银行人脸识别被攻破?存款还安全吗？

银行人脸识别被攻破

相较于手动输入繁琐密码和抬头面向摄像头刷下人脸，你更倾向于哪一项？近两日，持续刷屏的“银行人脸识别系统被攻破”消息备受关注，让不少消费者都慌了神。除了涉案金额之大、操作手法翻新外，......接下来具体说说存款还安全吗

你的脸真的安全？银行人脸识别系统被攻破，用户被盗近43万

人脸识别技术早已走进千家万户，手机解锁、银行支付、应用确认、小区门禁等等场景下，人脸识别大大便利了人们的生活！但是，你的脸真的安全吗？

北京的李女士就遭遇了电信诈骗，骗子获取其面容信息后，不到一小时疯狂盗刷43万。这是怎么回事呢，让我们一起来看看吧。

案情 摘要

2021年6月19日上午，身在北京的李女士接到一通自称是“北京市公安局户政科陈杰警官”打来的电话，称其护照在哈尔滨涉嫌非法入境，需要李女士向哈尔滨市公安局报案，并准确说出了李女士的身份证号。

之后该“警官”为她转接了“哈尔滨市公安局”，并引导李女士登录一个网站查看“公文”。李女士发现自己的身份证照片、身份证号等户籍信息赫然出现在一张蓝底通缉公告上。这使李女士陷入了恐慌，出于对公安人员的信任，李女士按照要求下载了“公安防护”以及“瞩目”两款APP。通过“瞩目”，李女士将自己的手机屏幕共享给了“陈警官”，并在对方的要求下暴露了自己的人脸信息。

随后，李女士被要求去指定的交通银行办理一张新的信用卡，把自己的银行存款全部转入以核实个人资产，还要求她将所有能贷款的信用额度贷满，但李女士并未照做。银行开卡记录显示，李女士预留了自己的手机号，并允许借记卡通过“网上银行、手机银行、自助设备”三种方式转账，也允许这张卡进行境外取现和消费。

李女士刚刚办好借记卡，这张卡就被诈骗人员所掌控了。交易记录显示，14：06至14：13，李女士向这张卡转账7笔共计30万元。短短几分钟后，诈骗人员通过手机银行，将30万元转出。此后李女士又向卡内汇入12.9万元，这些钱同样被悉数转出。至此诈骗人员转走了李女士42.9万元。

当天下午四时许，李女士察觉到“刘警官”的反常态度，用自己的手机首次登录了手机银行，才发现钱已被盗刷，自己遭遇了诈骗。李女士迅速前往派出所报警，并联系银行挂失银行卡。

警方通过调查，发现诈骗人员掌握了李女士的人脸信息后，远程操控了李女士的手机，将她的手机号设置了呼叫转移，令其无法接收短信和电话。随后，通过修改密码，登录了她的手机银行，此后便如入无人之境，多次通过“人脸识别+动态密码”验证通过进行大额转账。交通银行系统后台显示，在进行密码重置和大额转账时，“李红”进行了6次人脸识别比对，均显示“活检成功”。

李女士的丈夫在金融系统工作多年，他认为，李女士在北京刚办理了借记卡，诈骗人员就能用不同的设备登录，并频繁操作大额转账，如此异常的操作，银行本应该识别出转账的非储户本人。为此，李女士起诉了涉事银行。

2022年6月30日，北京市丰台区人民**一审驳回了李红的诉求。**认为，李女士在42.9万元被盗过程中“过错明显”，交通银行作为指令付款方，已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份，未见存在明显的错误或过失。

知法君 说法

尽管银行在开卡前按照《个人信息保**》的规定出具的提示单，进行风险提示。但仅仅提示风险是远远不够的。作为对储户存款负有安保义务的一方，银行的人脸系统竟能被冒充储户者顺利通过，这是一个极其危险的信号。不少金融机构采用的都是二维识别人脸技术系统，平面图像对人脸特征的要求并不是很高，若犯罪分子掌握人脸活化技术，则通过一张照片就有可能骗过人脸识别软件。若是“人脸识别”技术 确 被攻破，那么受害者的规模将更加庞大。银行方面需要不断提高其系统技术的安全性。

