要想從交通銀行卡中轉(zhuǎn)賬,系統(tǒng)需要用戶在手機(jī)銀行App上進(jìn)行人臉識別,被攻本人被轉(zhuǎn)并進(jìn)行短信驗證。破非李紅陷入了詐騙分子的操作圈套,她的卡里手機(jī)短信被攔截,手機(jī)號被設(shè)置了呼叫轉(zhuǎn)移,銀行令她的人臉驗證碼落入他人手中,且無法接聽銀行的識別數(shù)萬確認(rèn)電話。
更嚴(yán)重的系統(tǒng)是,“人臉識別”被攻破了。被攻本人被轉(zhuǎn)銀行系統(tǒng)后臺顯示,破非在進(jìn)行密碼重置和大額轉(zhuǎn)賬時,操作“李紅”進(jìn)行了6次人臉識別比對,均顯示“活檢成功”。
那幾次人臉識別并不是身在北京的李紅本人操作,登錄者的IP地址顯示在臺灣。當(dāng)李紅本人登錄手機(jī)銀行時,卡里的錢已被悉數(shù)轉(zhuǎn)走。她去派出所報案,警察很快認(rèn)定她遭遇了電信詐騙,并立案偵查。
既然不是本人操作,為何還能“活檢成功”?李紅懷疑交通銀行人臉識別系統(tǒng)的安全性,并以“借記卡糾紛”為由將交通銀行告上法庭,要求賠償。
2022年6月30日,北京市豐臺區(qū)人民法院一審駁回了李紅的全部訴求。她準(zhǔn)備繼續(xù)上訴。
每個人?隻有一張臉,因其不易被仿冒,人臉識別被認(rèn)為具有較高安全性,近年來被普遍適用于銀行驗證中,用來保障資金安全。但超出普通人認(rèn)知的是,人臉具有唯一性的生物識別信息,是敏感個人信息,它裸露在無處不在的攝像頭下,極易獲得。在如今人臉識別系統(tǒng)并不成熟的情況下,用合成活動人臉騙過審核系統(tǒng)的案例屢見不鮮。
長期關(guān)注個人信息保護(hù)的專家,都對人臉識別的濫用充滿憂慮。清華大學(xué)法學(xué)院教授勞東燕指出,從制度框架的合理設(shè)定來考慮,制造更多風(fēng)險、獲取更多收益的一方,理應(yīng)承擔(dān)更多的風(fēng)險與責(zé)任,“人臉識別是銀行引進(jìn)的,其是作為風(fēng)險制造的參與方,通過這種方式銀行也獲益更多,應(yīng)該承擔(dān)和其所獲收益成比例的風(fēng)險責(zé)任”。
她還指出,隨著人工智能的發(fā)展,詐騙手段科技含量更高,銀行應(yīng)當(dāng)與時俱進(jìn),使其安保技術(shù)超過犯罪手段的技術(shù)。如果銀行因人臉識別技術(shù)存在的漏洞而相應(yīng)承擔(dān)責(zé)任,會有助于敦促銀行堵住技術(shù)上的安全漏洞,對可能發(fā)生的詐騙犯罪起到預(yù)防作用。
被騙42.9萬元
從接通電話那刻起,李紅就陷入“協(xié)助破案”的迷局中。那是2021年6月19日上午10:30,電話那頭自稱“北京市公安局戶政科陳杰警官”的人告訴李紅,她的護(hù)照此前在哈爾濱涉嫌非法入境,讓她向哈爾濱市公安局報案。對方輕易地報出了李紅身份證號,這令她開始相信電話那頭的“警官”。
李紅被轉(zhuǎn)接給哈爾濱市公安局的“劉警官”。對方告訴她,她涉嫌“李燕反洗錢案”,并讓她登錄一個網(wǎng)站查看“公文”。李紅用手機(jī)登錄對方提供的網(wǎng)站后,發(fā)現(xiàn)在一張藍(lán)底的“通緝公告”上,印著自己的身份證照片、身份證號等戶籍信息。
這令她陷入恐慌,因為在她平常的認(rèn)知中,這些信息?隻有公安內(nèi)部的人才能獲得。接下來,她對“警官”的指揮百依百順。按照指示,她從網(wǎng)站下載了“公安防護(hù)”軟件和視頻會議軟件“矚目”。
