信息。8月22日，李豪再次致電光大銀行客服電話，客服人員同樣表示，如果在他人手機上登錄自己的銀行賬號、轉賬驗證的是機主的指紋信息。

　　8月24日《IT時報》記者在撥打光大銀行客服熱線時，也得到了類似的答案，“卡主可以設置採用生物信息識別的額度，如果用了生物信息認證，是沒有短信驗證碼的，只需要交易密碼和生物識別通過即可，不過，當銀行監測到風險時，會要求轉賬者先與銀行系統裏的卡主信息進行比對，通過身份驗證後才能繼續下一步。”　　8月22日，記者在光大銀行上海某網點辦理了一張儲蓄卡並開通了手機銀行。當記者試圖在另一部手機上登錄此賬户時，系統提示，只能使用手機驗證碼的方式，而且首次登錄時，還需要輸入登錄密碼。也就是説，像李豪視頻中顯示的，僅靠手機號碼和登錄密碼便能進入他人賬户，已不可能。

　　但如果像交通銀行案例中那樣，儲户密碼泄露、手機被劫持，驗證密碼被轉發至詐騙分子手機中，那這一步便也不再是障礙。

　　隨後，通過手機號碼、登錄密碼、驗證碼，記者同事順利在她的手機上開通了面容ID登錄。也就是説，她在自己的手機上，可以刷臉登錄記者的賬户。　　但在開通面容ID支付時，銀行App要求先通過人臉認證，也即類似隨申碼驗證時的場景，需要做出點頭、搖頭等動作，走到這一步，無論是記者的臉，還是同事的臉，在記者同事的手機上均未通過。最終，記者在自己的手機上完成了這個識別過程，但最後開通的面容ID支付，同樣調用的是手機本地的識別系統。　　畢竟離錢雲賬户被盜刷已過去一年，銀行安全系統可能已升級多次，記者無法完整復刻李豪的測試，但至少證明一點，打開面容ID登錄功能後，銀行App在登錄時，確認的是手機機主的驗證結果。　　多家銀行支持機主生物密碼轉賬　　經過多日測試，記者發現：銀行的人臉識別系統負責身份驗證，手機的生物識別密碼負責密碼驗證。

　　知乎上，一篇認證為“雲從科技”的賬號發表了一篇名為《當“powered by 雲從”成為銀行標配，光大銀行加入！》的文章，其中提及“雲從科技集中存儲客户生物識別信息，並識別人臉、證件”，但並沒有提及轉賬交易。

　　《光大銀行手機銀行面容ID認證服務協議》中則提到，“甲方開啓面容ID認證功能時，甲方應理解面容信息的採集、存儲和比對等服務將由甲方使用的手機或設備及其系統來完成，此類設備可以將用户的生物識別信息與事先錄入並存儲在該設備上的特徵數據進行比對核驗。”從這句話上也可確認，銀行面容ID是與手機裏所存儲的個人生物信息進行比對。　　光大銀行手機銀行面容ID認證服務協議

　　不僅是光大銀行，其他銀行的用户生物信息協議中，也有類似條款。比如浦發銀行生物信息認證協議中提到，指紋、面容生物識別信息特徵的錄入、修改和刪除等管理操作，均由手機系統提供。

　　浦發銀行生物信息認證協議

　　8月23日開始，《IT時報》記者多次聯繫光大銀行鐵西支行以及支行管理人員未果，光大銀行負責投訴的相關客服人員則表示會盡快跟進處理，但截至發稿，也無迴音。

---

　　李豪告訴記者，光大銀行認為賬户被盜刷的責任在其岳母自身，只能等待警方破案。

　　此前交通銀行盜刷案件，銀行亦被認為無責。

　　#記者觀察#　　銀行安全防護應高於犯罪手段　　儲户賬户被盜刷，誰該負責？

　　翻閲中國裁判文書網，以“借記卡糾紛”為名的案件大多因盜刷而起，法院判罰大多聚焦於兩點：一、儲户有無做到妥善保護密碼；二、銀行有沒有完善的安全防護手段。　　一則早期案例顯示，某儲户的銀行卡被犯罪分子偽造後，在異地盜刷，最後法院認為，銀行應保證銀行卡具有唯一性和不可複製性，其未能採取技術手段防範銀行卡被複制或偽造，故其應當對發行的銀行卡存在安全漏洞、技術風險承擔責任。

　　銀行的防護能力關係到儲户的資金安全，當銀行業務逐步轉移至線上時，判責的邏輯並不應該發生變化。

　　但現實問題是，生物識別認證還沒有形成統一的標準，銀行使用人臉識別卻已相當普遍，各家銀行的技術能力參差不齊，在風險防控方面也面臨着諸多挑戰。

　　《IT時報》曾多次報道因生物識別技術不完善導致真假莫辨，或者因個人生物信息泄露導致存在長期風險的案例。2021年10月，清華大學的一個團隊，僅用一副框架眼鏡、一張A4紙，便成功解鎖了19款安卓手機。　　當手機的生物識別系統並不是“固若金湯”時，銀行允許甚至推薦用户將其作為支付、轉賬等關鍵操作的密碼時，可能產生風險，誰來承擔責任？記者在登錄某些銀行App時，便多次被主動詢問，是否要使用面容ID登錄或支付。

　　清華大學法學院教授勞東燕曾表示，由於相應風險是銀行引進人臉識別所導致，也即銀行參與了風險的創設，在法律上，誰創設風險，誰原則上就應當對風險現實化的結果承擔責任；其次銀行在相關業務領域裏獲益最大，理應承擔與獲益相稱的風險責任；再次，銀行防範風險的能力比個人更強，能力越強者責任越大。她建議，全國人大及其常委會有必要考慮對生物識別信息進行單獨立法，不應放在《個人信息保護法》的框架下來進行保護。

　　“如果真的是因為光大銀行在轉賬過程中，只是比對機主生物信息而非卡主生物信息造成用户財產損失，銀行的責任更大些。”上述銀行業人士向《IT時報》記者表示，對於金融機構來説，遠程交易過程中的生物識別是其面臨的一大課題。在生物識別驗證方面，金融行業應建立統一的標準，技術水平各不相同的銀行可以參照執行。此外，風險防控是一種立體的思維方式，銀行需要通過技術手段加強一整套風險監測、風險處置的流程。　　對於銀行而言，使用生物信息對用户進行驗證，前提是對生物信息的驗證和保護必須超過一般的犯罪技術手段，否則，用户財產不翼而飛的事態將會更加嚴峻。

　　作者／ IT時報記者 潘少穎

　　編輯／ 郝俊慧  挨踢妹 

　　排版／ 季嘉穎

　　圖片／ 光大銀行  浦發銀行  東方IC

　　來源／《IT時報》公眾號vittimes