隨著科技發(fā)展,“人臉識別”的應(yīng)用越來越普遍,然而這也為犯罪分子打開了方便之門。一位用戶存在交通銀行的40多萬存款,在一個(gè)小時(shí)內(nèi),被盜刷一空。
作者丨周奕航
編輯丨韓忠強(qiáng)
人臉識別方便了我們的生活,也打開了潘多拉的魔盒。
2021年,有不法分子利用交通銀行的人臉識別授權(quán)功能,再通過潛伏在用戶手機(jī)里的木馬病毒攔截短信驗(yàn)證碼,盜取了多位用戶的銀行存款,受害者包括金融行業(yè)員工、大廠員工、律師以及公司高管。有用戶統(tǒng)計(jì)信息后告訴市界,目前至少涉及6名用戶被盜刷資金,每戶金額從幾萬到幾十萬不等,總金額超200萬元。
部分用戶為了追回自己被盜刷的存款,選擇將交通銀行訴至法庭,但在今年6底,卻收到了法院對交通銀行“未見存在明顯的過錯(cuò)和過失”的一審判決,駁回用戶全部訴訟請求。博弈還在繼續(xù),一位受害者表示:“我們的資金因?yàn)榻煌ㄣy行的人臉識別風(fēng)險(xiǎn)被盜刷,雖然一審判決并不如意,沒有打贏官司,但我們會繼續(xù)上訴!
這些案例幾乎都被定性為電信詐騙。事實(shí)上,脫去電信詐騙的外殼,人臉識別的風(fēng)險(xiǎn)也不容小覷。不少持卡人明確表示:“從來不敢使用人臉識別進(jìn)行支付。”
01 被盜刷40多萬
“因?yàn)殂y行的人臉識別系統(tǒng)風(fēng)險(xiǎn),存款全軍覆沒,一審判決又被全部駁回。如果是你,會是什么樣的心情?”談及一年前存款被盜刷的那個(gè)下午,楚楓難掩失落。
“當(dāng)時(shí)一個(gè)自稱是公安局的人找到我,準(zhǔn)確地說出了我的姓名、身份證號、工作單位以及家庭住址等信息。他說我的信息已經(jīng)泄露,銀行卡存在被盜刷的風(fēng)險(xiǎn)。”
在獲取了楚楓的信任后,對方發(fā)來一個(gè)所謂的防護(hù)網(wǎng)址。而只要點(diǎn)進(jìn)去這個(gè)網(wǎng)址,就會中木馬病毒,對方可以攔截楚楓的短信和電話。對方想讓楚楓看到什么,才能看到什么。
后來,他建議楚楓重新辦理一張交通銀行卡。“將存款轉(zhuǎn)入新卡中,這樣已經(jīng)泄露的銀行卡信息對騙子來說也沒什么用了。”
在接到這個(gè)電話之前,楚楓和交通銀行沒有任何淵源。
對于這個(gè)突如其來的“善意”提醒,楚楓選擇相信——對方完全站在公允的立場提醒用戶小心詐騙。而重新辦理一張銀行卡也無可厚非,交通銀行畢竟是國有大行之一,安全性肯定有保障。
就這樣,楚楓在交通銀行的營業(yè)廳開了卡,將自己的40多萬存款悉數(shù)轉(zhuǎn)入其中。同時(shí)還開通了交通銀行的小額轉(zhuǎn)賬功能——對應(yīng)的轉(zhuǎn)賬限額為單筆最高5萬元,單日累計(jì)5萬元。
(用戶在交通銀行網(wǎng)點(diǎn)開通銀行卡及小額轉(zhuǎn)賬功能。來源:用戶提供)
但隨后發(fā)生的事情讓他意識到不太對勁——對方一直在催促他將家里的存款全部存入這張卡中。楚楓立刻報(bào)警、聯(lián)系銀行凍結(jié)賬戶。但為時(shí)已晚,剛剛存入的幾筆存款已經(jīng)被盜刷了。
楚楓傻眼了。自己連手機(jī)銀行的APP還沒有來得及下載,剛剛設(shè)置的轉(zhuǎn)賬限額也是每天只有5萬元,不法分子在不到一個(gè)小時(shí)的時(shí)間里,是如何將40多萬的存款盜刷的?