“公安防護(hù)”是一款詐騙人員常用的“李鬼”手機(jī)軟件,其設(shè)計模仿“國家反詐中心”,如果受害者在里面輸入銀行卡和密碼,詐騙人員就可在后臺獲取這些信息。
而“矚目”雖然是普通的視頻會議軟件,但提供共享屏幕功能。在“劉警官”的要求下,李紅通過“矚目”,向?qū)Ψ焦蚕砹俗约旱氖謾C(jī)屏幕,令其掌握了她安裝的App種類信息,對方還通過這項功能遠(yuǎn)程操控她的手機(jī),令她的手機(jī)號設(shè)置了呼叫轉(zhuǎn)移,無法接收短信和電話。
最容易被忽略的是“露臉”。對方告訴李紅,為了驗證她是本人操作,她要通過“矚目”開啟會議模式,于是李紅的人臉信息輕易暴露在對方面前。這也成為對方實施詐騙的關(guān)鍵一環(huán)。
李紅始終沒能掛斷電話,“劉警官”故意令她與外界隔絕。下午13:46,按照要求,李紅趕到交通銀行北京長辛店支行,開設(shè)了一張借記卡。銀行開卡記錄顯示,李紅預(yù)留了自己的手機(jī)號,并允許借記卡通過“網(wǎng)上銀行、手機(jī)銀行、自助設(shè)備”三種方式轉(zhuǎn)賬,也允許這張卡進(jìn)行境外取現(xiàn)和消費,但在其他功能中,她選擇了“小額免密免簽不開通”。
這意味著,當(dāng)她進(jìn)行5萬元以內(nèi)的轉(zhuǎn)賬時,仍需要驗證。此外,李紅還設(shè)置了轉(zhuǎn)賬限額,每日只能累計轉(zhuǎn)賬5萬元。
在辦理借記卡的過程中,交通銀行向李紅發(fā)放《北京市公安局防范電信詐騙安全提示單》。這份提示單中,載明了業(yè)務(wù)類型為“開通網(wǎng)銀或手機(jī)銀行”,并提示她可能存在有冒充公檢法的人員,以打電話的方式告知她涉及案件,要求她向?qū)Ψ教峁┑馁~號轉(zhuǎn)賬,或是告知網(wǎng)銀密碼。李紅在這份提示單上簽字。
李紅剛剛辦好的借記卡,這張卡就被詐騙人員所掌控了。銀行后臺顯示,當(dāng)天13:51,即李紅開卡15分鐘后,就有詐騙人員通過人臉識別驗證,重置了李紅的用戶名和密碼,登錄了她的手機(jī)銀行。但李紅對此并不知情,她正按照“劉警官”的要求,為了“清查個人財產(chǎn)”,向卡轉(zhuǎn)入所有積蓄,以及所有能夠貸款獲得的現(xiàn)金。
交易記錄顯示,14:06至14:09,李紅向這張卡轉(zhuǎn)賬5筆共計25萬元,14:11和14:13,又分兩筆轉(zhuǎn)入5萬元,此時李紅卡內(nèi)已有30萬元。短短幾分鐘后,14:20詐騙人員就通過掌握的李紅的手機(jī)銀行,將這30萬元轉(zhuǎn)了出去。此后在14:30,李紅又向卡內(nèi)匯入12.9萬元,這些錢在14:40被悉數(shù)轉(zhuǎn)出。至此詐騙人員轉(zhuǎn)走了李紅42.9萬元。
詐騙人員掌握了李紅的“人臉識別+動態(tài)密碼”后,通過修改密碼,登錄了她的手機(jī)銀行,此后便如入無人之境,即使李紅設(shè)置了每日5萬元轉(zhuǎn)賬限額,也在詐騙人員登錄后被輕易修改,之后每筆大額轉(zhuǎn)賬也都通過“人臉識別+動態(tài)密碼”驗證通過。
交通銀行北京長辛店支行在法庭上回應(yīng)稱,“交易密碼、動態(tài)密碼以及輔助人臉識別的客戶鑒別模式”符合監(jiān)管要求,并且在李紅轉(zhuǎn)賬過程中,銀行對她進(jìn)行了風(fēng)險提示,包括通過運營商向她發(fā)送了短信密碼、短信風(fēng)險提示,以及在內(nèi)部系統(tǒng)大數(shù)據(jù)分析發(fā)現(xiàn)異常后,撥打了李紅的手機(jī),對轉(zhuǎn)賬人身份及轉(zhuǎn)賬情況進(jìn)行核實。
