銀行人臉識別遭破解,騙子“刷臉”盜走百萬存款,近日,有媒體報道,交通銀行的人臉識別系統已被6名使用者起訴,因人臉識別漏洞,使用者被盜刷存款已超百萬元。銀行人臉識別遭破解,騙子“刷臉”盜走百萬存款。
銀行人臉識別遭破解,騙子“刷臉”盜走百萬存款1
據媒體報道,某大型行的人臉識別系統存在漏洞,造成6名儲戶百萬元現金被異地盜取。受害人表示,遠在異地的犯罪分子,7次通過了銀行的人臉識別,6次通過活檢,一次都沒識別出來犯罪分子使用的是假人臉。
法院判定,銀行未見存在明顯的過錯和過失。受害儲戶認為,法院迴避了銀行人臉識別漏洞問題,表示會堅持上訴。
頂象業務安全專家表示,表面上看,這是人臉識別系統的問題,但是背後還有登入賬戶陌生裝置未快速預警、異地轉賬消費未有效校驗等安全問題。“人臉識別不夠精準,裝置指紋響應不及時,銀行風控體系存在BUG”。
他建議,銀行需要加強人臉識別技術的精準度、預警性和安全性,“從源頭到應用,提供全鏈條的識別、預警、防護,提升人臉識別的安全性。”
銀行業務中的人臉識別技術存在哪些風險?
人臉具有唯一性、難以複製性,是人最常見的生物識別特徵,在採集和使用上具有非接觸性、非強制性、多併發性、隱藏性和簡單易用性等特點,基於人臉的識別技術被廣泛運用於金融領域,主要作用是實現線上身份認證,已成為登入、確認、申請、修改等業務環節中重要的驗證技術。
由於人臉識別技術運用主體的技術條件和管理水平良莠不齊,不法分子通過各類工具繞過、干擾、攻擊人臉識別系統和演算法,進而實施冒用登入、非法轉賬/消費、騙取貸款、盜取銀行資金等攻擊,給使用者和銀行帶來經濟損失。
2017年“3·15”晚會上,主持人在技術人員支援下,僅憑觀眾自拍照就現場“換臉”破解了某“刷臉登入”認證系統。清華大學研究人員也曾做過一個研究,使用網上下載的照片,通過人臉識別的方式,15分鐘內解鎖了19臺智慧手機。
綜合來看,銀行業務的人臉識別技術存在如下三類風險。
第一,人臉識別被繞過風險。戴上眼鏡、帽子、面具等偽裝手段,或者可以製作人皮高仿模型、將2D人臉照片3D建模、利用AI技術將靜態照片變成動態照片等多種技術均,混淆演算法判斷,騙過有效性不高的人臉識別演算法和活體監測演算法。
第二類,人臉資訊被盜取冒用風險。通過各類公開或非法手段,收集、儲存、盜取正常的人臉資料,然後通過各種方式進行非法冒用。
第三類,人臉識別系統遭劫持篡改風險。遠端入侵篡改人臉識別系統驗證流程、資訊、資料等,將後臺或前端的真資料替換為假資料,以實現虛假人臉資訊的通過。
人臉識別為什麼會有風險?
據頂象與中國信通院聯合釋出的《業務安全白皮書—數字業務風險與安全》顯示,數字化業務中隱匿著大量安全隱患:在電商、支付、信貸、賬戶、互動、交易等形態的業務場景中,存在著各類等欺詐行為,這些欺詐行為日益專業化、產業化,且具有團伙性、複雜性、隱蔽性和傳染性等特點。
以大規模牟利為目的網路黑灰產,熟悉業務流程以及防護邏輯,能夠熟練運用自動化、智慧化的新興技術,不斷開發和優化各類攻擊工具。此前有媒體報道,大量社群和境外網站進行真人人臉識別視訊的販賣。“價高質優”的驗證視訊百元一套,動態軟體將人臉照片製作成“動態視訊”只要幾元,以完成各類線上業務人臉識別的驗證。
某銀行儲戶資金被盜取不是個案,近兩年來金融領域多次發生過通過人臉識別漏洞盜取錢財的案件。2020年10月,四川警方查處一個上百人的詐騙團伙。該團伙購買大量人臉視訊,藉助“殭屍企業”“空殼公司”,為6000多人人包裝公積金資訊,然後向多家銀行申請公積金貸款,最終帶來10億多元的'壞賬。
2021年,廣州網際網路法院通報了一起因為“刷臉”引發的借款糾紛。客戶在遺失了身份證後,卻被人冒用身份通過銀行的“人臉識別”貸款。最終經司法筆跡鑑定,認為案涉客戶簽名並非本人簽署,手機號碼亦未曾登記在客戶名下,由此駁回銀行上訴。
銀行人臉識別遭破解,騙子“刷臉”盜走百萬存款2
自人臉識別商業化以來,其安全風險問題也常被質疑。