根據(jù)交通銀行規(guī)定,用戶首次登錄手機(jī)銀行APP,需要手機(jī)短信的驗(yàn)證碼和人臉識別的雙重驗(yàn)證。(由于楚楓沒有下載手機(jī)銀行APP,所以沒有登錄密碼)。而交通銀行客服的說法也證實(shí),“楚楓”利用了人臉識別重置了登錄密碼。
這也就是說,不法分子利用木馬病毒攔截了楚楓的手機(jī)短信,而后通過“假人臉”,重置密碼后登錄了楚楓的交通銀行賬戶。
在交談過程中,楚楓著重強(qiáng)調(diào)了交通銀行人臉識別系統(tǒng)的第一個(gè)風(fēng)險(xiǎn)——如果不法分子使用的“假人臉”不能通過銀行人臉識別系統(tǒng)的認(rèn)證,那么后續(xù)涉及短信驗(yàn)證碼、以及登錄銀行賬戶等情況均不會發(fā)生。
而不法分子實(shí)現(xiàn)了盜刷資金的第一步后,又利用人臉識別調(diào)高了轉(zhuǎn)賬限額。2021年交通銀行的轉(zhuǎn)賬規(guī)則顯示——通過人臉識別,可以將單筆5萬的限額調(diào)整至單筆限額20萬,將每日5萬的轉(zhuǎn)賬限額,調(diào)整至每日限額50萬。
(通過“人臉識別”,可以調(diào)高轉(zhuǎn)賬限額。來源:用戶提供)
調(diào)整限額后,就可以再次利用人臉識別加上攔截到的短信驗(yàn)證碼進(jìn)行轉(zhuǎn)賬。
楚楓提供的轉(zhuǎn)賬流水顯示,不法分子共進(jìn)行了五次大額轉(zhuǎn)賬,加上登錄軟件重置密碼和調(diào)高限額的操作,共涉及6次人臉識別的過程,活檢結(jié)果均顯示通過。
(不法分子利用“假人臉”盜刷銀行卡,6次通過活檢。來源:用戶提供)
至于不法分子究竟是什么來頭——警方調(diào)取的內(nèi)容顯示,不法分子的IP地址為中國臺灣,使用的手機(jī)是一款海外手機(jī),型號為摩托羅拉XT1686。
充滿戲劇性的是,楚楓本人在辦卡當(dāng)天并未離開北京。而遠(yuǎn)在臺灣的不法分子,卻6次通過活體人臉識別,盜刷了他本人的40多萬存款。
楚楓表示,他的情況并非個(gè)案。在過去的2021年,僅他知道的就還有5位用戶,同樣通過交通銀行人臉識別被盜刷,時(shí)間集中在2020年10月-2021年10月。
截至目前,距離楚楓的存款被盜刷已過去了整整一年,但法院一審判決的結(jié)果卻給了他當(dāng)頭一棒,判決結(jié)果是交通銀行“未存在明顯過錯(cuò)”,將楚楓的訴求全部駁回。
(法院判決交通銀行“無明顯的錯(cuò)誤或過失”。來源:用戶提供)
02 人臉識別市場的“AB”面
人臉識別的流程,包括圖像采集、預(yù)處理、人臉特征點(diǎn)提取、人臉檢測和人臉匹配等。
與傳統(tǒng)的輸入密碼以及其它認(rèn)證方式相比,人臉識別技術(shù)的應(yīng)用在某些領(lǐng)域可以提高效率,優(yōu)化流程,具有采集快捷等優(yōu)勢。
近年來,受益于國內(nèi)深度學(xué)習(xí)算法的發(fā)展和數(shù)據(jù)的累積,人臉識別應(yīng)用如雨后春筍般涌現(xiàn)。人臉解鎖、人臉支付、上班打卡······人臉識別在這些場景的應(yīng)用,已經(jīng)得到了社會的廣泛關(guān)注。
深度科技研究院院長張孝榮告訴市界:“目前國內(nèi)人臉識別的市場規(guī)模大約50-70億元,從業(yè)者以智能安防企業(yè),互聯(lián)網(wǎng)巨頭和AI領(lǐng)軍企業(yè)為主,金融、交通和娛樂領(lǐng)域也在廣泛應(yīng)用!
雖然人臉識別在多個(gè)領(lǐng)域廣為涉獵,但由于金融領(lǐng)域涉及到用戶的支付安全問題,目前的人臉識別精度尚無法完全滿足相關(guān)需求。加之用戶還沒有完全養(yǎng)成人臉識別的習(xí)慣,冰鑒科技研究院王詩強(qiáng)認(rèn)為,應(yīng)用于金融領(lǐng)域的人臉識別尚處于成長階段。
伴隨著人臉識別領(lǐng)域不斷發(fā)展和擴(kuò)張,質(zhì)疑人臉識別濫用的聲音也越來越多。最直接的佐證是,人臉識別在一些領(lǐng)域已經(jīng)開始退場——央視315晚會曾曝光過行業(yè)內(nèi)搜集人臉信息的亂象,最終多地零售門店、售樓處被迫拆除了人臉識別的攝像頭。
而在移動端,一些涉及刷臉支付、視頻采集等需要用到人臉信息的軟件,卻在隱私政策中對如何收集、使用、存儲、處理人臉信息避而不談,甚至還會在未告知用戶的情況下直接采集人臉圖像數(shù)據(jù)。
談及人臉識別所比對的信息來源,張孝榮表示:“信息來源一般比較復(fù)雜。除了用戶按要求自行上傳外,還包括證件信息采集設(shè)備收集,公安部門數(shù)據(jù)庫接口,有關(guān)部門視頻頭監(jiān)控?cái)?shù)據(jù),第三方數(shù)據(jù)庫,網(wǎng)絡(luò)公開信息資料等等!
