交通銀行后,中國銀行人臉識別也被攻破?儲戶損失20萬元
南方都市報消息,如今,使用人臉識別進行身份驗證似乎已經變成了一件理所當然的事情。然而,當人臉識別被偽造、被攻擊,我們的個人財產很可能隨之受損——近日,中國銀行和交通銀行多名儲戶稱賬戶遭遇了盜刷,他們認為,銀行采用的人臉識別系統難辭其咎。
南都記者結合公開報道梳理發現,這些儲戶先是被誘騙交出了銀行卡信息,有的還與詐騙分子進行了視頻通話,然后詐騙分子利用上述信息通過了人臉識別驗證,又攔截了手機驗證碼,從而把錢取走。
事情發酵至今,越來越多的爭議聚焦在銀行的人臉識別系統是否存在漏洞、銀行應不應該擔責上。銀行認為,采用手機驗證碼和人臉識別結合的驗證方式已經盡到安全保護義務,儲戶們則堅持銀行的人臉識別系統并不足以保證資金安全。
有技術專家告訴南都記者,詐騙犯能破解人臉識別驗證,說明銀行的人臉識別系統確實存在技術漏洞。還有專家認為,由于相應風險是銀行引進人臉識別所導致,原則上就應該由銀行承擔責任,只有這樣,才能倒逼銀行提高安全技術保障。
1本人未登錄、未操作,20萬被轉走
近日,中國銀行儲戶馬琳(化名)對南都記者爆料稱,自己遭遇了電信詐騙——她的中國銀行賬戶在她本人未登錄、未操作、未進行人臉識別的情況下,被轉走了20萬元。
去年8月,馬琳在北京辦理簽證期間,接到了一個自稱是公安局的電話。對方稱她涉嫌境外洗錢,口氣強硬。馬琳起先也有懷疑,但對方不但準確地說出了她在辦理簽證時提交給中介的信息,還通過視頻電話的方式,向她“證實”了自己的警察身份,基本打消了她的懷疑。
隨后,對方發來一個帶鏈接的短信,讓馬琳確認自己的身份信息。她點開鏈接,網頁顯示了她的身份證正面照片,這進一步加深了她的信任——為了辦理護照,馬琳幾天前剛去辦理了新身份證。據她回憶,自己只在中國銀行辦理業務時使用過這張新身份證。
馬琳照做后,就沒有再收到對方或中國銀行發來的任何短信。沒過多久,她反應過來不對,于是登錄手機銀行查看,這才發現,她的中國銀行賬戶在她本人未登錄、未操作、未進行人臉識別的情況下,被轉走了20多萬元。
馬琳遇到的騙局并不鮮見,她主動把重要的人臉信息交給詐騙分子也是事實。但令她想不通的是,登錄她賬戶的設備IP地址是中國臺灣,而她那一段時間一直在北京——銀行不是應該對異地登錄有嚴格防范嗎?
對此,中國銀行回應稱,查到的驗證視頻是馬琳本人的,也發了手機驗證碼到她的手機上,驗證流程沒有問題。“但事實上第一我沒有收到手機驗證碼,第二我沒有進行過任何的人臉識別檢測,我本人我不可能自己去黑自己的賬戶對吧?”
