全球看點(diǎn)：危險(xiǎn)的指紋，86萬(wàn)銀行存款突然沒了

近年來(lái)，人臉識(shí)別、指紋識(shí)別等身份驗(yàn)證技術(shù)已成為手機(jī)銀行的“標(biāo)配”，在幫助用戶提高效率的同時(shí)，也衍生了一些弊端。近期，有用戶發(fā)現(xiàn)，在光大銀行手機(jī)端轉(zhuǎn)賬時(shí)所驗(yàn)證的指紋，并非是本人在銀行錄入的指紋，而是手機(jī)內(nèi)存儲(chǔ)的指紋。基于這個(gè)發(fā)現(xiàn)，該名用戶對(duì)“指紋識(shí)別”擁有的高權(quán)限產(chǎn)生了質(zhì)疑。

(相關(guān)資料圖)

一名用戶將自己的86萬(wàn)元積蓄存入了光大銀行。但這些存款在短短的8天時(shí)間內(nèi)，就被洗劫一空。

“在沒有交易密碼，沒有短信驗(yàn)證碼的情況下，存款是如何被盜走的？”起初，該名用戶百思不得其解。直到她的家人查詢了登錄設(shè)備，發(fā)現(xiàn)盜刷者是通過指紋登錄了手機(jī)銀行賬戶，又以指紋支付的方式，將存款盜刷。

隨后，她的家人按照光大銀行指紋識(shí)別的流程測(cè)試了轉(zhuǎn)賬系統(tǒng)，并對(duì)系統(tǒng)的安全性產(chǎn)生了質(zhì)疑——轉(zhuǎn)賬過程中驗(yàn)證的指紋并非是銀行卡卡主的指紋，而是盜刷者的指紋。

近年來(lái)，隨著大數(shù)據(jù)、云計(jì)算、人工智能技術(shù)的發(fā)展，生物識(shí)別（人臉識(shí)別、指紋識(shí)別）應(yīng)用已成為手機(jī)銀行的“標(biāo)配”。但它們?cè)跒橛脩籼峁└咝П憬莘?wù)的同時(shí)，也給一些別有用心的人提供了可乘之機(jī)。

86萬(wàn)存款被盜刷背后

2021年8月，年過六旬的文惠在光大銀行柜臺(tái)辦理了一張儲(chǔ)蓄卡。開通手機(jī)銀行功能后，存入了10萬(wàn)元錢。然而讓她始料未及的是，這筆錢只在她的賬戶短暫停留了一瞬，就“失蹤”了。

文惠對(duì)存款被盜一事毫不知情。在后續(xù)的一周里，老人陸續(xù)向該卡內(nèi)轉(zhuǎn)入3筆存款，最多的一筆為38萬(wàn)元。這三筆存款也沒能逃過被盜刷的命運(yùn)，存入后立刻被洗劫一空。

算上最開始的10萬(wàn)元，文惠將自己的86萬(wàn)存款全部轉(zhuǎn)入了該賬戶中。但由于老人的日常支出較少，取款的機(jī)會(huì)也是少之又少，直到2021年8月12日，文惠需要一筆錢急用，連續(xù)幾次交易失敗后這才發(fā)現(xiàn)賬戶異常。

（8月3日-8月10日銀行賬戶交易流水，來(lái)源：用戶提供）

文惠的家人立刻報(bào)警，聯(lián)系銀行凍結(jié)賬戶。但為時(shí)已晚，在8月3日-8月10日之間，存款已被盜刷。對(duì)此，文惠及家人無(wú)法理解——明明轉(zhuǎn)賬限額只有5萬(wàn)元，在沒有收到短信驗(yàn)證碼驗(yàn)證的情況下，盜刷者是如何在短時(shí)間內(nèi)盜走了大額存款？

林浩（文惠家人）查詢了該賬戶的近期登錄設(shè)備，記錄顯示盜刷者在一臺(tái)OPPO手機(jī)上通過指紋登錄了銀行賬戶，隨后又以指紋支付的方式完成了多筆大額轉(zhuǎn)賬。

（來(lái)源：用戶提供）

正常情況下，在光大銀行手機(jī)端進(jìn)行轉(zhuǎn)賬時(shí)需要交易密碼和短信驗(yàn)證碼進(jìn)行雙重驗(yàn)證。如果開通了指紋支付，僅需要交易密碼和指紋就可以完成交易，同時(shí)還可以將轉(zhuǎn)賬限額修改為50萬(wàn)元。

