李紅(化名)萬(wàn)萬(wàn)沒(méi)想到,詐騙人員從她的交通銀行卡偷走近43萬(wàn)元,如入無(wú)人之境。
要想從交通銀行卡中轉(zhuǎn)賬,需要用戶(hù)在手機(jī)銀行App上進(jìn)行人臉識(shí)別,并進(jìn)行短信驗(yàn)證。李紅陷入了詐騙分子的圈套,她的手機(jī)短信被攔截,手機(jī)號(hào)被設(shè)置了呼叫轉(zhuǎn)移,令她的驗(yàn)證碼落入他人手中,且無(wú)法接聽(tīng)銀行的確認(rèn)電話(huà)。
【資料圖】
更嚴(yán)重的是,“人臉識(shí)別”被攻破了。銀行系統(tǒng)后臺(tái)顯示,在進(jìn)行密碼重置和大額轉(zhuǎn)賬時(shí),“李紅”進(jìn)行了6次人臉識(shí)別比對(duì),均顯示“活檢成功”。
那幾次人臉識(shí)別并不是身在北京的李紅本人操作,登錄者的IP地址顯示在臺(tái)灣。當(dāng)李紅本人登錄手機(jī)銀行時(shí),卡里的錢(qián)已被悉數(shù)轉(zhuǎn)走。她去派出所報(bào)案,警察很快認(rèn)定她遭遇了電信詐騙,并立案?jìng)刹椤?/p>
既然不是本人操作,為何還能“活檢成功”?李紅懷疑交通銀行人臉識(shí)別系統(tǒng)的安全性,并以“借記卡糾紛”為由將交通銀行告上法庭,要求賠償。
圖/IC
2022年6月30日,北京市豐臺(tái)區(qū)人民法院一審駁回了李紅的全部訴求。她準(zhǔn)備繼續(xù)上訴。
每個(gè)人只有一張臉,因其不易被仿冒,人臉識(shí)別被認(rèn)為具有較高安全性,近年來(lái)被普遍適用于銀行驗(yàn)證中,用來(lái)保障資金安全。但超出普通人認(rèn)知的是,人臉具有唯一性的生物識(shí)別信息,是敏感個(gè)人信息,它裸露在無(wú)處不在的攝像頭下,極易獲得。在如今人臉識(shí)別系統(tǒng)并不成熟的情況下,用合成活動(dòng)人臉騙過(guò)審核系統(tǒng)的案例屢見(jiàn)不鮮。
長(zhǎng)期關(guān)注個(gè)人信息保護(hù)的專(zhuān)家,都對(duì)人臉識(shí)別的濫用充滿(mǎn)憂(yōu)慮。清華大學(xué)法學(xué)院教授勞東燕指出,從制度框架的合理設(shè)定來(lái)考慮,制造更多風(fēng)險(xiǎn)、獲取更多收益的一方,理應(yīng)承擔(dān)更多的風(fēng)險(xiǎn)與責(zé)任,“人臉識(shí)別是銀行引進(jìn)的,其是作為風(fēng)險(xiǎn)制造的參與方,通過(guò)這種方式銀行也獲益更多,應(yīng)該承擔(dān)和其所獲收益成比例的風(fēng)險(xiǎn)責(zé)任”。
她還指出,隨著人工智能的發(fā)展,詐騙手段科技含量更高,銀行應(yīng)當(dāng)與時(shí)俱進(jìn),使其安保技術(shù)超過(guò)犯罪手段的技術(shù)。如果銀行因人臉識(shí)別技術(shù)存在的漏洞而相應(yīng)承擔(dān)責(zé)任,會(huì)有助于敦促銀行堵住技術(shù)上的安全漏洞,對(duì)可能發(fā)生的詐騙犯罪起到預(yù)防作用。
被騙42.9萬(wàn)元
從接通電話(huà)那刻起,李紅就陷入“協(xié)助破案”的迷局中。那是2021年6月19日上午10:30,電話(huà)那頭自稱(chēng)“北京市公安局戶(hù)政科陳杰警官”的人告訴李紅,她的護(hù)照此前在哈爾濱涉嫌非法入境,讓她向哈爾濱市公安局報(bào)案。對(duì)方輕易地報(bào)出了李紅身份證號(hào),這令她開(kāi)始相信電話(huà)那頭的“警官”。