“我最開始也不太理解(為什么會通過),我就拍了一段視頻,其中包括了點頭搖頭,然后去其他銀行的人臉識別功能試了試,一次都沒通過,都提示說‘請確保是您本人’。”馬琳告訴南都記者,在她和中國銀行的交涉過程中,也有相關人員提到,如果使用視頻是有可能攻破人臉識別的。
不滿于中國銀行的回復,馬琳進而向北京銀保監會投訴。經調查發現,詐騙發生當天,馬琳賬戶里的20萬被分成8筆轉走,其中7筆發送了手機交易碼短信,5筆觸發了人臉識別,1筆觸發了外呼(電話通過電腦自動往外撥打用戶電話,將錄制好的語音通過電腦播放給用戶),但她從未收到任何相關告知。
馬琳后來又去了北京來廣營派出所報案。對于馬琳的訴求,中國銀行給出的說法是“錢財的轉出在安全的機制內”,讓她去起訴。這讓她感到不可思議:“按照常理來說,人臉識別肯定是要本人”,她說,“身在異地的犯罪分子能通過活檢,這本來就是一種不合理。”
在損失了這筆積蓄之后,馬琳的簽證已經很難繼續辦理,她離開了北京。“我希望中國銀行的漏洞能堵一下,不要給更多的人帶來更大的損失。這個事情對銀行來說,可能確實沒有什么損失。但是從儲戶的角度來說,這個就是一個人生的大災難。”
2除了中國銀行,至少6名交通銀行儲戶也有類似遭遇
南都記者了解到,中國銀行不是唯一一家被曝人臉識別系統可被破解的銀行。就在前不久,南都曾報道,交通銀行的儲戶也有過相似的遭遇——他們中的部分人也和馬琳一樣,遇到的盜刷者IP地址顯示為中國臺灣,手機型號則為摩托羅拉XT1686。
交通銀行儲戶小雪(化名)向南都記者提供的一份北京市豐臺區人民法院民事裁判書顯示,2021年6月19日上午,小雪接到自稱是公安方面打來的電話,稱其在哈爾濱涉嫌非法入境,還涉嫌反洗錢案,要求小雪下載“公安防護App”“矚目App”,開啟會議模式通過視頻驗證是否為本人,并進行手機屏幕共享,指示其將手機攔截電話、短信等功能開啟。
隨后,對方還以“國有大行安全措施比較好”為借口要求小雪辦理一張新的交通銀行卡,并把所有銀行的存款全部轉入內,以此“核實個人資產”。為此,小雪特意將近50萬的儲蓄資金從其他銀行轉入到該交通銀行賬戶。而后,這筆資金便不知去向。
據警方調查,密碼重置和大額轉賬的IP地址為中國臺灣,驗證方式為短信驗證+人臉識別,且當天銀行系統有7次通過人臉識別的記錄,其中6次通過活檢。也就是說,騙子攔截了小雪的短信驗證碼,通過短信和偽造人臉識別完成了密碼重置、限額調整、大額轉賬的全過程。
法院一審判決認為,整個過程中是小雪自己按外人的指令下載了相關App、開啟電話及短信攔截等,才導致發生身份識別信息、交易驗證信息泄露的風險,因此認定該案是小雪不審慎所致,判交通銀行不承擔責任。
值得注意的是,根據鳳凰網《新視界》7月5日的報道,2020年10月至2021年10月期間,有至少6位交通銀行儲戶被犯罪分子誘騙、將錢存入交通銀行后被盜刷,金額高達數百萬元。
“6次人臉識別,交行一次都沒識別出來犯罪分子使用的是假人臉。”“交通銀行存在支付安全漏洞,沒有辦法識別出是不是真的人臉。”有被盜刷的交通銀行儲戶認為,犯罪分子指定交通銀行而不是其他銀行,是因為他們發現并利用了交通銀行的人臉識別漏洞。
自被盜刷以來,交通銀行儲戶馬躍(化名)曾多次上訴至法院,但法院駁回了他的申請。和小雪得到的判決相似,法院認定,交通銀行相關支行已通過多個登錄密碼、驗證碼、人臉識別的合理方式識別使用人身份,未見存在明顯的過錯和過失。
圖源:鳳凰網《新視界》
針對上述事件,交通銀行股份有限公司北京長辛店支行的工作人員向南都記者表示不接受采訪。
3銀行的人臉識別驗證系統是否存在漏洞?
人臉識別被破解、手機驗證碼被攔截,是儲戶們認為銀行存在漏洞的關鍵環節。那么,中國銀行和交通銀行采用的人臉識別系統是否建立了足夠的安全防范機制,又是否達到了監管要求呢?