為了進(jìn)一步了解情況，林浩對(duì)光大銀行的轉(zhuǎn)賬系統(tǒng)進(jìn)行了測(cè)試，同時(shí)用視頻記錄了測(cè)試的全過程：首先在他的手機(jī)設(shè)備上登錄文惠的銀行賬戶，輸入交易密碼后到了驗(yàn)證指紋的環(huán)節(jié)。戲劇性的一幕出現(xiàn)了——林浩用自己的指紋，將文惠賬戶的存款成功轉(zhuǎn)出。

這個(gè)發(fā)現(xiàn)讓文惠一家極為震驚：如果盜刷者掌握了對(duì)方的交易密碼，就可以在他的手機(jī)設(shè)備上使用自己的指紋，將其它用戶的存款盜走。

與此同時(shí)，在林浩提供的一份與光大銀行客服對(duì)話錄音顯示，用戶開通指紋支付后，交易時(shí)驗(yàn)證比對(duì)的指紋是手機(jī)機(jī)主的指紋，并非是卡主的指紋。

“在銀行網(wǎng)點(diǎn)開卡時(shí)中有錄入指紋的環(huán)節(jié)，但在手機(jī)端登錄和轉(zhuǎn)賬時(shí)查驗(yàn)的指紋卻來(lái)自手機(jī)系統(tǒng)，并非是銀行系統(tǒng)。”林浩認(rèn)為，光大銀行轉(zhuǎn)賬系統(tǒng)存在漏洞，在進(jìn)行指紋認(rèn)證程序時(shí)，銀行沒有盡到自己的責(zé)任，而是將核實(shí)指紋真?zhèn)蔚臋?quán)力交到了手機(jī)廠商的手中。

至于交易密碼的泄露過程——林浩推測(cè)，老人手機(jī)上的軟件數(shù)量較少，而且習(xí)慣用同一個(gè)密碼。有可能是盜刷者通過黑客手段碰撞其他軟件，破解了她的銀行卡交易密碼。

在裁判文書網(wǎng)中，確有類似案件的判決記錄：有犯罪嫌疑人非法購(gòu)買公民個(gè)人信息，以黑客手段對(duì)受害者的信息進(jìn)行碰撞，最終破解了受害人的賬號(hào)和密碼。在該案件中，光大銀行因沒能保障客戶存取款交易安全不受非法侵害，被判全責(zé)。

（來(lái)源：中國(guó)裁判文書網(wǎng)）

對(duì)此，文惠家人認(rèn)為：“在銀行存款被盜取前，老人并未進(jìn)行網(wǎng)銀操作，甚至手機(jī)、銀行卡、身份證均未離身，因此光大銀行同樣沒能盡到保護(hù)用戶銀行卡信息安全的義務(wù)。”

截至目前，距離存款被盜刷已有一年多時(shí)間。關(guān)于案件的進(jìn)展情況，國(guó)家信訪局的告知信息中顯示：經(jīng)過大數(shù)據(jù)查詢，錢款已被轉(zhuǎn)往國(guó)外賬戶。目前尚無(wú)法確定嫌疑人身份，大概率是在緬甸附近。

“這筆錢是文惠和她母親一輩子的積蓄，以后是要留給小孩的。”林浩表示：“對(duì)于這樣的結(jié)果，我們也很難以接受。”

生物識(shí)別安全幾何？

重新梳理文惠存款被盜刷的過程后，市界發(fā)現(xiàn)：在光大銀行手機(jī)端首次登錄時(shí)，需要手機(jī)號(hào)碼、登錄密碼以及短信驗(yàn)證碼； 開通指紋登錄功能后，則省去了登錄密碼和驗(yàn)證碼的環(huán)節(jié)，可以通過指紋直接登錄賬戶。

然而在開通指紋支付的過程中也同樣需要輸入交易密碼和短信驗(yàn)證碼，并在最后通過人臉識(shí)別驗(yàn)證后，才能開通指紋登錄和指紋支付功能。

也就是說(shuō)， 除交易密碼泄露以外，文惠的短信驗(yàn)證碼也可能已被竊取。

近年來(lái)，電信詐騙猖獗，許多不法分子以發(fā)送短信鏈接的形式進(jìn)行誘導(dǎo)，一旦用戶點(diǎn)擊鏈接，手機(jī)就會(huì)被植入木馬病毒。不法分子再利用木馬病毒對(duì)用戶的短信和電話進(jìn)行攔截，進(jìn)而獲取短信驗(yàn)證碼等信息。

