一名用户将自己的86万元积蓄存入了光大银行。但这些存款在短短的8天时间内,就被洗劫一空。
“在没有交易密码,没有短信验证码的情况下,存款是如何被盗走的?”起初,该名用户百思不得其解。直到她的家人查询了登录设备,发现盗刷者是通过指纹登录了手机银行账户,又以指纹支付的方式,将存款盗刷。
随后,她的家人按照光大银行指纹识别的流程测试了转账系统,并对系统的安全性产生了质疑——转账过程中验证的指纹并非是银行卡卡主的指纹,而是盗刷者的指纹。
近年来,随着大数据、云计算、人工智能技术的发展,生物识别(人脸识别、指纹识别)应用已成为手机银行的“标配”。但它们在为用户提供高效便捷服务的同时,也给一些别有用心的人提供了可乘之机。
86万存款被盗刷背后
2021年8月,年过六旬的文惠在光大银行柜台办理了一张储蓄卡。开通手机银行功能后,存入了10万元钱。然而让她始料未及的是,这笔钱只在她的账户短暂停留了一瞬,就“失踪”了。
文惠对存款被盗一事毫不知情。在后续的一周里,老人陆续向该卡内转入3笔存款,最多的一笔为38万元。这三笔存款也没能逃过被盗刷的命运,存入后立刻被洗劫一空。
算上最开始的10万元,文惠将自己的86万存款全部转入了该账户中。但由于老人的日常支出较少,取款的机会也是少之又少,直到2021年8月12日,文惠需要一笔钱急用,连续几次交易失败后这才发现账户异常。
(8月3日-8月10日银行账户交易流水,来源:用户提供)
文惠的家人立刻报警,联系银行冻结账户。但为时已晚,在8月3日-8月10日之间,存款已被盗刷。对此,文惠及家人无法理解——明明转账限额只有5万元,在没有收到短信验证码验证的情况下,盗刷者是如何在短时间内盗走了大额存款?
林浩(文惠家人)查询了该账户的近期登录设备,记录显示盗刷者在一台OPPO手机上通过指纹登录了银行账户,随后又以指纹支付的方式完成了多笔大额转账。
(来源:用户提供)
正常情况下,在光大银行手机端进行转账时需要交易密码和短信验证码进行双重验证。如果开通了指纹支付,仅需要交易密码和指纹就可以完成交易,同时还可以将转账限额修改为50万元。
为了进一步了解情况,林浩对光大银行的转账系统进行了测试,同时用视频记录了测试的全过程:首先在他的手机设备上登录文惠的银行账户,输入交易密码后到了验证指纹的环节。戏剧性的一幕出现了——林浩用自己的指纹,将文惠账户的存款成功转出。
这个发现让文惠一家极为震惊:如果盗刷者掌握了对方的交易密码,就可以在他的手机设备上使用自己的指纹,将其它用户的存款盗走。
与此同时,在林浩提供的一份与光大银行客服对话录音显示,用户开通指纹支付后,交易时验证比对的指纹是手机机主的指纹,并非是卡主的指纹。
“在银行网点开卡时中有录入指纹的环节,但在手机端登录和转账时查验的指纹却来自手机系统,并非是银行系统。”林浩认为,光大银行转账系统存在漏洞,在进行指纹认证程序时,银行没有尽到自己的责任,而是将核实指纹真伪的权力交到了手机厂商的手中。
至于交易密码的泄露过程——林浩推测,老人手机上的软件数量较少,而且习惯用同一个密码。有可能是盗刷者通过黑客手段碰撞其他软件,破解了她的银行卡交易密码。
在裁判文书网中,确有类似案件的判决记录:有犯罪嫌疑人非法购买公民个人信息,以黑客手段对受害者的信息进行碰撞,最终破解了受害人的账号和密码。在该案件中,光大银行因没能保障客户存取款交易安全不受非法侵害,被判全责。
(来源:中国裁判文书网)
对此,文惠家人认为:“在银行存款被盗取前,老人并未进行网银操作,甚至手机、银行卡、身份证均未离身,因此光大银行同样没能尽到保护用户银行卡信息安全的义务。”
截至目前,距离存款被盗刷已有一年多时间。关于案件的进展情况,国家信访局的告知信息中显示:经过大数据查询,钱款已被转往国外账户。目前尚无法确定嫌疑人身份,大概率是在缅甸附近。
“这笔钱是文惠和她母亲一辈子的积蓄,以后是要留给小孩的。”林浩表示:“对于这样的结果,我们也很难以接受。”
生物识别安全几何?