根據中國銀行5月29日最新更新的手機銀行隱私政策,其使用了云從科技的人臉識別SDK(軟件開發工具包),用于提供人臉識別服務。為交通銀行提供技術支持的則是一家成立于2016年6月的生物識別企業:北京眼神科技有限公司(下稱“眼神科技”)。
根據兩家人臉識別服務提供商的官網介紹,他們的客戶均涵蓋六大行。此外,云從科技的客戶還包括12家股份制銀行以及城農商行,服務超過400家金融機構、10余萬個銀行網點;眼神科技服務的銀行機構則近150家。
南都記者以儲戶身份分別致電云從科技和眼神科技。云從科技方面稱,若犯罪分子使用視頻通話的方式,確實有可能攻破人臉識別系統,但除此之外不愿透露更多信息。
眼神科技方面則表示,根據現有的司法判決,犯罪分子是獲取了短信驗證碼等多個隱私信息,所以才出現了這種事,而人臉識別只是整個流程中的一個驗證環節,所以并不能明確地說就是人臉識別的問題。“銀行方面對安全性的要求是很高的,也是基于我們的產品(的正確率),銀行這邊才會選擇我們的。”客服強調。
一位人工智能安全領域的技術專家也告訴南都記者,從整個流程來看,詐騙分子是劫持了受害人的電話和短信,才導致后續銀行無法通過短信、電話對轉賬人身份及轉賬情況進行核實,這部分與人臉識別系統的安全風險無直接關聯。
不過他也表示,儲戶即使被誘騙給出個人信息,但事實是儲戶本人并未前往外地,而詐騙犯肯定是用某種手段“通過了人臉識別的活體檢測”,這就說明銀行的線上人臉身份核驗系統確實存在被假體攻擊、注入攻擊的技術漏洞——這并不是說“活體檢測”這一技術本身不合格,很有可能是犯罪分子“繞過”了活體檢測的環境。
去年1月,依托清華大學人工智能研究院成立的團隊瑞萊智慧RealAI就曾通過對抗樣本攻擊,一舉破解19款安卓手機的人臉識別解鎖系統。即便是搭載了交互式活體檢測功能的十余款金融和政務服務類App,也都被輕易破解。
瑞萊智慧RealAI高級產品經理張旭東曾以銀行類App為例向南都記者表示,雖然現在的支付轉賬操作都需要多因素驗證,但一旦用戶的個人信息全部泄露,不法分子就可能同時完成刷臉、輸入手機驗證碼等操作,使得多因素驗證失效。
當時,研究人員提到,目前業界主流的人臉識別算法都具備了活體檢測能力,之前常見的用一張照片、一段視頻來完成刷臉的做法已經行不通。但對抗樣本攻擊針對的是算法模型底層的漏洞,完全不受活體檢測限制。攻擊者在臉上添加了局部擾動,導致算法產生了錯誤識別。
上述技術專家則用“受害人被詐騙分子誘導進行視頻通話”的案件來舉例表示,這種情況下,受害人很有可能被錄制下指令動作的畫面視頻,或者詐騙分子直接基于儲戶的照片,通過合成軟件偽造的動態視頻。
“但偽造的視頻不會直接拿手機平板放到攝像頭前,按照正常流程通過人臉識別系統,而是使用某種黑客手段入侵了人臉識別的底層系統。比如通過劫持攝像頭,讓系統不啟動攝像頭,直接從底層注入提前準備好的動態視頻,完全就能繞過活體檢測。這種注入攻擊是針對人臉識別系統的應用軟件層面的安全漏洞。”他說。
這位技術專家表示,由于目前大多識別系統是用神經網絡+大數據訓練的方法實現,所以黑盒性和不可控性是一定存在的。他認為,技術方需要進一步提高對新型算法安全風險的研究水平。
4儲戶、銀行、人臉識別提供方,責任如何劃分?
