摘要: 近年来,人脸识别、指纹识别等身份验证技术已成为手机银行的“标配”,在帮助用户提高效率的同时,也衍生了一些弊端。近期,有用户发现,在光大银行手机端转账时所验证的指纹,并非是本人在银行录入的指纹,而是手机内存储的指纹。基于这个发现,该名用户对“指纹识别”拥有的高权限产生了质疑。 一名用户将自己的86万元积蓄存入了光大银行。但这些存款在短短的8天时间内,就被洗劫一空。 “在没有交易密码,没有短信验证码的情况下,存款是如何被盗走的?”起初,该名用户百思不得其解。直到她的家人查询了登录设备,发现 盗刷者是通过指纹登录了 手机 银行账户,又以指纹支付的方式,将存款盗刷。 随后,她的家人按照光大银行指纹识别的流程测试了转账系统,并对系统的安全性产生了质疑——转账过程中验证的指纹并非是银行卡卡主的指纹,而是盗刷者的指纹。 近年来,随着大数据、云计算、人工智能技术的发展,生物识别(人脸识别、指纹识别)应用已成为手机银行的“标配”。但它们在为用户提供高效便捷服务的同时,也给一些别有用心的人提供了可乘之机。 86万存款被盗刷背后 2021年8月,年过六旬的文惠在光大银行柜台办理了一张储蓄卡。开通手机银行功能后,存入了10万元钱。然而让她始料未及的是,这笔钱只在她的账户短暂停留了一瞬,就“失踪”了。 文惠对存款被盗一事毫不知情。在后续的一周里,老人陆续向该卡内转入3笔存款,最多的一笔为38万元。这三笔存款也没能逃过被盗刷的命运,存入后立刻被洗劫一空。 算上最开始的10万元,文惠将自己的86万存款全部转入了该账户中。但由于老人的日常支出较少,取款的机会也是少之又少,直到2021年8月12日,文惠需要一笔钱急用,连续几次交易失败后这才发现账户异常。 (8月3日-8月10日银行账户交易流水,来源:用户提供) 文惠的家人立刻报警,联系银行冻结账户。但为时已晚,在8月3日-8月10日之间,存款已被盗刷。对此,文惠及家人无法理解——明明转账限额只有5万元,在没有收到短信验证码验证的情况下,盗刷者是如何在短时间内盗走了大额存款? 林浩(文惠家人)查询了该账户的近期登录设备,记录显示盗刷者在一台 OPPO 手机上通过 指纹登录了银行账户,随后又以指纹支付的方式完成了多笔大额转账。 (来源:用户提供) 正常情况下,在光大银行手机端进行转账时需要交易密码和短信验证码进行双重验证。 如果开通了指纹支付,仅需要交易密码和指纹就可以完成交易,同时还可以将转账限额修改为50万元。 为了进一步了解情况,林浩对光大银行的转账系统进行了测试,同时用视频记录了测试的全过程:首先在他的手机设备上登录文惠的银行账户,输入交易密码后到了验证指纹的环节。戏剧性的一幕出现了——林浩用自己的指纹,将文惠账户的存款成功转出。 这个发现让文惠一家极为震惊: 如果盗刷者掌握了对方的交易密码,就可以在他的手机设备上使用自己的指纹,将其它用户的存款盗走。 与此同时,在林浩提供的一份与光大银行客服对话录音显示,用户开通指纹支付后,交易时验证比对的指纹是手机机主的指纹,并非是卡主的指纹。 “在银行网点开卡时中有录入指纹的环节,但在手机端登录和转账时查验的指纹却来自手机系统,并非是银行系统。”林浩认为,光大银行转账系统存在漏洞,在进行指纹认证程序时,银行没有尽到自己的责任,而是将核实指纹真伪的权力交到了手机厂商的手中。 至于交易密码的泄露过程——林浩推测,老人手机上的软件数量较少,而且习惯用同一个密码。 有可能是盗刷者通过黑客手段碰撞其他软件,破解了她的银行卡交易密码。 