李紅被轉(zhuǎn)接給哈爾濱市公安局的“劉警官”。對(duì)方告訴她,她涉嫌“李燕反洗錢(qián)案”,并讓她登錄一個(gè)網(wǎng)站查看“公文”。李紅用手機(jī)登錄對(duì)方提供的網(wǎng)站后,發(fā)現(xiàn)在一張藍(lán)底的“通緝公告”上,印著自己的身份證照片、身份證號(hào)等戶(hù)籍信息。
這令她陷入恐慌,因?yàn)樵谒匠5恼J(rèn)知中,這些信息只有公安內(nèi)部的人才能獲得。接下來(lái),她對(duì)“警官”的指揮百依百順。按照指示,她從網(wǎng)站下載了“公安防護(hù)”軟件和視頻會(huì)議軟件“矚目”。
“公安防護(hù)”是一款詐騙人員常用的“李鬼”手機(jī)軟件,其設(shè)計(jì)模仿“國(guó)家反詐中心”,如果受害者在里面輸入銀行卡和密碼,詐騙人員就可在后臺(tái)獲取這些信息。
而“矚目”雖然是普通的視頻會(huì)議軟件,但提供共享屏幕功能。在“劉警官”的要求下,李紅通過(guò)“矚目”,向?qū)Ψ焦蚕砹俗约旱氖謾C(jī)屏幕,令其掌握了她安裝的App種類(lèi)信息,對(duì)方還通過(guò)這項(xiàng)功能遠(yuǎn)程操控她的手機(jī),令她的手機(jī)號(hào)設(shè)置了呼叫轉(zhuǎn)移,無(wú)法接收短信和電話(huà)。
最容易被忽略的是“露臉”。對(duì)方告訴李紅,為了驗(yàn)證她是本人操作,她要通過(guò)“矚目”開(kāi)啟會(huì)議模式,于是李紅的人臉信息輕易暴露在對(duì)方面前。這也成為對(duì)方實(shí)施詐騙的關(guān)鍵一環(huán)。
李紅始終沒(méi)能掛斷電話(huà),“劉警官”故意令她與外界隔絕。下午13:46,按照要求,李紅趕到交通銀行北京長(zhǎng)辛店支行,開(kāi)設(shè)了一張借記卡。銀行開(kāi)卡記錄顯示,李紅預(yù)留了自己的手機(jī)號(hào),并允許借記卡通過(guò)“網(wǎng)上銀行、手機(jī)銀行、自助設(shè)備”三種方式轉(zhuǎn)賬,也允許這張卡進(jìn)行境外取現(xiàn)和消費(fèi),但在其他功能中,她選擇了“小額免密免簽不開(kāi)通”。
這意味著,當(dāng)她進(jìn)行5萬(wàn)元以?xún)?nèi)的轉(zhuǎn)賬時(shí),仍需要驗(yàn)證。此外,李紅還設(shè)置了轉(zhuǎn)賬限額,每日只能累計(jì)轉(zhuǎn)賬5萬(wàn)元。
在辦理借記卡的過(guò)程中,交通銀行向李紅發(fā)放《北京市公安局防范電信詐騙安全提示單》。這份提示單中,載明了業(yè)務(wù)類(lèi)型為“開(kāi)通網(wǎng)銀或手機(jī)銀行”,并提示她可能存在有冒充公檢法的人員,以打電話(huà)的方式告知她涉及案件,要求她向?qū)Ψ教峁┑馁~號(hào)轉(zhuǎn)賬,或是告知網(wǎng)銀密碼。李紅在這份提示單上簽字。
李紅剛剛辦好的借記卡,這張卡就被詐騙人員所掌控了。銀行后臺(tái)顯示,當(dāng)天13:51,即李紅開(kāi)卡15分鐘后,就有詐騙人員通過(guò)人臉識(shí)別驗(yàn)證,重置了李紅的用戶(hù)名和密碼,登錄了她的手機(jī)銀行。但李紅對(duì)此并不知情,她正按照“劉警官”的要求,為了“清查個(gè)人財(cái)產(chǎn)”,向卡轉(zhuǎn)入所有積蓄,以及所有能夠貸款獲得的現(xiàn)金。