近日,有媒體報道,交通銀行的人臉識別系統已被6名使用者起訴,因人臉識別漏洞,使用者被盜刷存款已超百萬元。
其中一位使用者馬某,其妻子將50萬元存進剛開的交通銀行卡中,時隔不久,賬戶中的資金就消失了。
據警方向銀行調取的內容顯示,犯罪分子的IP地址為中國臺灣,轉賬是使用了簡訊+人臉識別的方式。從馬某提供的法院判決書顯示,交通銀行對於使用者本人當天並未離京的資訊也予以承認。值得注意的是,遠在臺灣的犯罪分子,卻7次通過了交通銀行的人臉識別,6次通過活檢。
使用者馬某表示,6次人臉識別,交行一次都沒識別出來犯罪分子使用的是假人臉。馬某因被盜刷問題以多次將交行上訴至法庭,但是法院的判決書卻認為交行並未存在明顯的過錯和過失。並因此駁回了馬某的全部訴求。
據馬某介紹,2021年7月,同在北京的安女士和夏女士也遭了“黑手”,9月,海女士被盜刷,10月,柳女士被盜刷,最早的一位受害者是趙女士,2020年10月被盜刷,趙女士表示,“交通銀行存在支付安全漏洞,沒有辦法識別出是否是真的人臉。”
據瞭解,為交行提供人臉識別服務的公司,叫做眼神科技,是一家成立於2016年6月的生物識別企業。
資料顯示,北京眼神科技有限公司專注於深度學習技術,以大資料為依託,以生物識別為切入點,致力於解決人工智慧領域中的人機互動問題,公司在中國瀋陽、北京、深圳、濟南和長春成立有生物識別研發中心,為客戶提供生物識別演算法、產品裝置、解決方案。
眼神擁有人臉認證、語音識別、虹膜定位等自主知識產權生物識別技術,並且具備從底層演算法,到管理平臺、應用軟體、智慧終端裝置、場景落地的全產業鏈服務能力。
眼神科技負責人表示,公司服務包括工、農、中、建、交、郵儲六大國有銀行和多家股份制銀行在內的一百多家銀行十餘年,專注於生物識別技術研發、應用和服務,在行業內深耕二十餘年,擁有人臉、指紋、虹膜、指靜脈等多種自主智慧財產權演算法。
該負責人透露,公司人臉識別技術和產品通過了公安部、銀行卡檢測中心、信通院等權威機構檢測認證;使用過程符合監管機構管理要求;通過銀行客戶技術測試和公開招標入圍,合法合規。
根據交行的規定,登入手機銀行需要手機驗證碼+人臉識別雙重驗證,根據交通銀行客服的說法,“馬躍”使用了人臉識別重置了密碼。
簡單概括就是,犯罪分子攔截了簡訊驗證碼,通過簡訊+假人臉識別完成了密碼重置、限額調整、大額轉賬。
自被盜刷以來,馬躍等多次上訴至法庭,但對其提出的“誰通過了人臉識別”這一問題,沒有具體定性。
7月5日,馬躍表示,6月30日他的申請已被法院駁回,法院判定,交通銀行未見存在明顯的過錯和過失。但他認為,法院迴避了交通銀行人臉識別漏洞問題,表示會堅持上訴。
清華大學公共管理學院副教授賈西津認為,銀行系統不能識別真實的臉和假的面孔,那就屬於系統漏洞,剩餘責任肯定是在銀行,不能把責任都推給客戶。使用者如果存在資訊洩露的話有一定過錯,但銀行肯定不是無責的。
截至目前,交通銀行對此事暫無迴應。其技術提供方眼神科技回覆稱,作為交通銀行的人臉識別演算法和技術服務提供商之一,未收到交通銀行相關反饋。
銀行人臉識別遭破解,騙子“刷臉”盜走百萬存款3
據鳳凰網科技報道,交通銀行的人臉識別系統已被6名使用者起訴,因人臉識別漏洞,使用者被盜刷存款已超百萬元,
其中一位使用者馬某,其妻子將50萬元存進剛開的交通銀行卡中,時隔不久,賬戶中的資金就消失了。
據警方向銀行調取的內容顯示,犯罪分子的IP地址為中國臺灣,轉賬使用了簡訊+人臉識別的方式。馬某提供的法院判決書顯示,交通銀行對於使用者本人當天並未離京的資訊也予以承認。但值得注意的是,遠在臺灣的犯罪分子,卻7次通過了交通銀行的人臉識別,6次通過活檢。
使用者馬某表示,6次人臉識別,交行一次都沒識別出來犯罪分子使用的是假人臉。
馬某因被盜刷問題以多次將交行訴至法庭,但是法院的判決書卻認為交行並未存在明顯的過錯和過失。並因此駁回了馬某的全部訴求。
馬某表示,他並非個案。在被盜刷一年不到的時間裡,就有5位使用者同樣因交行人臉識別漏洞被盜刷,盜刷時間幾乎都集中在2020年10月至2021年10月。
