储户近200万巨款存入交通银行不翼而飞 人脸识别漏洞成骗子作案工具
核心提示:
1.《新视界》独家获悉,目前已有6位交通银行用户被盗刷数百万元,他们的共同点,都是被犯罪分子诱骗,将钱存入了交通银行,犯罪分子使用假人脸通过了银行“人脸识别”这一关。交通银行不承认存在过失,拒绝承担任何责任,被马跃等受害者告上法庭。
2.6月30日,马跃的起诉被法院驳回。法院判定,交通银行未见存在明显的过错和过失。马跃认为,法院回避了交通银行人脸识别漏洞问题,表示会坚持上诉。
3.交通银行目前暂未回应。其技术提供方眼神科技回复《新视界》称,作为交通银行的人脸识别算法和技术服务提供商之一,未收到交通银行相关反馈。
4.这些案例几乎都被定性为电信诈骗,但藏于电信诈骗的外壳下的人脸识别风险,也值得重视。
自人脸识别商业化以来,学界一直在呼吁重视其安全风险。
早在2021年,清华大学法学教授劳东燕就预测,包括人脸数据在内的利用个人信息进行精准诈骗等犯罪的浪潮才刚到来。“犯罪的高潮还在后面,尤其是这种多中心的信息收集模式,一定会到处暴雷。”
她认为,推广人脸识别宣称的安全、便利两大主要理由都不成立。她指出,“所谓的便利,不是对一般大众来讲,而是主要给企业、产业界、相关部门带来商业或管理方面的便利。”如劳东燕所料,目前,制作模拟人脸模型以破解人脸识别验证的黑产已相当“成熟”,许多软件代码已经开源,用身份证照片就可以从技术上模拟张嘴、眨眼等动作,可以骗过许多人脸识别平台。
去年2月,清华大学Real AI研究团队利用对抗样本干扰技术,15分钟内破解19款安卓手机人脸识别系统。央视3.15也曾曝光过主持人现场直接“换脸”,骗过APP,完成了活体检测认证。
银行类App也会用到人脸识别,是否存在被对抗算法攻破的隐患?RealAI团队测试中利用同样的方法成功“骗”过了部分金融App的人脸识别,“眨眨眼、张张嘴等活体经过我们验证基本是无效的,相比之下支付类App使用的人脸识别技术更加谨慎。”
该团队当时就指出,银行类App目前风险较高。
人脸识别风险问题与学界的提醒几乎同时发生了。
《新视界》独家获悉,2020年10月至2021年10月间,五大国有银行之一的交通银行,发生了多起疑似与人脸识别漏洞有关的盗刷案。交通银行的人脸识别系统多次被犯罪分子通过活体验证,目前已被多名用户起诉。
这些案例几乎都被定性为电信诈骗,但事实上,藏于电信诈骗的外壳下的人脸识别风险,也值得重视。
犯罪分子异地通过交通银行人脸识别
马跃是起诉交通银行的用户之一,他在金融系统工作多年,一年前的6月的某个下午,他的妻子刚把50万元存进刚开的交通银行卡中,不久,账户中的资金就不翼而飞了。报警、联系银行,马跃很快得知,存款被盗刷了。
警方向银行调取的内容显示,犯罪分子的IP地址为中国台湾,转账使用了短信+人脸识别的方式。马跃提供的法院判决书显示,交通银行承认,用户本人当天并未离开北京,但远在台湾的犯罪分子,却7次通过了交通银行的人脸识别,6次通过活检。
“6次人脸识别,交行一次都没识别出来犯罪分子使用的是假人脸。”马跃说。
受害者在北京,犯罪者在台湾,IP地址、登录手机型号都能证明,交行通过的人脸识别对象非受害者本人。但一个“假人脸”如何6次通过交通银行人脸验证的?人脸识别还有多少安全风险不为人知?
直觉告诉马跃,这可能不是个案。马跃一边收集资料走诉讼流程,一边留意是否有类似的“受害者”,一年不到,5位和他妻子一样疑因“交通银行人脸识别漏洞”被盗刷的用户找到了他。
马跃家银行卡被盗刷半个月后,7月,同在北京的安女士也遭了“黑手”。她和马跃的经历巧到,盗刷者除了都是台湾IP地址,连使用的手机型号都是一样的摩托罗拉XT1686。
