近年來,人臉識別、指紋識別等身份驗證技術已成為手機銀行的“標配”,在幫助用戶提高效率的同時,也衍生一些弊端。近期,有用戶發現,在光大銀行手機端轉賬時所驗證的指紋,並非是本人在銀行錄入的指紋,而是手機內存儲的指紋。基於這個發現,該名用戶對“指紋識別”擁有的高權限產生質疑。
一名用戶將自己的86萬元積蓄存入光大銀行。但這些存款在短短的8天時間內,就被洗劫一空。
“在沒有交易密碼,沒有短信驗證碼的情況下,存款是如何被盜走的?”起初,該名用戶百思不得其解。直到她的傢人查詢登錄設備,發現盜刷者是通過指紋登錄手機銀行賬戶,又以指紋支付的方式,將存款盜刷。
隨後,她的傢人按照光大銀行指紋識別的流程測試轉賬系統,並對系統的安全性產生質疑——轉賬過程中驗證的指紋並非是銀行卡卡主的指紋,而是盜刷者的指紋。
近年來,隨著大數據、雲計算、人工智能技術的發展,生物識別(人臉識別、指紋識別)應用已成為手機銀行的“標配”。但它們在為用戶提供高效便捷服務的同時,也給一些別有用心的人提供可乘之機。
86萬存款被盜刷背後
2021年8月,年過六旬的文惠在光大銀行櫃臺辦理一張儲蓄卡。開通手機銀行功能後,存入10萬元錢。然而讓她始料未及的是,這筆錢隻在她的賬戶短暫停留一瞬,就“失蹤”。
文惠對存款被盜一事毫不知情。在後續的一周裡,老人陸續向該卡內轉入3筆存款,最多的一筆為38萬元。這三筆存款也沒能逃過被盜刷的命運,存入後立刻被洗劫一空。
算上最開始的10萬元,文惠將自己的86萬存款全部轉入該賬戶中。但由於老人的日常支出較少,取款的機會也是少之又少,直到2021年8月12日,文惠需要一筆錢急用,連續幾次交易失敗後這才發現賬戶異常。
(8月3日-8月10日銀行賬戶交易流水,來源:用戶提供)
文惠的傢人立刻報警,聯系銀行凍結賬戶。但為時已晚,在8月3日-8月10日之間,存款已被盜刷。對此,文惠及傢人無法理解——明明轉賬限額隻有5萬元,在沒有收到短信驗證碼驗證的情況下,盜刷者是如何在短時間內盜走大額存款?
林浩(文惠傢人)查詢該賬戶的近期登錄設備,記錄顯示盜刷者在一臺OPPO手機上通過指紋登錄銀行賬戶,隨後又以指紋支付的方式完成多筆大額轉賬。
(來源:用戶提供)
正常情況下,在光大銀行手機端進行轉賬時需要交易密碼和短信驗證碼進行雙重驗證。如果開通指紋支付,僅需要交易密碼和指紋就可以完成交易,同時還可以將轉賬限額修改為50萬元。
為進一步解情況,林浩對光大銀行的轉賬系統進行測試,同時用視頻記錄測試的全過程:首先在他的手機設備上登錄文惠的銀行賬戶,輸入交易密碼後到驗證指紋的環節。戲劇性的一幕出現——林浩用自己的指紋,將文惠賬戶的存款成功轉出。
這個發現讓文惠一傢極為震驚:如果盜刷者掌握對方的交易密碼,就可以在他的手機設備上使用自己的指紋,將其它用戶的存款盜走。
與此同時,在林浩提供的一份與光大銀行客服對話錄音顯示,用戶開通指紋支付後,交易時驗證比對的指紋是手機機主的指紋,並非是卡主的指紋。
“在銀行網點開卡時中有錄入指紋的環節,但在手機端登錄和轉賬時查驗的指紋卻來自手機系統,並非是銀行系統。”林浩認為,光大銀行轉賬系統存在漏洞,在進行指紋認證程序時,銀行沒有盡到自己的責任,而是將核實指紋真偽的權力交到手機廠商的手中。
至於交易密碼的泄露過程——林浩推測,老人手機上的軟件數量較少,而且習慣用同一個密碼。有可能是盜刷者通過黑客手段碰撞其他軟件,破解她的銀行卡交易密碼。
在裁判文書網中,確有類似案件的判決記錄:有犯罪嫌疑人非法購買公民個人信息,以黑客手段對受害者的信息進行碰撞,最終破解受害人的賬號和密碼。在該案件中,光大銀行因沒能保障客戶存取款交易安全不受非法侵害,被判全責。
