交行人脸识别被破解,储户超百万存款被盗刷,据警方向银行调取的内容显示,犯罪分子的IP地址为中国台湾,转账使用了短信+人脸识别的方式。交行人脸识别被破解,储户超百万存款被盗刷。
交行人脸识别被破解,储户超百万存款被盗刷1
自人脸识别商业化以来,其安全风险问题也常被质疑。
近日,有媒体报道,交通银行的人脸识别系统已被6名用户起诉,因人脸识别漏洞,用户被盗刷存款已超百万元。
其中一位用户马某,其妻子将50万元存进刚开的交通银行卡中,时隔不久,账户中的资金就消失了。
据警方向银行调取的内容显示,犯罪分子的IP地址为中国台湾,转账是使用了短信+人脸识别的方式。从马某提供的法院判决书显示,交通银行对于用户本人当天并未离京的信息也予以承认。值得注意的是,远在台湾的犯罪分子,却7次通过了交通银行的人脸识别,6次通过活检。
用户马某表示,6次人脸识别,交行一次都没识别出来犯罪分子使用的是假人脸。马某因被盗刷问题以多次将交行上诉至法庭,但是法院的判决书却认为交行并未存在明显的过错和过失。并因此驳回了马某的全部诉求。
据马某介绍,2021年7月,同在北京的安女士和夏女士也遭了“黑手”,9月,海女士被盗刷,10月,柳女士被盗刷,最早的一位受害者是赵女士,2020年10月被盗刷,赵女士表示,“交通银行存在支付安全漏洞,没有办法识别出是否是真的人脸。”
据了解,为交行提供人脸识别服务的公司,叫做眼神科技,是一家成立于2016年6月的生物识别企业。
资料显示,北京眼神科技有限公司专注于深度学习技术,以大数据为依托,以生物识别为切入点,致力于解决人工智能领域中的人机交互问题,公司在中国沈阳、北京、深圳、济南和长春成立有生物识别研发中心,为客户提供生物识别算法、产品设备、解决方案。
眼神拥有人脸认证、语音识别、虹膜定位等自主知识产权生物识别技术,并且具备从底层算法,到管理平台、应用软件、智能终端设备、场景落地的全产业链服务能力。
眼神科技负责人表示,公司服务包括工、农、中、建、交、邮储六大国有银行和多家股份制银行在内的一百多家银行十余年,专注于生物识别技术研发、应用和服务,在行业内深耕二十余年,拥有人脸、指纹、虹膜、指静脉等多种自主知识产权算法。
该负责人透露,公司人脸识别技术和产品通过了公安部、银行卡检测中心、信通院等权威机构检测认证;使用过程符合监管机构管理要求;通过银行客户技术测试和公开招标入围,合法合规。
根据交行的规定,登录手机银行需要手机验证码+人脸识别双重验证,根据交通银行客服的说法,“马跃”使用了人脸识别重置了密码。
简单概括就是,犯罪分子拦截了短信验证码,通过短信+假人脸识别完成了密码重置、限额调整、大额转账。
自被盗刷以来,马跃等多次上诉至法庭,但对其提出的“谁通过了人脸识别”这一问题,没有具体定性。
7月5日,马跃表示,6月30日他的申请已被法院驳回,法院判定,交通银行未见存在明显的过错和过失。但他认为,法院回避了交通银行人脸识别漏洞问题,表示会坚持上诉。
清华大学公共管理学院副教授贾西津认为,银行系统不能识别真实的脸和假的面孔,那就属于系统漏洞,剩余责任肯定是在银行,不能把责任都推给客户。用户如果存在信息泄露的话有一定过错,但银行肯定不是无责的。
截至目前,交通银行对此事暂无回应。其技术提供方眼神科技回复称,作为交通银行的人脸识别算法和技术服务提供商之一,未收到交通银行相关反馈。
交行人脸识别被破解,储户超百万存款被盗刷2
据凤凰网科技报道,交通银行的人脸识别系统已被6名用户起诉,因人脸识别漏洞,用户被盗刷存款已超百万元,
其中一位用户马某,其妻子将50万元存进刚开的交通银行卡中,时隔不久,账户中的资金就消失了。
据警方向银行调取的内容显示,犯罪分子的IP地址为中国台湾,转账使用了短信+人脸识别的方式。马某提供的'法院判决书显示,交通银行对于用户本人当天并未离京的信息也予以承认。但值得注意的是,远在台湾的犯罪分子,却7次通过了交通银行的人脸识别,6次通过活检。
