银行人脸识别系统被攻破,骗子用假人脸盗刷女子银行账户43万

2022-07-18 10:34     中国新闻周刊

交通银行一储户被偷走近43万元,当银行人脸识别系统被攻破

李红(化名)万万没想到,诈骗人员从她的交通银行卡偷走近43万元,如入无人之境。

要想从交通银行卡中转账,需要用户在手机银行App上进行人脸识别,并进行短信验证。李红陷入了诈骗分子的圈套,她的手机短信被拦截,手机号被设置了呼叫转移,令她的验证码落入他人手中,且无法接听银行的确认电话。

更严重的是,"人脸识别"被攻破了。银行系统后台显示,在进行密码重置和大额转账时,"李红"进行了6次人脸识别比对,均显示"活检成功"。

那几次人脸识别并不是身在北京的李红本人操作,登录者的IP地址显示在台湾。当李红本人登录手机银行时,卡里的钱已被悉数转走。她去派出所报案,警察很快认定她遭遇了电信诈骗,并立案侦查。

既然不是本人操作,为何还能"活检成功"?李红怀疑交通银行人脸识别系统的安全性,并以"借记卡纠纷"为由将交通银行告上法庭,要求赔偿。

2022年6月30日,北京市丰台区人民法院一审驳回了李红的全部诉求。她准备继续上诉。

每个人只有一张脸,因其不易被仿冒,人脸识别被认为具有较高安全性,近年来被普遍适用于银行验证中,用来保障资金安全。但超出普通人认知的是,人脸具有唯一性的生物识别信息,是敏感个人信息,它裸露在无处不在的摄像头下,极易获得。在如今人脸识别系统并不成熟的情况下,用合成活动人脸骗过审核系统的案例屡见不鲜。

长期关注个人信息保护的专家,都对人脸识别的滥用充满忧虑。清华大学法学院教授劳东燕指出,从制度框架的合理设定来考虑,制造更多风险、获取更多收益的一方,理应承担更多的风险与责任,"人脸识别是银行引进的,其是作为风险制造的参与方,通过这种方式银行也获益更多,应该承担和其所获收益成比例的风险责任"。

她还指出,随着人工智能的发展,诈骗手段科技含量更高,银行应当与时俱进,使其安保技术超过犯罪手段的技术。如果银行因人脸识别技术存在的漏洞而相应承担责任,会有助于敦促银行堵住技术上的安全漏洞,对可能发生的诈骗犯罪起到预防作用。

被骗42.9万元

从接通电话那刻起,李红就陷入"协助破案"的迷局中。那是2021年6月19日上午10:30,电话那头自称"北京市公安局户政科陈杰警官"的人告诉李红,她的护照此前在哈尔滨涉嫌非法入境,让她向哈尔滨市公安局报案。对方轻易地报出了李红身份证号,这令她开始相信电话那头的"警官"。

李红被转接给哈尔滨市公安局的"刘警官"。对方告诉她,她涉嫌"李燕反洗钱案",并让她登录一个网站查看"公文"。李红用手机登录对方提供的网站后,发现在一张蓝底的"通缉公告"上,印着自己的身份证照片、身份证号等户籍信息。

这令她陷入恐慌,因为在她平常的认知中,这些信息只有公安内部的人才能获得。接下来,她对"警官"的指挥百依百顺。按照指示,她从网站下载了"公安防护"软件和视频会议软件"瞩目"。

"公安防护"是一款诈骗人员常用的"李鬼"手机软件,其设计模仿"国家反诈中心",如果受害者在里面输入银行卡和密码,诈骗人员就可在后台获取这些信息。

而"瞩目"虽然是普通的视频会议软件,但提供共享屏幕功能。在"刘警官"的要求下,李红通过"瞩目",向对方共享了自己的手机屏幕,令其掌握了她安装的App种类信息,对方还通过这项功能远程操控她的手机,令她的手机号设置了呼叫转移,无法接收短信和电话。

最容易被忽略的是"露脸"。对方告诉李红,为了验证她是本人操作,她要通过"瞩目"开启会议模式,于是李红的人脸信息轻易暴露在对方面前。这也成为对方实施诈骗的关键一环。

李红始终没能挂断电话,"刘警官"故意令她与外界隔绝。下午13:46,按照要求,李红赶到交通银行北京长辛店支行,开设了一张借记卡。银行开卡记录显示,李红预留了自己的手机号,并允许借记卡通过"网上银行、手机银行、自助设备"三种方式转账,也允许这张卡进行境外取现和消费,但在其他功能中,她选择了"小额免密免签不开通"。

这意味着,当她进行5万元以内的转账时,仍需要验证。此外,李红还设置了转账限额,每日只能累计转账5万元。

在办理借记卡的过程中,交通银行向李红发放《北京市公安局防范电信诈骗安全提示单》。这份提示单中,载明了业务类型为"开通网银或手机银行",并提示她可能存在有冒充公检法的人员,以打电话的方式告知她涉及案件,要求她向对方提供的账号转账,或是告知网银密码。李红在这份提示单上签字。

李红刚刚办好的借记卡,这张卡就被诈骗人员所掌控了。银行后台显示,当天13:51,即李红开卡15分钟后,就有诈骗人员通过人脸识别验证,重置了李红的用户名和密码,登录了她的手机银行。但李红对此并不知情,她正按照"刘警官"的要求,为了"清查个人财产",向卡转入所有积蓄,以及所有能够贷款获得的现金。

交易记录显示,14:06至14:09,李红向这张卡转账5笔共计25万元,14:11和14:13,又分两笔转入5万元,此时李红卡内已有30万元。短短几分钟后,14:20诈骗人员就通过掌握的李红的手机银行,将这30万元转了出去。此后在14:30,李红又向卡内汇入12.9万元,这些钱在14:40被悉数转出。至此诈骗人员转走了李红42.9万元。

诈骗人员掌握了李红的"人脸识别+动态密码"后,通过修改密码,登录了她的手机银行,此后便如入无人之境,即使李红设置了每日5万元转账限额,也在诈骗人员登录后被轻易修改,之后每笔大额转账也都通过"人脸识别+动态密码"验证通过。

交通银行北京长辛店支行在法庭上回应称,"交易密码、动态密码以及辅助人脸识别的客户鉴别模式"符合监管要求,并且在李红转账过程中,银行对她进行了风险提示,包括通过运营商向她发送了短信密码、短信风险提示,以及在内部系统大数据分析发现异常后,拨打了李红的手机,对转账人身份及转账情况进行核实。

但李红称,对于银行所称发送了22条短信密码及短信风险提示,她只收到了其中的11条,而银行的来电她并未接到。这背后的原因在于她的短信被诈骗人员拦截,电话也呼叫转移到了诈骗人员的手机上。

银行提供的通话录音显示,在当天14:23,在诈骗人员正将李红银行卡中的30万元转出时,银行客服拨通李红预留的手机号,询问对方是否是李红本人、转账是否本人操作、收款人信息、与收款人的关系、转账的用途等,接电话的人均认可系本人操作,还称与收款人是朋友关系。

下午16:00,李红察觉到"刘警官"的反常态度,她在16:39用自己的手机首次登录了手机银行,却发现钱已被盗刷,她意识到自己被骗,前往派出所报警,并联系银行挂失银行卡。

阅读下一篇

农村母女高情商拌嘴吸粉600万,网友:句句经典

【#农村母女高情商拌嘴吸粉600万# ,网友:句句经典】来自广西南宁的姑娘玉凤鸣,今年1月份从城市回到农村,帮母亲收割甘蔗。期间,她把和母亲黄女士日常拌嘴的视频发在抖音账号@玉凤鸣