人脸识别方便了我们的生活,也打开了潘多拉的魔盒。
2021年,有不法分子利用交通银行的人脸识别授权功能,再通过潜伏在用户手机里的木马病毒拦截短信验证码,盗取了多位用户的银行存款,受害者包括金融行业员工、大厂员工、律师以及公司高管。有用户统计信息后告诉市界,目前至少涉及6名用户被盗刷资金,每户金额从几万到几十万不等,总金额超200万元。
部分用户为了追回自己被盗刷的存款,选择将交通银行诉至法庭,但在今年6底,却收到了法院对交通银行“未见存在明显的过错和过失”的一审判决,驳回用户全部诉讼请求。博弈还在继续,一位受害者表示:“我们的资金因为交通银行的人脸识别风险被盗刷,虽然一审判决并不如意,没有打赢官司,但我们会继续上诉。”
这些案例几乎都被定性为电信诈骗。事实上,脱去电信诈骗的外壳,人脸识别的风险也不容小觑。不少持卡人明确表示:“从来不敢使用人脸识别进行支付。”
01
被盗刷40多万
“因为银行的人脸识别系统风险,存款全军覆没,一审判决又被全部驳回。如果是你,会是什么样的心情?”谈及一年前存款被盗刷的那个下午,楚枫难掩失落。
“当时一个自称是公安局的人找到我,准确地说出了我的姓名、身份证号、工作单位以及家庭住址等信息。他说我的信息已经泄露,银行卡存在被盗刷的风险。”
在获取了楚枫的信任后,对方发来一个所谓的防护网址。而只要点进去这个网址,就会中木马病毒,对方可以拦截楚枫的短信和电话。对方想让楚枫看到什么,才能看到什么。
后来,他建议楚枫重新办理一张交通银行卡。“将存款转入新卡中,这样已经泄露的银行卡信息对骗子来说也没什么用了。”
在接到这个电话之前,楚枫和交通银行没有任何渊源。
对于这个突如其来的“善意”提醒,楚枫选择相信——对方完全站在公允的立场提醒用户小心诈骗。而重新办理一张银行卡也无可厚非,交通银行毕竟是国有大行之一,安全性肯定有保障。
就这样,楚枫在交通银行的营业厅开了卡,将自己的40多万存款悉数转入其中。同时还开通了交通银行的小额转账功能——对应的转账限额为单笔最高5万元,单日累计5万元。
但随后发生的事情让他意识到不太对劲——对方一直在催促他将家里的存款全部存入这张卡中。楚枫立刻报警、联系银行冻结账户。但为时已晚,刚刚存入的几笔存款已经被盗刷了。
楚枫傻眼了。自己连手机银行的APP还没有来得及下载,刚刚设置的转账限额也是每天只有5万元,不法分子在不到一个小时的时间里,是如何将40多万的存款盗刷的?
根据交通银行规定,用户首次登录手机银行APP,需要手机短信的验证码和人脸识别的双重验证。(由于楚枫没有下载手机银行APP,所以没有登录密码)。而交通银行客服的说法也证实,“楚枫”利用了人脸识别重置了登录密码。
这也就是说,不法分子利用木马病毒拦截了楚枫的手机短信,而后通过“假人脸”,重置密码后登录了楚枫的交通银行账户。
在交谈过程中,楚枫着重强调了交通银行人脸识别系统的*个风险——如果不法分子使用的“假人脸”不能通过银行人脸识别系统的认证,那么后续涉及短信验证码、以及登录银行账户等情况均不会发生。
而不法分子实现了盗刷资金的*步后,又利用人脸识别调高了转账限额。2021年交通银行的转账规则显示——通过人脸识别,可以将单笔5万的限额调整至单笔限额20万,将每日5万的转账限额,调整至每日限额50万。
通过“人脸识别”,可以调高转账限额。
来源:用户提供
调整限额后,就可以再次利用人脸识别加上拦截到的短信验证码进行转账。
楚枫提供的转账流水显示,不法分子共进行了五次大额转账,加上登录软件重置密码和调高限额的操作,共涉及6次人脸识别的过程,活检结果均显示通过。
不法分子利用“假人脸”盗刷银行卡,6次通过活检。
来源:用户提供
至于不法分子究竟是什么来头——警方调取的内容显示,不法分子的IP地址为中国台湾,使用的手机是一款海外手机,型号为摩托罗拉XT1686。
充满戏剧性的是,楚枫本人在办卡当天并未离开北京。而远在台湾的不法分子,却6次通过活体人脸识别,盗刷了他本人的40多万存款。
楚枫表示,他的情况并非个案。在过去的2021年,仅他知道的就还有5位用户,同样通过交通银行人脸识别被盗刷,时间集中在2020年10月-2021年10月。
截至目前,距离楚枫的存款被盗刷已过去了整整一年,但法院一审判决的结果却给了他当头一棒,判决结果是交通银行“未存在明显过错”,将楚枫的诉求全部驳回。
法院判决交通银行“无明显的错误或过失”。
来源:用户提供
02
人脸识别市场的“AB”面
人脸识别的流程,包括图像采集、预处理、人脸特征点提取、人脸检测和人脸匹配等。