重新梳理文惠存款被盗刷的过程后,市界发现:在光大银行手机端首次登录时,需要手机号码、登录密码以及短信验证码;开通指纹登录功能后,则省去了登录密码和验证码的环节,可以通过指纹直接登录账户。
然而在开通指纹支付的过程中也同样需要输入交易密码和短信验证码,并在最后通过人脸识别验证后,才能开通指纹登录和指纹支付功能。
也就是说,除交易密码泄露以外,文惠的短信验证码也可能已被窃取。
近年来,电信诈骗猖獗,许多不法分子以发送短信链接的形式进行诱导,一旦用户点击链接,手机就会被植入木马病毒。不法分子再利用木马病毒对用户的短信和电话进行拦截,进而获取短信验证码等信息。
在文惠的印象中,她没有点过不明链接,也不太清楚自己的密码和短信验证码究竟在哪个环节泄露,家人只能试图从她的描述中来还原事件的整个过程。
值得一提的是,盗刷者在进行第一笔大额转账时,光大银行后台曾给文惠打过两个视频电话核实身份,但文惠没有及时接到,导致第一次的交易因审核未完成而取消。随后,光大银行将验证方式改为了人脸识别联网核查(点头、张嘴、转头等方式),验证了“文惠”的面容,六分钟后,该笔交易成功。
林浩查询转账明细后发现:盗刷者共进行了9笔大额转账。只有第1笔交易有人脸识别的联网核查,其它交易仅通过交易密码和指纹认证的方式就被转出。
(来源:用户提供)
“一般来说,不法分子会通过多种非法渠道来获取人脸照片。”人脸识别专家刘天表示:“有可能是利用证件照片或是本人视频截屏(被骗进行视频通话);或是通过合成照片后进行面部替换,生成张嘴、眨眼、转头等动态人脸;还有可能是利用网络攻击手段,在不启动摄像头的情况下,向系统中注入伪造的动态视频来通过人脸认证。”
蓝田是一名在人工智能科技公司工作的技术人员。谈及生物识别的发展现状,蓝田认为:目前的人工智能技术已较为成熟,基本可以做到防范诈骗。但由于人脸识别或指纹识别在不同的场景应用时涉及成本、用户体验、检测速度等一系列问题,致使不同银行选择的安防系统不同,所以安全等级也会不同。
至于指纹和人脸的安全性问题,刘天表示:“这是个老生常谈的问题。重点要看银行、手机厂商是否愿意承担高成本。如果成本不受限制,指纹和人脸的安全性相差不多——虽然指纹识别属于接触式识别,可能会受汗水、灰尘等影响,甚至还存在部分指纹的纹理恰巧在算法的盲区,无法被识别的情况。但这毕竟是小概率事件,从社会的发展角度来看,使用生物识别的便捷性要超过弊端。”
目前人工智能技术供应商也在帮助银行升级风控系统,进行AI反欺诈管理——根据数据判断是否存在异地登录等一系列涉嫌欺诈的行为,一旦触发风险条件,系统会自动执行强控制措施。
“但如果银行选择的系统安全性不过关,那么攻击者有可能会通过代码开发对银行App、手机系统动手脚,入侵人脸识别的底层系统,劫持摄像头,在银行App不启动摄像头的情况下,把视频流直接传给银行App,也能绕过活体检测。”
指纹权限过高?
目前,生物识别(人脸识别、指纹识别)已广泛应用于各类场景,对于注重交易安全的银行业来说,更是占据着举足轻重的地位。
在上市银行公布的2022年半年报中,“金融科技”无疑是高频词汇。2022年上半年,多家商业银行将发展金融科技、推进数字化转型提升到更高的战略层面,金融科技投入金额和科技人才数量占比同比均大幅提升。
以光大银行为例,截至2022年6月30日,公司科技投入 21.38 亿元,同比增长 25.47%;全行科技人员 2598 人,比上年末增加 237 人,占全行员工的 5.69%。
除此之外,光大银行还在半年报中表示:公司深化建设“123+N”数字银行发展体系。“一个智慧大脑”持续赋能,开发训练算法模型超900个;实现多模态生物识别的交叉应用,覆盖场景500余个。
“从目前情况来看,包括工农中建在内的国有四大行,拥有自己的人工智能开发中心和业务系统;但也有一些城商行受成本和需求影响,选择从外包公司采购搭载着算法和模块的相应产品。”蓝田表示:“有的银行将重点放在人脸识别上,有的银行是OCR(身份证、银行卡图文识别),有的较重视AI 反欺诈,有的是规范网点行为······不同银行的需求不同,最终选择的算法模块也会不同。”
通常情况下,模型越复杂,运行速度越慢,但同时识别精度和准确率也会越高。考虑到用户体验感以及卡顿等因素,部分手机厂商会选取轻便化的模型,减少部分算法流程来提高运行速度。但银行对安全性的要求极高,这样的模型无法满足基本要求。
在与文惠家人交谈的过程中,有一句话让人深刻——我明白银行进行生物识别认证的初衷是为了增加安全屏障,但从效果来看,似乎并不尽如人意。
如其所说,即便文惠存在信息泄露的情况,最初的转账限额也仅为5万元。但盗刷者利用不属于老人的指纹,来调高转账限额,致使老人蒙受巨额损失。
“既然无法保证绝对的安全性,为何指纹识别可以拥有替代短信验证、甚至是调高转账限额这样的高权限?”
而光大银行沈阳市铁西支行(文惠开卡网点)则认为:老人存款被盗走的根本原因是遭到了电信诈骗,并非是因为银行的漏洞导致被骗。该行行长同时还表示:关于此事,总行会给监管回复。
市界查询其它银行APP后发现,大部分银行在进行转账交易时需要输入交易密码和短信验证码进行验证。即便是开通了指纹支付功能,也仅能应用于购买电影票等生活类场景,并不具备转账权限。
面对猖獗的电信诈骗,许多年轻人尚不能保证自己不会落入其中的陷阱。对于老人群体来说,他们更需要社会的保护和关怀。在这场魔与道的较量中,银行唯有不断升级风控系统,降低风险概率,才能最大限度地减少用户的损失。