交易記錄顯示,14:06至14:09,李紅向這張卡轉(zhuǎn)賬5筆共計(jì)25萬(wàn)元,14:11和14:13,又分兩筆轉(zhuǎn)入5萬(wàn)元,此時(shí)李紅卡內(nèi)已有30萬(wàn)元。短短幾分鐘后,14:20詐騙人員就通過(guò)掌握的李紅的手機(jī)銀行,將這30萬(wàn)元轉(zhuǎn)了出去。此后在14:30,李紅又向卡內(nèi)匯入12.9萬(wàn)元,這些錢(qián)在14:40被悉數(shù)轉(zhuǎn)出。至此詐騙人員轉(zhuǎn)走了李紅42.9萬(wàn)元。
詐騙人員掌握了李紅的“人臉識(shí)別+動(dòng)態(tài)密碼”后,通過(guò)修改密碼,登錄了她的手機(jī)銀行,此后便如入無(wú)人之境,即使李紅設(shè)置了每日5萬(wàn)元轉(zhuǎn)賬限額,也在詐騙人員登錄后被輕易修改,之后每筆大額轉(zhuǎn)賬也都通過(guò)“人臉識(shí)別+動(dòng)態(tài)密碼”驗(yàn)證通過(guò)。
交通銀行北京長(zhǎng)辛店支行在法庭上回應(yīng)稱(chēng),“交易密碼、動(dòng)態(tài)密碼以及輔助人臉識(shí)別的客戶(hù)鑒別模式”符合監(jiān)管要求,并且在李紅轉(zhuǎn)賬過(guò)程中,銀行對(duì)她進(jìn)行了風(fēng)險(xiǎn)提示,包括通過(guò)運(yùn)營(yíng)商向她發(fā)送了短信密碼、短信風(fēng)險(xiǎn)提示,以及在內(nèi)部系統(tǒng)大數(shù)據(jù)分析發(fā)現(xiàn)異常后,撥打了李紅的手機(jī),對(duì)轉(zhuǎn)賬人身份及轉(zhuǎn)賬情況進(jìn)行核實(shí)。
但李紅稱(chēng),對(duì)于銀行所稱(chēng)發(fā)送了22條短信密碼及短信風(fēng)險(xiǎn)提示,她只收到了其中的11條,而銀行的來(lái)電她并未接到。這背后的原因在于她的短信被詐騙人員攔截,電話(huà)也呼叫轉(zhuǎn)移到了詐騙人員的手機(jī)上。
銀行提供的通話(huà)錄音顯示,在當(dāng)天14:23,在詐騙人員正將李紅銀行卡中的30萬(wàn)元轉(zhuǎn)出時(shí),銀行客服撥通李紅預(yù)留的手機(jī)號(hào),詢(xún)問(wèn)對(duì)方是否是李紅本人、轉(zhuǎn)賬是否本人操作、收款人信息、與收款人的關(guān)系、轉(zhuǎn)賬的用途等,接電話(huà)的人均認(rèn)可系本人操作,還稱(chēng)與收款人是朋友關(guān)系。
下午16:00,李紅察覺(jué)到“劉警官”的反常態(tài)度,她在16:39用自己的手機(jī)首次登錄了手機(jī)銀行,卻發(fā)現(xiàn)錢(qián)已被盜刷,她意識(shí)到自己被騙,前往派出所報(bào)警,并聯(lián)系銀行掛失銀行卡。
銀行出具的通話(huà)錄音顯示,當(dāng)天17:08至17:25,銀行三次撥通李紅預(yù)留的手機(jī)號(hào),接電話(huà)的人起先稱(chēng)自己是李紅,認(rèn)可辦理過(guò)業(yè)務(wù),否認(rèn)辦理銀行卡掛失,但后來(lái)否認(rèn)自己是李紅,稱(chēng)客服“打錯(cuò)了”。
銀行后臺(tái)記錄顯示,詐騙人員“假人臉”6次操作,均顯示活檢結(jié)果成功。圖/受訪者提供
蹊蹺的“活檢成功”
民警追查到,2021年6月19日在13:51至14:42之間,李紅手機(jī)銀行登錄者的IP地址在臺(tái)灣,使用的設(shè)備是摩托羅拉XT1686,而當(dāng)時(shí)李紅在北京,她的手機(jī)型號(hào)是小米8。