但李紅稱,對于銀行所稱發(fā)送了22條短信密碼及短信風(fēng)險提示,她只收到了其中的11條,而銀行的來電她并未接到。這背后的原因在于她的短信被詐騙人員攔截,電話也呼叫轉(zhuǎn)移到了詐騙人員的手機(jī)上。
銀行提供的通話錄音顯示,在當(dāng)天14:23,在詐騙人員正將李紅銀行卡中的30萬元轉(zhuǎn)出時,銀行客服撥通李紅預(yù)留的手機(jī)號,詢問對方是否是李紅本人、轉(zhuǎn)賬是否本人操作、收款人信息、與收款人的關(guān)系、轉(zhuǎn)賬的用途等,接電話的人均認(rèn)可系本人操作,還稱與收款人是朋友關(guān)系。
下午16:00,李紅察覺到“劉警官”的反常態(tài)度,她在16:39用自己的手機(jī)首次登錄了手機(jī)銀行,卻發(fā)現(xiàn)錢已被盜刷,她意識到自己被騙,前往派出所報警,并聯(lián)系銀行掛失銀行卡。
銀行出具的通話錄音顯示,當(dāng)天17:08至17:25,銀行三次撥通李紅預(yù)留的手機(jī)號,接電話的人起先稱自己是李紅,認(rèn)可辦理過業(yè)務(wù),否認(rèn)辦理銀行卡掛失,但后來否認(rèn)自己是李紅,稱客服“打錯了”。
銀行后臺記錄顯示,詐騙人員“假人臉”6次操作,均顯示活檢結(jié)果成功。圖/受訪者提供
蹊蹺的“活檢成功”
民警追查到,2021年6月19日在13:51至14:42之間,李紅手機(jī)銀行登錄者的IP地址在臺灣,使用的設(shè)備是摩托羅拉XT1686,而當(dāng)時李紅在北京,她的手機(jī)型號是小米8。
銀行后臺記錄顯示,李紅的借記卡在6月19日那天共有7次操作涉及人臉識別,均顯示識別成功通過,其中1次為借記卡申請,1次為登錄密碼重置,5次為大額轉(zhuǎn)賬,除了第一次不涉及活檢,后6次操作“活檢結(jié)果”均為成功。
李紅并未親自操作,為何6次“活檢結(jié)果”均為成功?李紅的丈夫馬躍(化名)在金融系統(tǒng)工作多年,他成為妻子起訴交通銀行的代理人。他告訴《中國新聞周刊》,銀行定下的“人臉識別+短信驗證碼”的驗證模式,其本質(zhì)目的在于確保由用戶本人親自操作轉(zhuǎn)賬,他妻子在完全不知情的情況下,被詐騙人員從賬戶中轉(zhuǎn)走錢,銀行應(yīng)當(dāng)承擔(dān)保管不力的責(zé)任。
“這就好比,本來約定需要我本人去銀行才可以轉(zhuǎn)賬匯款,現(xiàn)在別人假冒我去銀行,銀行沒有發(fā)現(xiàn),那么造成的損失不應(yīng)該由我完全承擔(dān)。”他認(rèn)為,銀行與儲戶之間的關(guān)系是債權(quán)關(guān)系,銀行受騙,不應(yīng)讓儲戶承擔(dān)全部責(zé)任。
李紅以“借記卡糾紛”為案由起訴交通銀行后,要求銀行賠償存款損失,但北京市豐臺區(qū)人民法院一審駁回了她的訴求。
法院認(rèn)為,李紅在42.9萬元被盜過程中“過錯明顯”,交通銀行作為指令付款方,已通過多個登錄密碼、驗證碼、人臉識別的合理方式識別使用人身份,未見存在明顯的錯誤或過失。
馬躍認(rèn)為,李紅在北京剛辦理了借記卡,緊接著IP地址在臺灣的詐騙人員就能用不同的設(shè)備登錄,并頻繁操作大額轉(zhuǎn)賬,如此異常的操作,銀行本應(yīng)該識別出轉(zhuǎn)賬的非儲戶本人。