与传统的输入密码以及其它认证方式相比,人脸识别技术的应用在某些领域可以提高效率,优化流程,具有采集快捷等优势。
近年来,受益于国内深度学习算法的发展和数据的累积,人脸识别应用如雨后春笋般涌现。人脸解锁、人脸支付、上班打卡······人脸识别在这些场景的应用,已经得到了社会的广泛关注。
深度科技研究院院长张孝荣告诉市界:“目前国内人脸识别的市场规模大约50-70亿元,从业者以智能安防企业,互联网巨头和AI领军企业为主,金融、交通和娱乐领域也在广泛应用。”
虽然人脸识别在多个领域广为涉猎,但由于金融领域涉及到用户的支付安全问题,目前的人脸识别精度尚无法完全满足相关需求。加之用户还没有完全养成人脸识别的习惯,冰鉴科技研究院王诗强认为,应用于金融领域的人脸识别尚处于成长阶段。
伴随着人脸识别领域不断发展和扩张,质疑人脸识别滥用的声音也越来越多。最直接的佐证是,人脸识别在一些领域已经开始退场——央视315晚会曾曝光过行业内搜集人脸信息的乱象,最终多地零售门店、售楼处被迫拆除了人脸识别的摄像头。
而在移动端,一些涉及刷脸支付、视频采集等需要用到人脸信息的软件,却在隐私政策中对如何收集、使用、存储、处理人脸信息避而不谈,甚至还会在未告知用户的情况下直接采集人脸图像数据。
谈及人脸识别所比对的信息来源,张孝荣表示:“信息来源一般比较复杂。除了用户按要求自行上传外,还包括证件信息采集设备收集,公安部门数据库接口,有关部门视频头监控数据,第三方数据库,网络公开信息资料等等。”
对此,令牌云的创始人陈建伟认为:“人脸识别在采集相关信息的过程中,涉及隐私的风险巨大。主要是不清楚采集方是否缓存或泄露了用户的人脸照片,哪怕仅仅是人脸特征值。”
但值得一提的是,在日渐复杂的应用场景下,相关监管也如期而至。2021年7月,最高人民法院出台 《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》;2021年11月,《个人信息保护法》正式生效。
在人脸识别领域,虽然建立的法律法规主要从个人信息保护法的角度出发,但也传递出了监管层想要在商业服务场景中规范人脸识别行为的信号。
03
到底是谁的错?
在与楚枫的交谈过程中,有一句话让人印象深刻。“如果不是交通银行的人脸识别系统存在风险,为何不法分子要煞费苦心引导我把存款从其它银行卡转入交通银行卡中。”
针对交通银行方面“在用户大额转账的过程中,已打电话求证转账人和收款人的名字等信息,尽到了提醒义务”的说辞,分析师李好好表示:“在用户手机电话和短信都被拦截的前提下,银行核实方式的力度有些“弱”。况且用户刚刚在北京办好银行卡,不法分子就可以在台湾立刻盗刷。即便是社交平台,出现异地登录的情况也会有异地风险提示。”
也就是说,交通银行在判断转账风险以及异地登录方面的风控“核而未实”,做得不尽如人意——这是交通银行人脸识别系统存在的第二个“风险”。
如楚枫所说,即便用户存在信息泄露的问题,最初每日的转账限额也仅为5万元。但不法分子利用“假人脸”提升了每日的转账限额。人脸识别在这个过程中起到了关键作用,最终用户蒙受损失。
关于交通银行人脸识别存在的“风险”,市界向交通银行求证,但截至发稿,并未收到对方回应。
值得一提的是,交通银行的系统曾优化升级了好几次,还曾在2021年9月9日发布了一份“关于人脸识别停用”的公告。
据凤凰网科技报道,为交行提供人脸识别服务的公司眼神科技,成立于2016年6月。眼神科技2020年9月在公众号中表示,交通银行引入了眼神科技的ABIS多模态生物识别统一身份认证平台,融合指纹、人脸、指静脉、虹膜等多种核心技术,应用于VIP识别、无人银行、智易通、手机银行等应用场景。
交通银行在2021年年报中表示,银行将以普惠金融、贸易金融、科技金融、财富金融“四大特色”为重点,创新金融供给,深化科技赋能,以数字化思维重塑业务流程、展业模式和服务方式,守牢金融风险防控底线。
从数据来看,2021年交通银行实现营收2693.9亿,同比增长9.42%;累计金融科技投入为 87.5 亿元,同比增长 23.60%,占营收的4.03%,同比提升了0.5个百分点。
除了交通银行使用人脸识别认证外,其他包括工、农、中、建在内的国有大行以及部分股份制银行,均有人脸识别这一流程。
“AI人脸技术”在本质上仅仅是软件算法而已,如何在享受人脸识别便捷性的同时,避免黑产方的破解?冰鉴科技研究院王诗强表示:“需要相关从业机构配备技术人员,做好技术保密工作,建立预警机制,及时优化升级相关技术,才能降低相关风险发生,减少客户损失。”
(文中楚枫、李好好为化名)