交行人臉識別被破解，儲戶超百萬存款被盜刷

交行人臉識別被破解，儲戶超百萬存款被盜刷，據警方向銀行調取的內容顯示，犯罪分子的IP地址爲中國臺灣，轉賬使用了短信+人臉識別的方式。交行人臉識別被破解，儲戶超百萬存款被盜刷。

交行人臉識別被破解，儲戶超百萬存款被盜刷1

自人臉識別商業化以來，其安全風險問題也常被質疑。

近日，有媒體報道，交通銀行的人臉識別系統已被6名用戶起訴，因人臉識別漏洞，用戶被盜刷存款已超百萬元。

其中一位用戶馬某，其妻子將50萬元存進剛開的交通銀行卡中，時隔不久，賬戶中的資金就消失了。

據警方向銀行調取的內容顯示，犯罪分子的IP地址爲中國臺灣，轉賬是使用了短信+人臉識別的方式。從馬某提供的法院判決書顯示，交通銀行對於用戶本人當天並未離京的信息也予以承認。值得注意的是，遠在臺灣的犯罪分子，卻7次通過了交通銀行的人臉識別，6次通過活檢。

用戶馬某表示，6次人臉識別，交行一次都沒識別出來犯罪分子使用的是假人臉。馬某因被盜刷問題以多次將交行上訴至法庭，但是法院的判決書卻認爲交行並未存在明顯的過錯和過失。並因此駁回了馬某的全部訴求。

據馬某介紹，2021年7月，同在北京的安女士和夏女士也遭了“黑手”，9月，海女士被盜刷，10月，柳女士被盜刷，最早的一位受害者是趙女士，2020年10月被盜刷，趙女士表示，“交通銀行存在支付安全漏洞，沒有辦法識別出是否是真的人臉。”

據瞭解，爲交行提供人臉識別服務的公司，叫做眼神科技，是一家成立於2016年6月的生物識別企業。

資料顯示，北京眼神科技有限公司專注於深度學習技術，以大數據爲依託，以生物識別爲切入點，致力於解決人工智能領域中的人機交互問題，公司在中國瀋陽、北京、深圳、濟南和長春成立有生物識別研發中心，爲客戶提供生物識別算法、產品設備、解決方案。

眼神擁有人臉認證、語音識別、虹膜定位等自主知識產權生物識別技術，並且具備從底層算法，到管理平臺、應用軟件、智能終端設備、場景落地的全產業鏈服務能力。

眼神科技負責人表示，公司服務包括工、農、中、建、交、郵儲六大國有銀行和多家股份制銀行在內的一百多家銀行十餘年，專注於生物識別技術研發、應用和服務，在行業內深耕二十餘年，擁有人臉、指紋、虹膜、指靜脈等多種自主知識產權算法。

該負責人透露，公司人臉識別技術和產品通過了公安部、銀行卡檢測中心、信通院等權威機構檢測認證；使用過程符合監管機構管理要求；通過銀行客戶技術測試和公開招標入圍，合法合規。

根據交行的規定，登錄手機銀行需要手機驗證碼+人臉識別雙重驗證，根據交通銀行客服的說法，“馬躍”使用了人臉識別重置了密碼。

簡單概括就是，犯罪分子攔截了短信驗證碼，通過短信+假人臉識別完成了密碼重置、限額調整、大額轉賬。

自被盜刷以來，馬躍等多次上訴至法庭，但對其提出的“誰通過了人臉識別”這一問題，沒有具體定性。

7月5日，馬躍表示，6月30日他的申請已被法院駁回，法院判定，交通銀行未見存在明顯的過錯和過失。但他認爲，法院迴避了交通銀行人臉識別漏洞問題，表示會堅持上訴。

清華大學公共管理學院副教授賈西津認爲，銀行系統不能識別真實的臉和假的面孔，那就屬於系統漏洞，剩餘責任肯定是在銀行，不能把責任都推給客戶。用戶如果存在信息泄露的話有一定過錯，但銀行肯定不是無責的。

截至目前，交通銀行對此事暫無迴應。其技術提供方眼神科技回覆稱，作爲交通銀行的人臉識別算法和技術服務提供商之一，未收到交通銀行相關反饋。

交行人臉識別被破解，儲戶超百萬存款被盜刷2

據鳳凰網科技報道，交通銀行的人臉識別系統已被6名用戶起訴，因人臉識別漏洞，用戶被盜刷存款已超百萬元，

其中一位用戶馬某，其妻子將50萬元存進剛開的交通銀行卡中，時隔不久，賬戶中的資金就消失了。

據警方向銀行調取的內容顯示，犯罪分子的IP地址爲中國臺灣，轉賬使用了短信+人臉識別的方式。馬某提供的'法院判決書顯示，交通銀行對於用戶本人當天並未離京的信息也予以承認。但值得注意的是，遠在臺灣的犯罪分子，卻7次通過了交通銀行的人臉識別，6次通過活檢。