截至目前,上述遭遇盜刷的儲戶得到的法院判決均認定,銀行沒有明顯過錯,不承擔責任。銀行的技術提供方也認為,是儲戶先泄露隱私,才導致事件發生。但在儲戶看來,即便自己被誘騙交出了部分個人信息,也不應影響銀行通過人臉識別驗證出詐騙分子并非儲戶本人。
“既然人臉識別是銀行所引進,而且往往是變相強制儲戶使用,一旦出現存款被騙,銀行不承擔任何責任顯然也是有問題。完全讓儲戶個人來當冤大頭,既不公平,也無助于對犯罪的預防。”馬琳說,“技術如果不夠先進、不夠完備,那就不應該投入使用,而不是已經造成各個方面的損失,然后現在又說銀行的系統還在升級。系統不完備的損失誰來承擔,不是銀行來承擔嗎?雖然銀行自己也是受害者,但是他改善系統的能力比儲戶大得多。”
在清律律師事務所首席合伙人熊定中看來,“銀行不擔責”的判決結果“不是很合理”。他認為,整個流程存在兩個問題:人臉識別系統被攻破是銀行的責任,而儲戶本身可能也存在手機被劫持的“防范不足”。從損失情況來看的話,應該是典型的雙方過錯,各自承擔責任。
他解釋道,整個流程中存在著兩組關系,一組是儲戶和銀行,另一組是技術提供方和銀行。儲戶和銀行之間,是銀行提供了技術驗證手段給儲戶,那么銀行本身肯定要對于人臉識別的結果有足夠的保證,如果特定的技術出了問題的話,責任當然是由銀行承擔。而技術提供方和銀行之間,要取決于銀行跟技術提供方的合同到底是如何約定的,“他們如何去解決這種因為技術使用導致的損失、如何約定責任的分擔問題,這是他們之間的問題,跟儲戶沒有關系。”
清華大學法學院教授勞東燕也有類似的看法。她認為,由于相應風險是銀行引進人臉識別所導致,也就是銀行參與了風險的創設。在法律上,誰創設風險,誰原則上就應當對風險現實化的結果承擔責任。其次,銀行在相關業務領域里獲益最大,理應承擔與獲益相稱的風險責任。再次,銀行防范風險的能力更強,能力越強者責任越大。最后,從對犯罪的預防來看,只有讓銀行承擔部分法律責任,才能倒逼其提高安全技術保障。
事實上,縱觀銀行使用的密碼、U盾、手機驗證碼等用戶安全措施,都有被攻破的案例,人臉識別也不例外。熊定中認為,使用人臉識別驗證技術并沒有放大原來就有的風險,只是“一個新的技術在使用過程中出現了問題”。
但廣東人民時代律師事務所律師王勝生認為,一旦陷入技術崇拜的怪圈,并對技術進行強制推廣,就會帶來風險。“這是一種讓技術的攻防在發展中共生共長,出現風險時又嚴重依賴技術防范的方案。唯獨沒有停下技術強制使用的想法,也沒有停下人臉識別濫用的做法。”
勞東燕還提出,對于個人生物識別信息這類高度敏感的信息,有進行專項立法的必要性,并采取以公法保護為主的方式。在專項立法的規定中,需要明確數據處理者才應當是個人信息保護責任的主要承擔者。
“在數據處理過程中,究竟是誰制造了相應的風險?”勞東燕說,“同時,誰是其中最大的獲益方?肯定不可能是個人,而是作為數據處理者的科技企業與監管部門。”而從風險預防能力與風險預防效果來看,也應該將“鞭子“打到數據處理者身上。相應地,立法對人臉信息技術的規制重心,應當從知情同意機制轉向數據處理者的合規義務體系。
王勝生則認為,要解決“人臉識別”這一技術帶來的諸多問題,“立法”只是其中一個環節。“雖然現在人臉識別已經廣泛普及,但是對及技術局限和風險的公共教育和學界討論、對法律上的舉證責任、舉證能力、風險防范能力、司法公正的考量、對技術帶來的社會權力的對比和分析,各個環節都是缺失的。”
在他看來,首先,技術公司需要持續披露和明確告知技術的真實情況,包括風險,使得大眾對技術進行全面的認知;其次,大眾和個體對強制和變相強制的技術適用應該擁有“說不的能力”,非法律的社會力量制衡途徑需要存在;最后,方便適用的法律是否完備,司法公正性如何,才是最后一環的水波效應。
“或許微乎其微的舉動不能影響人臉識別的大道其行,但也或許會帶來溫和的振動,促成一些良性的審慎的改觀和發展。”他說。
來源:南方都市報
原文鏈接:https://www.cqcb.com/shishijingwei/2022-07-26/4969369_pc.html