對此,令牌云的創(chuàng)始人陳建偉認(rèn)為:“人臉識別在采集相關(guān)信息的過程中,涉及隱私的風(fēng)險(xiǎn)巨大。主要是不清楚采集方是否緩存或泄露了用戶的人臉照片,哪怕僅僅是人臉特征值!
但值得一提的是,在日漸復(fù)雜的應(yīng)用場景下,相關(guān)監(jiān)管也如期而至。2021年7月,最高人民法院出臺 《關(guān)于審理使用人臉識別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》;2021年11月,《個(gè)人信息保護(hù)法》正式生效。
在人臉識別領(lǐng)域,雖然建立的法律法規(guī)主要從個(gè)人信息保護(hù)法的角度出發(fā),但也傳遞出了監(jiān)管層想要在商業(yè)服務(wù)場景中規(guī)范人臉識別行為的信號。
03 到底是誰的錯(cuò)?
在與楚楓的交談過程中,有一句話讓人印象深刻!叭绻皇墙煌ㄣy行的人臉識別系統(tǒng)存在風(fēng)險(xiǎn),為何不法分子要煞費(fèi)苦心引導(dǎo)我把存款從其它銀行卡轉(zhuǎn)入交通銀行卡中。”
針對交通銀行方面“在用戶大額轉(zhuǎn)賬的過程中,已打電話求證轉(zhuǎn)賬人和收款人的名字等信息,盡到了提醒義務(wù)”的說辭,分析師李好好表示:“在用戶手機(jī)電話和短信都被攔截的前提下,銀行核實(shí)方式的力度有些“弱”。況且用戶剛剛在北京辦好銀行卡,不法分子就可以在臺灣立刻盜刷。即便是社交平臺,出現(xiàn)異地登錄的情況也會有異地風(fēng)險(xiǎn)提示。”
也就是說,交通銀行在判斷轉(zhuǎn)賬風(fēng)險(xiǎn)以及異地登錄方面的風(fēng)控“核而未實(shí)”,做得不盡如人意——這是交通銀行人臉識別系統(tǒng)存在的第二個(gè)“風(fēng)險(xiǎn)”。
如楚楓所說,即便用戶存在信息泄露的問題,最初每日的轉(zhuǎn)賬限額也僅為5萬元。但不法分子利用“假人臉”提升了每日的轉(zhuǎn)賬限額。人臉識別在這個(gè)過程中起到了關(guān)鍵作用,最終用戶蒙受損失。
關(guān)于交通銀行人臉識別存在的“風(fēng)險(xiǎn)”,市界向交通銀行求證,但截至發(fā)稿,并未收到對方回應(yīng)。
值得一提的是,交通銀行的系統(tǒng)曾優(yōu)化升級了好幾次,還曾在2021年9月9日發(fā)布了一份“關(guān)于人臉識別停用”的公告。
(交通銀行優(yōu)化系統(tǒng)。來源:交通銀行官網(wǎng))
據(jù)鳳凰網(wǎng)科技報(bào)道,為交行提供人臉識別服務(wù)的公司眼神科技,成立于2016年6月。眼神科技2020年9月在公眾號中表示,交通銀行引入了眼神科技的ABIS多模態(tài)生物識別統(tǒng)一身份認(rèn)證平臺,融合指紋、人臉、指靜脈、虹膜等多種核心技術(shù),應(yīng)用于VIP識別、無人銀行、智易通、手機(jī)銀行等應(yīng)用場景。
交通銀行在2021年年報(bào)中表示,銀行將以普惠金融、貿(mào)易金融、科技金融、財(cái)富金融“四大特色”為重點(diǎn),創(chuàng)新金融供給,深化科技賦能,以數(shù)字化思維重塑業(yè)務(wù)流程、展業(yè)模式和服務(wù)方式,守牢金融風(fēng)險(xiǎn)防控底線。
從數(shù)據(jù)來看,2021年交通銀行實(shí)現(xiàn)營收2693.9億,同比增長9.42%;累計(jì)金融科技投入為 87.5 億元,同比增長 23.60%,占營收的4.03%,同比提升了0.5個(gè)百分點(diǎn)。
除了交通銀行使用人臉識別認(rèn)證外,其他包括工、農(nóng)、中、建在內(nèi)的國有大行以及部分股份制銀行,均有人臉識別這一流程。
“AI人臉技術(shù)”在本質(zhì)上僅僅是軟件算法而已,如何在享受人臉識別便捷性的同時(shí),避免黑產(chǎn)方的破解?冰鑒科技研究院王詩強(qiáng)表示:“需要相關(guān)從業(yè)機(jī)構(gòu)配備技術(shù)人員,做好技術(shù)保密工作,建立預(yù)警機(jī)制,及時(shí)優(yōu)化升級相關(guān)技術(shù),才能降低相關(guān)風(fēng)險(xiǎn)發(fā)生,減少客戶損失。”
(文中楚楓、李好好為化名)
(除單獨(dú)標(biāo)注來源外,以上圖片來自視覺中國(000681))
最新評論