銀行后臺(tái)記錄顯示,李紅的借記卡在6月19日那天共有7次操作涉及人臉識(shí)別,均顯示識(shí)別成功通過(guò),其中1次為借記卡申請(qǐng),1次為登錄密碼重置,5次為大額轉(zhuǎn)賬,除了第一次不涉及活檢,后6次操作“活檢結(jié)果”均為成功。
李紅并未親自操作,為何6次“活檢結(jié)果”均為成功?李紅的丈夫馬躍(化名)在金融系統(tǒng)工作多年,他成為妻子起訴交通銀行的代理人。他告訴《中國(guó)新聞周刊》,銀行定下的“人臉識(shí)別+短信驗(yàn)證碼”的驗(yàn)證模式,其本質(zhì)目的在于確保由用戶(hù)本人親自操作轉(zhuǎn)賬,他妻子在完全不知情的情況下,被詐騙人員從賬戶(hù)中轉(zhuǎn)走錢(qián),銀行應(yīng)當(dāng)承擔(dān)保管不力的責(zé)任。
“這就好比,本來(lái)約定需要我本人去銀行才可以轉(zhuǎn)賬匯款,現(xiàn)在別人假冒我去銀行,銀行沒(méi)有發(fā)現(xiàn),那么造成的損失不應(yīng)該由我完全承擔(dān)?!彼J(rèn)為,銀行與儲(chǔ)戶(hù)之間的關(guān)系是債權(quán)關(guān)系,銀行受騙,不應(yīng)讓儲(chǔ)戶(hù)承擔(dān)全部責(zé)任。
李紅以“借記卡糾紛”為案由起訴交通銀行后,要求銀行賠償存款損失,但北京市豐臺(tái)區(qū)人民法院一審駁回了她的訴求。
法院認(rèn)為,李紅在42.9萬(wàn)元被盜過(guò)程中“過(guò)錯(cuò)明顯”,交通銀行作為指令付款方,已通過(guò)多個(gè)登錄密碼、驗(yàn)證碼、人臉識(shí)別的合理方式識(shí)別使用人身份,未見(jiàn)存在明顯的錯(cuò)誤或過(guò)失。
馬躍認(rèn)為,李紅在北京剛辦理了借記卡,緊接著IP地址在臺(tái)灣的詐騙人員就能用不同的設(shè)備登錄,并頻繁操作大額轉(zhuǎn)賬,如此異常的操作,銀行本應(yīng)該識(shí)別出轉(zhuǎn)賬的非儲(chǔ)戶(hù)本人。
李紅的遭遇并非孤例。早在2020年10月,浙江的趙女士就遭遇了同樣的騙局,她的經(jīng)歷曾經(jīng)被杭州本地媒體報(bào)道。趙女士講述,在與假冒警察的犯罪分子視頻時(shí),對(duì)方曾要求她做“張嘴”“眨眼”“搖頭”等動(dòng)作,疑似通過(guò)錄像來(lái)騙過(guò)銀行的人臉識(shí)別系統(tǒng)。
聯(lián)系上趙女士之后,馬躍又聯(lián)系到4名同樣的受騙者,他們6人都遭遇了同樣的詐騙套路,涉案金額超過(guò)200萬(wàn)元。
這6名受害者都為女性,受騙時(shí)間最晚的在2021年10月。她們都生活在大都市,具備一定知識(shí)水平,多人具備研究生學(xué)歷,還有人就是律師。
交通銀行的人臉識(shí)別服務(wù)商為北京眼神科技有限公司(下稱(chēng)“眼神科技公司”)。這家公司成立于2016年6月,其創(chuàng)始人、董事長(zhǎng)兼CEO周軍曾公開(kāi)表示,其研究的“生物密碼”,令“用戶(hù)到哪里密碼就跟隨到哪里”“只有本人可用”。
其官網(wǎng)介紹,眼神科技是業(yè)內(nèi)較早將指紋識(shí)別、人臉識(shí)別、虹膜識(shí)別等生物識(shí)別技術(shù)引入金融行業(yè)的AI企業(yè),在金融行業(yè),其目前已服務(wù)于中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)銀行、中國(guó)建設(shè)銀行、交通銀行、郵儲(chǔ)銀行、招商銀行、民生銀行等近150家銀行機(jī)構(gòu),客戶(hù)覆蓋率達(dá)80%,實(shí)現(xiàn)柜面內(nèi)外應(yīng)用、手機(jī)銀行、自助銀行、風(fēng)控管理等金融業(yè)務(wù)場(chǎng)景的全面覆蓋。