李紅的遭遇并非孤例。早在2020年10月,浙江的趙女士就遭遇了同樣的騙局,她的經(jīng)歷曾經(jīng)被杭州本地媒體報道。趙女士講述,在與假冒警察的犯罪分子視頻時,對方曾要求她做“張嘴”“眨眼”“搖頭”等動作,疑似通過錄像來騙過銀行的人臉識別系統(tǒng)。
聯(lián)系上趙女士之后,馬躍又聯(lián)系到4名同樣的受騙者,他們6人都遭遇了同樣的詐騙套路,涉案金額超過200萬元。
這6名受害者都為女性,受騙時間最晚的在2021年10月。她們都生活在大都市,具備一定知識水平,多人具備研究生學(xué)歷,還有人就是律師。
交通銀行的人臉識別服務(wù)商為北京眼神科技有限公司(下稱“眼神科技公司”)。這家公司成立于2016年6月,其創(chuàng)始人、董事長兼CEO周軍曾公開表示,其研究的“生物密碼”,令“用戶到哪里密碼就跟隨到哪里”“?隻有本人可用”。
其官網(wǎng)介紹,眼神科技是業(yè)內(nèi)較早將指紋識別、人臉識別、虹膜識別等生物識別技術(shù)引入金融行業(yè)的AI企業(yè),在金融行業(yè),其目前已服務(wù)于中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設(shè)銀行、交通銀行、郵儲銀行、招商銀行、民生銀行等近150家銀行機(jī)構(gòu),客戶覆蓋率達(dá)80%,實現(xiàn)柜面內(nèi)外應(yīng)用、手機(jī)銀行、自助銀行、風(fēng)控管理等金融業(yè)務(wù)場景的全面覆蓋。
2020年9月,眼神科技公司宣布中標(biāo)交通銀行人臉識別項目,向交通銀行全行提供人臉識別產(chǎn)品,“在現(xiàn)金管理、支付結(jié)算及賬戶管理等業(yè)務(wù)場景中實現(xiàn)人臉活檢及身份識別功能”。
在2021年9月,李紅和其他女性被詐騙報案后,交通銀行曾公告停用過人臉識別。這不久,馬躍就發(fā)現(xiàn)交通銀行手機(jī)銀行系統(tǒng)進(jìn)行了改版升級。但在這年10月,仍有一名受害人的交通銀行賬戶被假人臉攻破。
目前,在交通銀行手機(jī)銀行用戶協(xié)議中,人臉識別技術(shù)提供方仍是眼神科技公司,記者就此事聯(lián)系了這家公司,但對方未給予答復(fù)。
板子該打在誰身上?
人臉識別系統(tǒng)被攻破,銀行究竟有沒有責(zé)任?浙江理工大學(xué)法政學(xué)院副教授郭兵告訴《中國新聞周刊》,在李紅一案中,重點正是人臉識別系統(tǒng)被詐騙人員輕易攻破。
郭兵長期關(guān)注人臉識別的安全性。他認(rèn)為,李紅的人臉信息有可能被詐騙人員仿造了,“詐騙人員掌握了她的人臉信息,通過技術(shù)手段可以生成動態(tài)的人臉信息”。他說,有一種人臉活化軟件,可分析照片和視頻中的人臉信息,生成一張可供人操控的“假人臉”,來騙過人臉識別軟件。
“我們的人臉識別技術(shù)不可能盡善盡美。”他提出,隨著人工智能的發(fā)展,人臉識別軟件和破解的活化軟件都在發(fā)展,要謹(jǐn)防“道高一尺魔高一丈”。
事實上,被廣泛應(yīng)用的人臉識別技術(shù),其破解難度有時簡單得出乎意料。郭兵說,2019年,浙江有幾名小學(xué)生用照片破解了居民小區(qū)的快遞柜,輕易取走他人的快遞。而在2021年10月,清華大學(xué)的學(xué)生團(tuán)隊,僅用人臉照片就成功解鎖了20款手機(jī)。
“人臉的照片太容易獲得了。”郭兵說,如果人臉識別系統(tǒng)用照片就能解鎖,在遍布攝像頭的當(dāng)下,可能預(yù)示著巨大的隱患。
