人脸识别作为银行资金较高的安全保障功能,却轻易被攻破,这个锅到底谁来背。
撰文|里奥
(资料图片)
出品|支付百科
近日,交通银行人脸识别系统被攻破一度冲上热搜。犯罪分子骗取受害人马某个人信息及人脸影像,通过假人脸信息成功转走马某储蓄卡中近43万元。
01
假人脸活检成功6次
据了解,与马某同样经历的共有6名储户,诈骗分子通过冒充执法人员,通过“李鬼”APP获取受害人个人信息和人脸影像,再诱骗他们将钱存入交通银行储蓄卡,使用假人脸通过了银行“人脸识别”系统窃取他们资金,据了解,6名客户损失超过200万。
我们知道,用户在手机银行APP进行密码重设和大额转账时需要进行人脸识别和短信验证,银行系统后台显示,诈骗分子在进行密码重置和大额转账时进行了6次人脸识别比对,均显示“活检成功”。由于马某的手机被诈骗分子设置了短信拦截和电话呼叫转移,马某就神不知鬼不觉的被窃取了43万元。
登陆者IP地址为台湾,而马某人在北京,这6次人脸识别绝不是其本人操作。马某随即报警,并以人脸识别系统漏洞为由将交通银行告上法庭,要求赔偿。
6月30日,法院判定,交通银行未见存在明显的过错和过失,驳回马某的起诉。而马某表示会坚持上诉。
法院一审判决也有一定道理,马某由于轻信诈骗分子,导致个人信息的泄露,交通银行也进行了电话和短信提示。但此案件的舆论焦点在于,银行人脸识别系统如此轻易被攻破,储户的资金如何得到保障?当然,一审判决并非重点,类似资金安全事件也必定得到监管部门的重视。
02
诈骗手段花样百出、屡禁不止
随着科技的发展,人脸识别也广泛应用于金融机构中,这种被视作较为安全的防控手段其实处于“不够成熟”的阶段,从近年来裁判文书网披露的多起案件显示,“人脸识别”已成为更容易被黑客“攻破”的突破口,非法盗取资金或入侵银行账户信息进行牟利。
早在2020年,厦门银行APP人脸识别系统就被黑客通过抓包技术,使用虚假身份信息注册了多个账户并倒卖牟利。导致厦门银行线上开户功能长时间关闭。
他们在注册账户过程中,先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。
然后,再输入开卡密码步骤,将APP返回到第一步(上传身份证照片之步骤),输入伪造的身份信息,并再次进入到人脸识别身份验证步骤。此时,其上传此前拦截下来的包含其本人的身份信息数据包,利用虚假身份信息注册到银行账户。
这种偷梁换柱的抓包技术算不上高级,与利用3D人脸识别通过活体人脸识别相比,可谓是雕虫小技。
就在7月11日,广州市越秀区检察院办理的该省首例向互联网法院提起的涉人脸识别公民个人信息保护民事公益诉讼案公开宣判。
诈骗分子郑某等4人将身份证照片制作成AI视频贩卖,这些AI视频可以完成点头、眨眼等动作,能够通过一些App的人脸识别身份验证。
当前,人脸识别技术滥用、应用程序过度收集个人信息等问题一直饱受诟病,人脸识别本是给公民带来便利的工具,却屡屡遭到不法分子利用,严重影响个人财产和信息安全。未来,科技的发展带来便利的同时,安全更不应该被忽略。