银行人脸识别系统被攻破 非本人操作卡里的钱被悉数转走

【菜叶百科解读】

李红(化名)万万没想到，诈骗人员从她的交通银行卡偷走近43万元，如入无人之境。

要想从交通银行卡中转账，需要用户在手机银行App上进行人脸识别，并进行短信验证。李红陷入了诈骗分子的圈套，她的手机短信被拦截，手机号被设置了呼叫转移，令她的验证码落入他人手中，且无法接听银行的确认电话。

更严重的是，“人脸识别”被攻破了。银行系统后台显示，在进行密码重置和大额转账时，“李红”进行了6次人脸识别比对，均显示“活检成功”。

那几次人脸识别并不是身在北京的李红本人操作，登录者的IP地址显示在台湾。当李红本人登录手机银行时，卡里的钱已被悉数转走。她去派出所报案，警察很快认定她遭遇了电信诈骗，并立案侦查。

既然不是本人操作，为何还能“活检成功”?李红怀疑交通银行人脸识别系统的安全性，并以“借记卡纠纷”为由将交通银行告上法庭，要求赔偿。

2022年6月30日，北京市丰台区人民法院一审驳回了李红的全部诉求。她准备继续上诉。

每个人只有一张脸，因其不易被仿冒，人脸识别被认为具有较高安全性，近年来被普遍适用于银行验证中，用来保障资金安全。但超出普通人认知的是，人脸具有唯一性的生物识别信息，是敏感个人信息，它裸露在无处不在的摄像头下，极易获得。在如今人脸识别系统并不成熟的情况下，用合成活动人脸骗过审核系统的案例屡见不鲜。

长期关注个人信息保护的专家，都对人脸识别的滥用充满忧虑。清华大学法学院教授劳东燕指出，从制度框架的合理设定来考虑，制造更多风险、获取更多收益的一方，理应承担更多的风险与责任，“人脸识别是银行引进的，其是作为风险制造的参与方，通过这种方式银行也获益更多，应该承担和其所获收益成比例的风险责任”。

她还指出，随着人工智能的发展，诈骗手段科技含量更高，银行应当与时俱进，使其安保技术超过犯罪手段的技术。如果银行因人脸识别技术存在的漏洞而相应承担责任，会有助于敦促银行堵住技术上的安全漏洞，对可能发生的诈骗犯罪起到预防作用。

被骗42.9万元

从接通电话那刻起，李红就陷入“协助破案”的迷局中。那是2021年6月19日上午10：30，电话那头自称“北京市公安局户政科陈杰警官”的人告诉李红，她的护照此前在哈尔滨涉嫌非法入境，让她向哈尔滨市公安局报案。对方轻易地报出了李红身份证号，这令她开始相信电话那头的“警官”。

李红被转接给哈尔滨市公安局的“刘警官”。对方告诉她，她涉嫌“李燕反洗钱案”，并让她登录一个网站查看“公文”。李红用手机登录对方提供的网站后，发现在一张蓝底的“通缉公告”上，印着自己的身份证照片、身份证号等户籍信息。

这令她陷入恐慌，因为在她平常的认知中，这些信息只有公安内部的人才能获得。接下来，她对“警官”的指挥百依百顺。按照指示，她从网站下载了“公安防护”软件和视频会议软件“瞩目”。

“公安防护”是一款诈骗人员常用的“李鬼”手机软件，其设计模仿“国家反诈中心”，如果受害者在里面输入银行卡和密码，诈骗人员就可在后台获取这些信息。

而“瞩目”虽然是普通的视频会议软件，但提供共享屏幕功能。在“刘警官”的要求下，李红通过“瞩目”，向对方共享了自己的手机屏幕，令其掌握了她安装的App种类信息，对方还通过这项功能远程操控她的手机，令她的手机号设置了呼叫转移，无法接收短信和电话。

最容易被忽略的是“露脸”。对方告诉李红，为了验证她是本人操作，她要通过“瞩目”开启会议模式，于是李红的人脸信息轻易暴露在对方面前。这也成为对方实施诈骗的关键一环。

李红始终没能挂断电话，“刘警官”故意令她与外界隔绝。下午13：46，按照要求，李红赶到交通银行北京长辛店支行，开设了一张借记卡。银行开卡记录显示，李红预留了自己的手机号，并允许借记卡通过“网上银行、手机银行、自助设备”三种方式转账，也允许这张卡进行境外取现和消费，但在其他功能中，她选择了“小额免密免签不开通”。

这意味着，当她进行5万元以内的转账时，仍需要验证。此外，李红还设置了转账限额，每日只能累计转账5万元。

声明：本文内容仅代表作者个人观点，与本站立场无关。如有内容侵犯您的合法权益，请及时与我们联系，我们将第一时间安排处理