(來源:中國裁判文書網)
對此,文惠傢人認為:“在銀行存款被盜取前,老人並未進行網銀操作,甚至手機、銀行卡、身份證均未離身,因此光大銀行同樣沒能盡到保護用戶銀行卡信息安全的義務。”
截至目前,距離存款被盜刷已有一年多時間。關於案件的進展情況,國傢信訪局的告知信息中顯示:經過大數據查詢,錢款已被轉往國外賬戶。目前尚無法確定嫌疑人身份,大概率是在緬甸附近。
“這筆錢是文惠和她母親一輩子的積蓄,以後是要留給小孩的。”林浩表示:“對於這樣的結果,我們也很難以接受。”
生物識別安全幾何?
重新梳理文惠存款被盜刷的過程後,市界發現:在光大銀行手機端首次登錄時,需要手機號碼、登錄密碼以及短信驗證碼; 開通指紋登錄功能後,則省去登錄密碼和驗證碼的環節,可以通過指紋直接登錄賬戶。
然而在開通指紋支付的過程中也同樣需要輸入交易密碼和短信驗證碼,並在最後通過人臉識別驗證後,才能開通指紋登錄和指紋支付功能。
也就是說, 除交易密碼泄露以外,文惠的短信驗證碼也可能已被竊取。
近年來,電信詐騙猖獗,許多不法分子以發送短信鏈接的形式進行誘導,一旦用戶點擊鏈接,手機就會被植入木馬病毒。不法分子再利用木馬病毒對用戶的短信和電話進行攔截,進而獲取短信驗證碼等信息。
在文惠的印象中,她沒有點過不明鏈接,也不太清楚自己的密碼和短信驗證碼究竟在哪個環節泄露,傢人隻能試圖從她的描述中來還原事件的整個過程。
值得一提的是,盜刷者在進行第一筆大額轉賬時,光大銀行後臺曾給文惠打過兩個視頻電話核實身份,但文惠沒有及時接到,導致第一次的交易因審核未完成而取消。隨後,光大銀行將驗證方式改為人臉識別聯網核查(點頭、張嘴、轉頭等方式),驗證“文惠”的面容,六分鐘後,該筆交易成功。
林浩查詢轉賬明細後發現:盜刷者共進行9筆大額轉賬。隻有第1筆交易有人臉識別的聯網核查,其它交易僅通過交易密碼和指紋認證的方式就被轉出。
(來源:用戶提供)
“一般來說,不法分子會通過多種非法渠道來獲取人臉照片。”人臉識別專傢劉天表示: “有可能是利用證件照片或是本人視頻截屏(被騙進行視頻通話);或是通過合成照片後進行面部替換,生成張嘴、眨眼、轉頭等動態人臉;還有可能是利用網絡攻擊手段,在不啟動攝像頭的情況下,向系統中註入偽造的動態視頻來通過人臉認證。”
藍田是一名在人工智能科技公司工作的技術人員。談及生物識別的發展現狀,藍田認為:目前的人工智能技術已較為成熟,基本可以做到防范詐騙。但 由於人臉識別或指紋識別在不同的場景應用時涉及成本、用戶體驗、檢測速度等一系列問題,致使不同銀行選擇的安防系統不同,所以安全等級也會不同。
至於指紋和人臉的安全性問題,劉天表示:“這是個老生常談的問題。重點要看銀行、手機廠商是否願意承擔高成本。 如果成本不受限制,指紋和人臉的安全性相差不多——雖然指紋識別屬於接觸式識別,可能會受汗水、灰塵等影響,甚至還存在部分指紋的紋理恰巧在算法的盲區,無法被識別的情況。但這畢竟是小概率事件, 從社會的發展角度來看,使用生物識別的便捷性要超過弊端。”
目前人工智能技術供應商也在幫助銀行升級風控系統,進行AI反欺詐管理——根據數據判斷是否存在異地登錄等一系列涉嫌欺詐的行為,一旦觸發風險條件,系統會自動執行強控制措施。
“但如果銀行選擇的系統安全性不過關,那麼攻擊者有可能會通過代碼開發對銀行App、手機系統動手腳,入侵人臉識別的底層系統,劫持攝像頭,在銀行App不啟動攝像頭的情況下,把視頻流直接傳給銀行App,也能繞過活體檢測。”
指紋權限過高?