用戶馬某表示，6次人臉識別，交行一次都沒識別出來犯罪分子使用的是假人臉。

馬某因被盜刷問題以多次將交行訴至法庭，但是法院的判決書卻認爲交行並未存在明顯的過錯和過失。並因此駁回了馬某的全部訴求。

馬某表示，他並非個案。在被盜刷一年不到的時間裏，就有5位用戶同樣因交行人臉識別漏洞被盜刷，盜刷時間幾乎都集中在2020年10月至2021年10月。

交行人臉識別被破解，儲戶超百萬存款被盜刷3

據媒體報道，某大型行的人臉識別系統存在漏洞，造成6名儲戶百萬元現金被異地盜取。受害人表示，遠在異地的犯罪分子，7次通過了銀行的人臉識別，6次通過活檢，一次都沒識別出來犯罪分子使用的是假人臉。

法院判定，銀行未見存在明顯的過錯和過失。受害儲戶認爲，法院迴避了銀行人臉識別漏洞問題，表示會堅持上訴。

頂象業務安全專家表示，表面上看，這是人臉識別系統的問題，但是背後還有登錄賬戶陌生設備未快速預警、異地轉賬消費未有效校驗等安全問題。“人臉識別不夠精準，設備指紋響應不及時，銀行風控體系存在BUG”。

他建議，銀行需要加強人臉識別技術的精準度、預警性和安全性，“從源頭到應用，提供全鏈條的識別、預警、防護，提升人臉識別的安全性。”

銀行業務中的人臉識別技術存在哪些風險?

人臉具有唯一性、難以複製性，是人最常見的生物識別特徵，在採集和使用上具有非接觸性、非強制性、多併發性、隱藏性和簡單易用性等特點，基於人臉的識別技術被廣泛運用於金融領域，主要作用是實現在線身份認證，已成爲登錄、確認、申請、修改等業務環節中重要的驗證技術。

由於人臉識別技術運用主體的技術條件和管理水平良莠不齊，不法分子通過各類工具繞過、干擾、攻擊人臉識別系統和算法，進而實施冒用登錄、非法轉賬/消費、騙取貸款、盜取銀行資金等攻擊，給用戶和銀行帶來經濟損失。

2017年“3·15”晚會上，主持人在技術人員支持下，僅憑觀衆自拍照就現場“換臉”破解了某“刷臉登錄”認證系統。清華大學研究人員也曾做過一個研究，使用網上下載的照片，通過人臉識別的方式，15分鐘內解鎖了19臺智能手機。

綜合來看，銀行業務的人臉識別技術存在如下三類風險。

第一，人臉識別被繞過風險。戴上眼鏡、帽子、面具等僞裝手段，或者可以製作人皮高仿模型、將2D人臉照片3D建模、利用AI技術將靜態照片變成動態照片等多種技術均，混淆算法判斷，騙過有效性不高的人臉識別算法和活體監測算法。

第二類，人臉信息被盜取冒用風險。通過各類公開或非法手段，收集、保存、盜取正常的人臉數據，然後通過各種方式進行非法冒用。

第三類，人臉識別系統遭劫持篡改風險。遠程入侵篡改人臉識別系統驗證流程、信息、數據等，將後臺或前端的真數據替換爲假數據，以實現虛假人臉信息的通過。

人臉識別爲什麼會有風險?

據頂象與中國信通院聯合發佈的《業務安全白皮書—數字業務風險與安全》顯示，數字化業務中隱匿着大量安全隱患：在電商、支付、信貸、賬戶、交互、交易等形態的業務場景中，存在着各類等欺詐行爲，這些欺詐行爲日益專業化、產業化，且具有團伙性、複雜性、隱蔽性和傳染性等特點。

以大規模牟利爲目的網絡黑灰產，熟悉業務流程以及防護邏輯，能夠熟練運用自動化、智能化的新興技術，不斷開發和優化各類攻擊工具。此前有媒體報道，大量社羣和境外網站進行真人人臉識別視頻的販賣。“價高質優”的驗證視頻百元一套，動態軟件將人臉照片製作成“動態視頻”只要幾元，以完成各類線上業務人臉識別的驗證。

某銀行儲戶資金被盜取不是個案，近兩年來金融領域多次發生過通過人臉識別漏洞盜取錢財的案件。2020年10月，四川警方查處一個上百人的詐騙團伙。該團伙購買大量人臉視頻，藉助“殭屍企業”“空殼公司”，爲6000多人人包裝公積金信息，然後向多家銀行申請公積金貸款，最終帶來10億多元的壞賬。

2021年，廣州互聯網法院通報了一起因爲“刷臉”引發的借款糾紛。客戶在遺失了身份證後，卻被人冒用身份通過銀行的“人臉識別”貸款。最終經司法筆跡鑑定，認爲案涉客戶簽名並非本人簽署，手機號碼亦未曾登記在客戶名下，由此駁回銀行上訴。