在文惠的印象中，她沒有點(diǎn)過不明鏈接，也不太清楚自己的密碼和短信驗(yàn)證碼究竟在哪個(gè)環(huán)節(jié)泄露，家人只能試圖從她的描述中來(lái)還原事件的整個(gè)過程。

值得一提的是，盜刷者在進(jìn)行第一筆大額轉(zhuǎn)賬時(shí)，光大銀行后臺(tái)曾給文惠打過兩個(gè)視頻電話核實(shí)身份，但文惠沒有及時(shí)接到，導(dǎo)致第一次的交易因?qū)徍宋赐瓿啥∠ｋS后，光大銀行將驗(yàn)證方式改為了人臉識(shí)別聯(lián)網(wǎng)核查（點(diǎn)頭、張嘴、轉(zhuǎn)頭等方式），驗(yàn)證了“文惠”的面容，六分鐘后，該筆交易成功。

林浩查詢轉(zhuǎn)賬明細(xì)后發(fā)現(xiàn)：盜刷者共進(jìn)行了9筆大額轉(zhuǎn)賬。只有第1筆交易有人臉識(shí)別的聯(lián)網(wǎng)核查，其它交易僅通過交易密碼和指紋認(rèn)證的方式就被轉(zhuǎn)出。

（來(lái)源：用戶提供）

“一般來(lái)說(shuō)，不法分子會(huì)通過多種非法渠道來(lái)獲取人臉照片。”人臉識(shí)別專家劉天表示： “有可能是利用證件照片或是本人視頻截屏（被騙進(jìn)行視頻通話）；或是通過合成照片后進(jìn)行面部替換，生成張嘴、眨眼、轉(zhuǎn)頭等動(dòng)態(tài)人臉；還有可能是利用網(wǎng)絡(luò)攻擊手段，在不啟動(dòng)攝像頭的情況下，向系統(tǒng)中注入偽造的動(dòng)態(tài)視頻來(lái)通過人臉認(rèn)證。”

藍(lán)田是一名在人工智能科技公司工作的技術(shù)人員。談及生物識(shí)別的發(fā)展現(xiàn)狀，藍(lán)田認(rèn)為：目前的人工智能技術(shù)已較為成熟，基本可以做到防范詐騙。但 由于人臉識(shí)別或指紋識(shí)別在不同的場(chǎng)景應(yīng)用時(shí)涉及成本、用戶體驗(yàn)、檢測(cè)速度等一系列問題，致使不同銀行選擇的安防系統(tǒng)不同，所以安全等級(jí)也會(huì)不同。

至于指紋和人臉的安全性問題，劉天表示：“這是個(gè)老生常談的問題。重點(diǎn)要看銀行、手機(jī)廠商是否愿意承擔(dān)高成本。如果成本不受限制，指紋和人臉的安全性相差不多——雖然指紋識(shí)別屬于接觸式識(shí)別，可能會(huì)受汗水、灰塵等影響，甚至還存在部分指紋的紋理恰巧在算法的盲區(qū)，無(wú)法被識(shí)別的情況。但這畢竟是小概率事件， 從社會(huì)的發(fā)展角度來(lái)看，使用生物識(shí)別的便捷性要超過弊端。”

目前人工智能技術(shù)供應(yīng)商也在幫助銀行升級(jí)風(fēng)控系統(tǒng)，進(jìn)行AI反欺詐管理——根據(jù)數(shù)據(jù)判斷是否存在異地登錄等一系列涉嫌欺詐的行為，一旦觸發(fā)風(fēng)險(xiǎn)條件，系統(tǒng)會(huì)自動(dòng)執(zhí)行強(qiáng)控制措施。

“但如果銀行選擇的系統(tǒng)安全性不過關(guān)，那么攻擊者有可能會(huì)通過代碼開發(fā)對(duì)銀行App、手機(jī)系統(tǒng)動(dòng)手腳，入侵人臉識(shí)別的底層系統(tǒng)，劫持?jǐn)z像頭，在銀行App不啟動(dòng)攝像頭的情況下，把視頻流直接傳給銀行App，也能繞過活體檢測(cè)。”

指紋權(quán)限過高？

目前，生物識(shí)別（人臉識(shí)別、指紋識(shí)別）已廣泛應(yīng)用于各類場(chǎng)景，對(duì)于注重交易安全的銀行業(yè)來(lái)說(shuō)，更是占據(jù)著舉足輕重的地位。