用户马某表示,6次人脸识别,交行一次都没识别出来犯罪分子使用的是假人脸。
马某因被盗刷问题以多次将交行诉至法庭,但是法院的判决书却认为交行并未存在明显的过错和过失。并因此驳回了马某的全部诉求。
马某表示,他并非个案。在被盗刷一年不到的时间里,就有5位用户同样因交行人脸识别漏洞被盗刷,盗刷时间几乎都集中在2020年10月至2021年10月。
交行人脸识别被破解,储户超百万存款被盗刷3
据媒体报道,某大型行的人脸识别系统存在漏洞,造成6名储户百万元现金被异地盗取。受害人表示,远在异地的犯罪分子,7次通过了银行的人脸识别,6次通过活检,一次都没识别出来犯罪分子使用的是假人脸。
法院判定,银行未见存在明显的过错和过失。受害储户认为,法院回避了银行人脸识别漏洞问题,表示会坚持上诉。
顶象业务安全专家表示,表面上看,这是人脸识别系统的问题,但是背后还有登录账户陌生设备未快速预警、异地转账消费未有效校验等安全问题。“人脸识别不够精准,设备指纹响应不及时,银行风控体系存在BUG”。
他建议,银行需要加强人脸识别技术的精准度、预警性和安全性,“从源头到应用,提供全链条的识别、预警、防护,提升人脸识别的安全性。”
银行业务中的人脸识别技术存在哪些风险?
人脸具有唯一性、难以复制性,是人最常见的生物识别特征,在采集和使用上具有非接触性、非强制性、多并发性、隐藏性和简单易用性等特点,基于人脸的识别技术被广泛运用于金融领域,主要作用是实现在线身份认证,已成为登录、确认、申请、修改等业务环节中重要的验证技术。
由于人脸识别技术运用主体的技术条件和管理水平良莠不齐,不法分子通过各类工具绕过、干扰、攻击人脸识别系统和算法,进而实施冒用登录、非法转账/消费、骗取贷款、盗取银行资金等攻击,给用户和银行带来经济损失。
2017年“3·15”晚会上,主持人在技术人员支持下,仅凭观众自拍照就现场“换脸”破解了某“刷脸登录”认证系统。清华大学研究人员也曾做过一个研究,使用网上下载的照片,通过人脸识别的方式,15分钟内解锁了19台智能手机。
综合来看,银行业务的人脸识别技术存在如下三类风险。
第一,人脸识别被绕过风险。戴上眼镜、帽子、面具等伪装手段,或者可以制作人皮高仿模型、将2D人脸照片3D建模、利用AI技术将静态照片变成动态照片等多种技术均,混淆算法判断,骗过有效性不高的人脸识别算法和活体监测算法。
第二类,人脸信息被盗取冒用风险。通过各类公开或非法手段,收集、保存、盗取正常的人脸数据,然后通过各种方式进行非法冒用。
第三类,人脸识别系统遭劫持篡改风险。远程入侵篡改人脸识别系统验证流程、信息、数据等,将后台或前端的真数据替换为假数据,以实现虚假人脸信息的通过。
人脸识别为什么会有风险?
据顶象与中国信通院联合发布的《业务安全白皮书—数字业务风险与安全》显示,数字化业务中隐匿着大量安全隐患:在电商、支付、信贷、账户、交互、交易等形态的业务场景中,存在着各类等欺诈行为,这些欺诈行为日益专业化、产业化,且具有团伙性、复杂性、隐蔽性和传染性等特点。
以大规模牟利为目的网络黑灰产,熟悉业务流程以及防护逻辑,能够熟练运用自动化、智能化的新兴技术,不断开发和优化各类攻击工具。此前有媒体报道,大量社群和境外网站进行真人人脸识别视频的贩卖。“价高质优”的验证视频百元一套,动态软件将人脸照片制作成“动态视频”只要几元,以完成各类线上业务人脸识别的验证。
某银行储户资金被盗取不是个案,近两年来金融领域多次发生过通过人脸识别漏洞盗取钱财的案件。2020年10月,四川警方查处一个上百人的诈骗团伙。该团伙购买大量人脸视频,借助“僵尸企业”“空壳公司”,为6000多人人包装公积金信息,然后向多家银行申请公积金贷款,最终带来10亿多元的坏账。
2021年,广州互联网法院通报了一起因为“刷脸”引发的借款纠纷。客户在遗失了身份证后,却被人冒用身份通过银行的“人脸识别”贷款。最终经司法笔迹鉴定,认为案涉客户签名并非本人签署,手机号码亦未曾登记在客户名下,由此驳回银行上诉。