2020年9月,眼神科技公司宣布中標(biāo)交通銀行人臉識(shí)別項(xiàng)目,向交通銀行全行提供人臉識(shí)別產(chǎn)品,“在現(xiàn)金管理、支付結(jié)算及賬戶(hù)管理等業(yè)務(wù)場(chǎng)景中實(shí)現(xiàn)人臉活檢及身份識(shí)別功能”。
在2021年9月,李紅和其他女性被詐騙報(bào)案后,交通銀行曾公告停用過(guò)人臉識(shí)別。這不久,馬躍就發(fā)現(xiàn)交通銀行手機(jī)銀行系統(tǒng)進(jìn)行了改版升級(jí)。但在這年10月,仍有一名受害人的交通銀行賬戶(hù)被假人臉攻破。
目前,在交通銀行手機(jī)銀行用戶(hù)協(xié)議中,人臉識(shí)別技術(shù)提供方仍是眼神科技公司,記者就此事聯(lián)系了這家公司,但對(duì)方未給予答復(fù)。
板子該打在誰(shuí)身上?
人臉識(shí)別系統(tǒng)被攻破,銀行究竟有沒(méi)有責(zé)任?浙江理工大學(xué)法政學(xué)院副教授郭兵告訴《中國(guó)新聞周刊》,在李紅一案中,重點(diǎn)正是人臉識(shí)別系統(tǒng)被詐騙人員輕易攻破。
郭兵長(zhǎng)期關(guān)注人臉識(shí)別的安全性。他認(rèn)為,李紅的人臉信息有可能被詐騙人員仿造了,“詐騙人員掌握了她的人臉信息,通過(guò)技術(shù)手段可以生成動(dòng)態(tài)的人臉信息”。他說(shuō),有一種人臉活化軟件,可分析照片和視頻中的人臉信息,生成一張可供人操控的“假人臉”,來(lái)騙過(guò)人臉識(shí)別軟件。
“我們的人臉識(shí)別技術(shù)不可能盡善盡美?!彼岢觯S著人工智能的發(fā)展,人臉識(shí)別軟件和破解的活化軟件都在發(fā)展,要謹(jǐn)防“道高一尺魔高一丈”。
事實(shí)上,被廣泛應(yīng)用的人臉識(shí)別技術(shù),其破解難度有時(shí)簡(jiǎn)單得出乎意料。郭兵說(shuō),2019年,浙江有幾名小學(xué)生用照片破解了居民小區(qū)的快遞柜,輕易取走他人的快遞。而在2021年10月,清華大學(xué)的學(xué)生團(tuán)隊(duì),僅用人臉照片就成功解鎖了20款手機(jī)。
“人臉的照片太容易獲得了?!惫f(shuō),如果人臉識(shí)別系統(tǒng)用照片就能解鎖,在遍布攝像頭的當(dāng)下,可能預(yù)示著巨大的隱患。
“現(xiàn)在電信詐騙非常猖獗,盜用人臉信息的手段層出不窮,也給銀行的人臉識(shí)別系統(tǒng)帶來(lái)挑戰(zhàn)?!惫f(shuō),近期學(xué)界也對(duì)活化軟件展開(kāi)了研究,“這都是釜底抽薪的手段”。
他更擔(dān)心的是,隨著技術(shù)的發(fā)展,犯罪分子可能掌握了照片,就可“活化”出動(dòng)態(tài)人臉,騙過(guò)人臉識(shí)別系統(tǒng)。
銀行的防護(hù)能力關(guān)系到儲(chǔ)戶(hù)的資金安全。郭兵認(rèn)為,應(yīng)當(dāng)對(duì)銀行的人臉識(shí)別系統(tǒng)提出更高的要求。
在立法層面上,對(duì)人臉信息的保護(hù)正在逐步加強(qiáng)。在李紅被詐騙幾個(gè)月后,《個(gè)人信息保護(hù)法》正式生效,其中突出了作為敏感個(gè)人信息的生物識(shí)別信息的特別保護(hù),規(guī)定“處理個(gè)人敏感信息應(yīng)該進(jìn)行更多的告知,包括相應(yīng)的風(fēng)險(xiǎn),以及應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意”。