在上市銀行公布的2022年半年報(bào)中，“金融科技”無(wú)疑是高頻詞匯。2022年上半年，多家商業(yè)銀行將發(fā)展金融科技、推進(jìn)數(shù)字化轉(zhuǎn)型提升到更高的戰(zhàn)略層面，金融科技投入金額和科技人才數(shù)量占比同比均大幅提升。

以光大銀行為例，截至2022年6月30日，公司科技投入 21.38 億元，同比增長(zhǎng) 25.47%；全行科技人員 2598 人，比上年末增加 237 人，占全行員工的 5.69%。

除此之外，光大銀行還在半年報(bào)中表示：公司深化建設(shè)“123+N”數(shù)字銀行發(fā)展體系。“一個(gè)智慧大腦”持續(xù)賦能，開發(fā)訓(xùn)練算法模型超900個(gè)；實(shí)現(xiàn)多模態(tài)生物識(shí)別的交叉應(yīng)用，覆蓋場(chǎng)景500余個(gè)。

“從目前情況來(lái)看，包括工農(nóng)中建在內(nèi)的國(guó)有四大行，擁有自己的人工智能開發(fā)中心和業(yè)務(wù)系統(tǒng)；但也有一些城商行受成本和需求影響，選擇從外包公司采購(gòu)搭載著算法和模塊的相應(yīng)產(chǎn)品。”藍(lán)田表示：“有的銀行將重點(diǎn)放在人臉識(shí)別上，有的銀行是OCR（身份證、銀行卡圖文識(shí)別），有的較重視AI 反欺詐，有的是規(guī)范網(wǎng)點(diǎn)行為······不同銀行的需求不同，最終選擇的算法模塊也會(huì)不同。”

通常情況下，模型越復(fù)雜，運(yùn)行速度越慢，但同時(shí)識(shí)別精度和準(zhǔn)確率也會(huì)越高。考慮到用戶體驗(yàn)感以及卡頓等因素， 部分手機(jī)廠商會(huì)選取輕便化的模型，減少部分算法流程來(lái)提高運(yùn)行速度。但銀行對(duì)安全性的要求極高，這樣的模型無(wú)法滿足基本要求。

在與文惠家人交談的過程中，有一句話讓人深刻——我明白銀行進(jìn)行生物識(shí)別認(rèn)證的初衷是為了增加安全屏障，但從效果來(lái)看，似乎并不盡如人意。

如其所說(shuō)，即便文惠存在信息泄露的情況，最初的轉(zhuǎn)賬限額也僅為5萬(wàn)元。但盜刷者利用不屬于老人的指紋，來(lái)調(diào)高轉(zhuǎn)賬限額，致使老人蒙受巨額損失。

“既然無(wú)法保證絕對(duì)的安全性，為何指紋識(shí)別可以擁有替代短信驗(yàn)證、甚至是調(diào)高轉(zhuǎn)賬限額這樣的高權(quán)限？”

而光大銀行沈陽(yáng)市鐵西支行（文惠開卡網(wǎng)點(diǎn)）則認(rèn)為：老人存款被盜走的根本原因是遭到了電信詐騙，并非是因?yàn)殂y行的漏洞導(dǎo)致被騙。該行行長(zhǎng)同時(shí)還表示：關(guān)于此事，總行會(huì)給監(jiān)管回復(fù)。

市界查詢其它銀行APP后發(fā)現(xiàn)， 大部分銀行在進(jìn)行轉(zhuǎn)賬交易時(shí)需要輸入交易密碼和短信驗(yàn)證碼進(jìn)行驗(yàn)證。即便是開通了指紋支付功能，也僅能應(yīng)用于購(gòu)買電影票等生活類場(chǎng)景，并不具備轉(zhuǎn)賬權(quán)限。

面對(duì)猖獗的電信詐騙，許多年輕人尚不能保證自己不會(huì)落入其中的陷阱。對(duì)于老人群體來(lái)說(shuō)，他們更需要社會(huì)的保護(hù)和關(guān)懷。在這場(chǎng)魔與道的較量中，銀行唯有不斷升級(jí)風(fēng)控系統(tǒng)，降低風(fēng)險(xiǎn)概率，才能最大限度地減少用戶的損失。

關(guān)鍵詞： 危險(xiǎn)的指紋，86萬(wàn)銀行存款突然沒了 cnBeta