在裁判文书网中,确有类似案件的判决记录: 有犯罪嫌疑人非法购买公民个人信息,以黑客手段对受害者的信息进行碰撞,最终破解了受害人的账号和密码。在该案件中,光大银行因没能保障客户存取款交易安全不受非法侵害,被判全责。 (来源:中国裁判文书网) 对此,文惠家人认为:“在银行存款被盗取前,老人并未进行网银操作,甚至手机、银行卡、身份证均未离身,因此光大银行同样没能尽到保护用户银行卡信息安全的义务。” 截至目前,距离存款被盗刷已有一年多时间。关于案件的进展情况,国家信访局的告知信息中显示: 经过大数据查询,钱款已被转往国外账户。目前尚无法确定嫌疑人身份,大概率是在缅甸附近。 “这笔钱是文惠和她母亲一辈子的积蓄,以后是要留给小孩的。”林浩表示:“对于这样的结果,我们也很难以接受。” 生物识别安全几何? 重新梳理文惠存款被盗刷的过程后,市界发现:在光大银行手机端首次登录时,需要手机号码、登录密码以及短信验证码; 开通指纹登录功能后,则省去了登录密码和验证码的环节,可以通过指纹直接登录账户。 然而在开通指纹支付的过程中也同样需要输入交易密码和短信验证码,并在最后通过人脸识别验证后,才能开通指纹登录和指纹支付功能。 也就是说, 除交易密码泄露以外,文惠的短信验证码也可能已被窃取。 近年来,电信诈骗猖獗,许多不法分子以发送短信链接的形式进行诱导,一旦用户点击链接,手机就会被植入木马病毒。不法分子再利用木马病毒对用户的短信和电话进行拦截,进而获取短信验证码等信息。 在文惠的印象中,她没有点过不明链接,也不太清楚自己的密码和短信验证码究竟在哪个环节泄露,家人只能试图从她的描述中来还原事件的整个过程。 值得一提的是,盗刷者在进行第一笔大额转账时,光大银行后台曾给文惠打过两个视频电话核实身份,但文惠没有及时接到,导致第一次的交易因审核未完成而取消。随后,光大银行将验证方式改为了人脸识别联网核查(点头、张嘴、转头等方式),验证了“文惠”的面容,六分钟后,该笔交易成功。 林浩查询转账明细后发现:盗刷者共进行了9笔大额转账。只有第1笔交易有人脸识别的联网核查,其它交易仅通过交易密码和指纹认证的方式就被转出。 (来源:用户提供) “一般来说,不法分子会通过多种非法渠道来获取人脸照片。”人脸识别专家刘天表示: “有可能是利用证件照片或是本人视频截屏(被骗进行视频通话);或是通过合成照片后进行面部替换,生成张嘴、眨眼、转头等动态人脸;还有可能是利用网络攻击手段,在不启动摄像头的情况下,向系统中注入伪造的动态视频来通过人脸认证。” 蓝田是一名在人工智能科技公司工作的技术人员。谈及生物识别的发展现状,蓝田认为:目前的人工智能技术已较为成熟,基本可以做到防范诈骗。但 由于人脸识别或指纹识别在不同的场景应用时涉及成本、用户体验、检测速度等一系列问题,致使不同银行选择的安防系统不同,所以安全等级也会不同。 至于指纹和人脸的安全性问题,刘天表示:“这是个老生常谈的问题。重点要看银行、手机厂商是否愿意承担高成本。 如果成本不受限制,指纹和人脸的安全性相差不多——虽然指纹识别属于接触式识别,可能会受汗水、灰尘等影响,甚至还存在部分指纹的纹理恰巧在算法的盲区,无法被识别的情况。但这毕竟是小概率事件, 从社会的发展角度来看,使用生物识别的便捷性要超过弊端。” 目前人工智能技术供应商也在帮助银行升级风控系统,进行AI反欺诈管理——根据数据判断是否存在异地登录等一系列涉嫌欺诈的行为,一旦触发风险条件,系统会自动执行强控制措施。…
阅读更多(Read More)
