刚把42.9万元存入新开通的银行卡,既没操作也没输入密码,卡上资金就被骗子全部取走。日前,一起疑似涉及银行人脸识别漏洞的盗刷案件,引发关注。
2021年6月19日上午,小雪(化名 )接到自称是北京市公安局户政科警官的电话,称她在哈尔滨涉嫌非法入境,随后为她把电话转接到自称是“哈尔滨市的刘警官”处。
“刘警官”称,小雪涉嫌反洗钱案,要她登录一个网址看公文,并从该网站上下载公安防护App、瞩目App,开启会议模式,通过视频验证是否为本人,并进行手机屏幕共享,指示她将手机拦截电话、短信等功能开启。随后,还要她办理一张银行卡,把所有银行存款全部转入,以此核实个人资产。
随后,小雪前往对方指定银行的北京长辛店支行,办理一张新的该行借记卡,并将42.9万元资金从其他银行转入账户。小雪说,她还曾被要求将所有贷款额度用满,借钱转入新的借记卡,但她并未照做。
记者查询获悉,根据该银行相关规定,登录手机银行需要手机验证码与人脸识别双重验证。该银行手机银行的单笔转账规定也显示,“通过短信密码工具,转账限额不超过5万,通过人脸识别,可将上限上调至不超过20万。”
小雪称,在此期间她没有下载手机银行App,也未操作过人脸识别和输入密码。然而,随后她发现卡上42.9万元被转走。
为此,她起诉了涉事银行。
法院一审判决认为,小雪按他人指令下载相关App、开启电话及短信拦截等,导致发生身份识别信息、交易验证信息泄露的风险,认定该案是小雪不审慎所致。
小雪表示,骗子能骗取资金,是因为银行人脸识别存在漏洞,致使骗子用假人脸通过识别,并从银行骗取钱款。她认为涉事银行应承担责任,所以会继续上诉。
小雪的遭遇并非孤例。记者了解到,目前至少有5位同样疑因银行人脸识别漏洞被盗刷的用户,且集中在2021年6月到9月,遭遇与小雪相似。他们与小雪互相联系,决定通过诉讼维权,理由是6起案件中的骗子都要求开通涉事银行的新卡,很可能是骗子发现该银行人脸识别存在漏洞。
记者留意到,该银行手机银行曾在2021年9月暂停使用过人脸识别,进行系统改版升级后,又恢复了手机银行的使用。
近日,记者就该案可能涉及人脸识别漏洞等情况,咨询涉事银行。但该行工作人员表示,不接受采访。
清律律师事务所首席合伙人、律师熊定中认为,在小雪的案件中,银行人脸识别技术是否存在漏洞的情况不能被忽略;如果因为人脸技术识别了假人脸而导致储户损失,银行应承担责任。
“人脸识别技术水平无疑要进一步提高,在技术水平未达到但错误率可被接受的情况下,使用该技术的一方也有义务提供更多的检验方案,来确保交易安全。”熊定中说。
△银行后台记录显示,诈骗人用假人脸操作多次,其中6次显示活检结果成功。受访者供图
媒评:银行人脸识别系统被攻破,是个危险信号
众所周知,要想从银行卡中转账,需要用户在手机银行App上进行人脸识别。但储户万万没想到,诈骗人员6次冒充她本人进行人脸识别比对,均显示“活检成功”,并顺利从她的银行卡中偷走近43万元。很显然,银行人脸识别系统被攻破了。
当然,此次银行人脸系统被攻破,有一定的偶然因素,比如被骗者陷入了诈骗分子的圈套,手机短信被拦截,手机号被设置了呼叫转移,并登录了骗子的视频系统暴露了脸部全貌……这都给骗子实施犯罪提供了便利。但无论如何,作为对储户存款负有安保义务的一方,银行都不应该让冒充储户者顺利通过人脸识别系统,这是个危险信号。
究其原因,从银行内部看,目前不少金融机构采用的都是二维识别人脸技术系统,其虽然比三维识别技术系统价格便宜,但基于平面图像获取人脸特征,且对光线、表情、角度等要求不高的特性,决定了其更容易被攻破。比如有一种人脸活化软件,可分析照片和视频中的人脸信息,生成一张可供人操控的“假人脸”,来骗过人脸识别软件。
从银行外部看,此事也暴露了公众对人脸信息的隐私保护意识还较为薄弱。虽然近年也发生过“人脸识别第一案”、一些学者和媒体对人脸识别滥用表示担忧等情况,但人们对人脸保护的总体意识还不高。以火遍全网的换脸APP为例,可以发现,大部分人的个人隐私保护意识仍旧停留在保护身份证号码、银行卡号等传统领域,对面部信息的采集未有高度重视。这也给银行人脸识别系统被攻破埋下了隐患。
银行人脸系统被攻破,危害大矣,不仅使储户财产受损,更影响银行声誉,让公众对银行的安全防护能力产生质疑。无独有偶,早在两年前,浙江赵女士就遭遇了同样骗局,骗子冒充警察要求她做张嘴、眨眼、摇头等动作,疑似通过录像来骗过银行的人脸识别系统。所以,确保银行人脸识别系统的安全,除了加大对诈骗分子的打击力度外,还有很多工作要做。
首先,应从法律层面规范人脸信息的收集和处理,原则上应当禁止脸部识别考勤打卡、刷脸支付以及娱乐性的面部信息收集等。其次,应设立人脸信息监管的专门机构,对此类信息收集、存储、使用、删除的全过程进行管理,防止信息滥用。再次,银行应尽快使用三维人脸识别技术,提升自身防护能力。当然,我们每个人注意保护自己的“脸”,也很重要。
随着《个人信息保护法》的颁布与实施,目前正是规范和整顿人脸识别技术的最佳时机。以此次银行人脸识别系统被攻破为突破口,下大力气为公民信息保护筑起一道防火墙,银行方面带头行动吧。相关职能部门,也抓紧行动起来吧!
文/丁雪辉 作者系律师
据南方都市报、中国新闻周刊、九派快评
编辑|顾小娟 郭娟