在清華大學(xué)法學(xué)院教授勞東燕看來(lái),銀行普遍存在變相強(qiáng)迫采集儲(chǔ)戶(hù)人臉信息的現(xiàn)象。她說(shuō),“至少就我個(gè)人的體會(huì),去銀行辦理存款等業(yè)務(wù),人臉識(shí)別都是在強(qiáng)制之下弄的,如果不同意采集人臉就辦不了相應(yīng)業(yè)務(wù)?!?/p>
她告訴《中國(guó)新聞周刊》,盡管《個(gè)人信息保護(hù)法》強(qiáng)化了對(duì)人臉信息的保護(hù),但這種強(qiáng)化其實(shí)只體現(xiàn)于征求同意的環(huán)節(jié),其他地方和普通個(gè)人信息幾乎沒(méi)有差別,并沒(méi)有在實(shí)質(zhì)上抬高法律保護(hù)的門(mén)檻。
所以,她堅(jiān)持認(rèn)為,全國(guó)人大及其常委會(huì)有必要考慮對(duì)生物識(shí)別信息進(jìn)行單獨(dú)立法,不應(yīng)放在《個(gè)人信息保護(hù)法》的框架下來(lái)進(jìn)行保護(hù)。
她還提到,李紅在銀行辦卡時(shí)被要求簽署的《北京市公安局防范電信詐騙安全提示單》提示效果有限,“現(xiàn)在詐騙手段層出不窮,僅靠個(gè)人的警惕是很難防住的”。
在她看來(lái),這個(gè)提示單對(duì)防范各種詐騙無(wú)法起到實(shí)質(zhì)性作用,當(dāng)儲(chǔ)戶(hù)被詐騙后,反而有可能起到讓銀行轉(zhuǎn)嫁責(zé)任的效果。
“防范和打擊犯罪,本應(yīng)由國(guó)家、銀行與相關(guān)單位承擔(dān)主要責(zé)任,現(xiàn)在越來(lái)越多變相地轉(zhuǎn)嫁到作為被害人的個(gè)人身上?!彼赋觯斑^(guò)多地讓弱者承擔(dān)風(fēng)險(xiǎn)并不公平”。
勞東燕認(rèn)為,要防范此類(lèi)詐騙犯罪,重要的是在制度框架層面重新來(lái)考慮合理分配風(fēng)險(xiǎn)的問(wèn)題。她說(shuō),“風(fēng)險(xiǎn)跟責(zé)任有關(guān),誰(shuí)制造的風(fēng)險(xiǎn)原則上就應(yīng)當(dāng)由誰(shuí)來(lái)承擔(dān)。”
她指出,人臉識(shí)別的推廣和帶來(lái)的風(fēng)險(xiǎn),實(shí)際上是科技企業(yè)和銀行制造的,在這其中,銀行也比儲(chǔ)戶(hù)獲得了更多科技帶來(lái)的好處,“誰(shuí)在其中獲益最大,誰(shuí)就應(yīng)該承擔(dān)與獲益成比例的風(fēng)險(xiǎn)”。
“另外,還應(yīng)當(dāng)考慮預(yù)防能力與預(yù)防效果方面的因素,將板子打在誰(shuí)身上,預(yù)防效果是最好的呢?”在她看來(lái),銀行的預(yù)防能力比儲(chǔ)戶(hù)要強(qiáng)得多,如果由銀行部分地或按比例地承擔(dān)因人臉識(shí)別風(fēng)險(xiǎn)造成的損失,將有助于督促銀行審慎采集與保護(hù)儲(chǔ)戶(hù)信息,加強(qiáng)人臉識(shí)別系統(tǒng)的安全技術(shù)保障。
“銀行對(duì)人臉信息的技術(shù)保障需要超過(guò)一般的犯罪手段,否則,銀行就不應(yīng)采集與使用儲(chǔ)戶(hù)的人臉信息?!彼f(shuō)。