“現(xiàn)在電信詐騙非常猖獗,盜用人臉信息的手段層出不窮,也給銀行的人臉識別系統(tǒng)帶來挑戰(zhàn)。”郭兵說,近期學(xué)界也對活化軟件展開了研究,“這都是釜底抽薪的手段”。
他更擔(dān)心的是,隨著技術(shù)的發(fā)展,犯罪分子可能掌握了照片,就可“活化”出動態(tài)人臉,騙過人臉識別系統(tǒng)。
銀行的防護(hù)能力關(guān)系到儲戶的資金安全。郭兵認(rèn)為,應(yīng)當(dāng)對銀行的人臉識別系統(tǒng)提出更高的要求。
在立法層面上,對人臉信息的保護(hù)正在逐步加強(qiáng)。在李紅被詐騙幾個月后,《個人信息保護(hù)法》正式生效,其中突出了作為敏感個人信息的生物識別信息的特別保護(hù),規(guī)定“處理個人敏感信息應(yīng)該進(jìn)行更多的告知,包括相應(yīng)的風(fēng)險,以及應(yīng)當(dāng)取得個人的單獨同意”。
在清華大學(xué)法學(xué)院教授勞東燕看來,銀行普遍存在變相強(qiáng)迫采集儲戶人臉信息的現(xiàn)象。她說,“至少就我個人的體會,去銀行辦理存款等業(yè)務(wù),人臉識別都是在強(qiáng)制之下弄的,如果不同意采集人臉就辦不了相應(yīng)業(yè)務(wù)。”
她告訴《中國新聞周刊》,盡管《個人信息保護(hù)法》強(qiáng)化了對人臉信息的保護(hù),但這種強(qiáng)化其實只體現(xiàn)于征求同意的環(huán)節(jié),其他地方和普通個人信息幾乎沒有差別,并沒有在實質(zhì)上抬高法律保護(hù)的門檻。
所以,她堅持認(rèn)為,全國人大及其常委會有必要考慮對生物識別信息進(jìn)行單獨立法,不應(yīng)放在《個人信息保護(hù)法》的框架下來進(jìn)行保護(hù)。
她還提到,李紅在銀行辦卡時被要求簽署的《北京市公安局防范電信詐騙安全提示單》提示效果有限,“現(xiàn)在詐騙手段層出不窮,僅靠個人的警惕是很難防住的”。
在她看來,這個提示單對防范各種詐騙無法起到實質(zhì)性作用,當(dāng)儲戶被詐騙后,反而有可能起到讓銀行轉(zhuǎn)嫁責(zé)任的效果。
“防范和打擊犯罪,本應(yīng)由國家、銀行與相關(guān)單位承擔(dān)主要責(zé)任,現(xiàn)在越來越多變相地轉(zhuǎn)嫁到作為被害人的個人身上。”她指出,“過多地讓弱者承擔(dān)風(fēng)險并不公平”。
勞東燕認(rèn)為,要防范此類詐騙犯罪,重要的是在制度框架層面重新來考慮合理分配風(fēng)險的問題。她說,“風(fēng)險跟責(zé)任有關(guān),誰制造的風(fēng)險原則上就應(yīng)當(dāng)由誰來承擔(dān)。”
她指出,人臉識別的推廣和帶來的風(fēng)險,實際上是科技企業(yè)和銀行制造的,在這其中,銀行也比儲戶獲得了更多科技帶來的好處,“誰在其中獲益最大,誰就應(yīng)該承擔(dān)與獲益成比例的風(fēng)險”。
“另外,還應(yīng)當(dāng)考慮預(yù)防能力與預(yù)防效果方面的因素,將板子打在誰身上,預(yù)防效果是最好的呢?”在她看來,銀行的預(yù)防能力比儲戶要強(qiáng)得多,如果由銀行部分地或按比例地承擔(dān)因人臉識別風(fēng)險造成的損失,將有助于督促銀行審慎采集與保護(hù)儲戶信息,加強(qiáng)人臉識別系統(tǒng)的安全技術(shù)保障。
“銀行對人臉信息的技術(shù)保障需要超過一般的犯罪手段,否則,銀行就不應(yīng)采集與使用儲戶的人臉信息。”她說。