目前,生物識別(人臉識別、指紋識別)已廣泛應用於各類場景,對於註重交易安全的銀行業來說,更是占據著舉足輕重的地位。
在上市銀行公佈的2022年半年報中,“金融科技”無疑是高頻詞匯。2022年上半年,多傢商業銀行將發展金融科技、推進數字化轉型提升到更高的戰略層面,金融科技投入金額和科技人才數量占比同比均大幅提升。
以光大銀行為例,截至2022年6月30日,公司科技投入 21.38 億元,同比增長 25.47%;全行科技人員 2598 人,比上年末增加 237 人,占全行員工的 5.69%。
除此之外,光大銀行還在半年報中表示:公司深化建設“123+N”數字銀行發展體系。“一個智慧大腦”持續賦能,開發訓練算法模型超900個;實現多模態生物識別的交叉應用,覆蓋場景500餘個。
“從目前情況來看,包括工農中建在內的國有四大行,擁有自己的人工智能開發中心和業務系統;但也有一些城商行受成本和需求影響,選擇從外包公司采購搭載著算法和模塊的相應產品。” 藍田表示:“有的銀行將重點放在人臉識別上,有的銀行是OCR(身份證、銀行卡圖文識別),有的較重視AI 反欺詐,有的是規范網點行為······不同銀行的需求不同,最終選擇的算法模塊也會不同。”
通常情況下,模型越復雜,運行速度越慢,但同時識別精度和準確率也會越高。考慮到用戶體驗感以及卡頓等因素, 部分手機廠商會選取輕便化的模型,減少部分算法流程來提高運行速度。但銀行對安全性的要求極高,這樣的模型無法滿足基本要求。
在與文惠傢人交談的過程中,有一句話讓人深刻——我明白銀行進行生物識別認證的初衷是為增加安全屏障,但從效果來看,似乎並不盡如人意。
如其所說,即便文惠存在信息泄露的情況,最初的轉賬限額也僅為5萬元。但盜刷者利用不屬於老人的指紋,來調高轉賬限額,致使老人蒙受巨額損失。
“既然無法保證絕對的安全性,為何指紋識別可以擁有替代短信驗證、甚至是調高轉賬限額這樣的高權限?”
而光大銀行沈陽市鐵西支行(文惠開卡網點)則認為:老人存款被盜走的根本原因是遭到電信詐騙,並非是因為銀行的漏洞導致被騙。該行行長同時還表示:關於此事,總行會給監管回復。
市界查詢其它銀行APP後發現, 大部分銀行在進行轉賬交易時需要輸入交易密碼和短信驗證碼進行驗證。即便是開通指紋支付功能,也僅能應用於購買電影票等生活類場景,並不具備轉賬權限。
面對猖獗的電信詐騙,許多年輕人尚不能保證自己不會落入其中的陷阱。對於老人群體來說,他們更需要社會的保護和關懷。在這場魔與道的較量中,銀行唯有不斷升級風控系統,降低風險概率,才能最大限度地減少用戶的損失。