《中华人民**国个人信息保**》

第十七条 个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知靠前款规定事项的，处理规则应当公开，并且便于查阅和保存。

第二十九条　处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

第三十条　个人信息处理者处理敏感个人信息的，除本法第十七条靠前款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

随着《中华人民**国个人信息保**》的颁布与实施，此时正是规范和整顿人脸识别技术的好时机。此次银行人脸识别系统被攻破正是一道警钟，提醒我们还需下更大力气加强技术措施，保护公民信息，筑起一道牢固的防火墙。

李女士的经历是一个惨痛教训。银行等外部防护措施固然重要，但更重要的是我们要从源头防止类似事件，加强对信息的辨识和审核，涉及到钱财、转账事宜，一定要慎重再慎重。保护好自己的信息安全也是保护好自己的血汗钱！

银行人脸识别系统被攻破，盗刷43万元。法庭：银行无责

本来是一个很多人都遇到或听说过的骗局，受害者却被骗了43万元。相信大多数人都接听过冒充警察的骗子们的电话:你犯事了，需要拿钱来摆平。接下来，按照骗子设计的剧本，受害者的款项会一笔一笔的打到骗子指定的账号，然后被毫不留情的转走。按说，现在的人们，大多数已经被骗子们培训得够聪明了。但仍然有为数不少的傻子，心甘情愿的给骗子打款，之后再痛哭流涕。记得有个骗子仰天长叹:社会上傻子太多，骗子都不够用啦！

这位受害者按照骗子的指示，从网站下载了“公安防护”软件和视频会议软件“瞩目”。

“公安防护”是一款诈骗人员常用的“李鬼”手机软件，其设计模仿“国家反诈中心”，如果受害者在里面输入银行卡和密码，诈骗人员就可在后台获取这些信息。

这个“瞩目”App虽然是普通的视频会议软件，却可以提供共享屏幕功能。在骗子警官的要求下，受害者通过“瞩目”App，向对方共享了自己的手机屏幕，对方能通过这项功能远程操控她的手机，在她的手机中设置了呼叫转移，无法接收短信和电话。

然后就是刷脸操作，骗子要求受害者开启会议模式，以此获取受害者的人脸信息。至此，骗子获取了受害者全部信息。

最后就是转账了，骗子登录受害者的手机银行，正确输入密码，然后拦截银行短信和电话，进行活体验证后，取走受害者全部存款。

受害者认为，骗子虽然可恶，银行也难辞其咎。当骗子进行活体验证的时候，银行没有正确识别，应当承担责任。于是，她将涉事银行告上法庭。**认为，受害者在42.9万元被盗过程中“过错明显”，而银行作为指令付款方，已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份，未见存在明显的错误或过失。

这名受害者又联系了其他几名受害者。这6人都是女性，她们都生活在大都市，具备一定知识水平，多人具备研究生学历，还有人就是律师。

据说，有一种人脸活化软件，可分析照片和视频中的人脸信息，生成一张可供人操控的“假人脸”，来骗过人脸识别软件。

真的是道高一尺魔高一丈啊！

储户200万被盗要追责，都是人脸识别惹的祸？还有这些你要知道

相较于手动输入繁琐密码和抬头面向摄像头刷下人脸，你更倾向于哪一项？

近两日，持续刷屏的“银行人脸识别系统被攻破”消息备受关注，让不少消费者都慌了神。

除了涉案金额之大、操作手法翻新外，更让消费者紧张的是，大家频繁使用的人脸识别，到底还安不安全？为何不是本人操作还能活检成功？人脸识别究竟还有哪些隐藏风险？后续又该如何防范？

谁的责任

根据消息，某大行一位储户陷入诈骗分子圈套，导致银行卡和密码等信息被获取、手机短信被拦截，此后又登录了对方的视频会议软件，在屏幕共享的方式下被对方“盗脸”，最终，该储户被诈骗分子悉数转走了42.9万元。

这一事件主要存在多个争议。一是犯罪分子的IP地址为中国台*，受害者本人并未离京，其中远在台*的犯罪分子转账使用了短信+人脸识别的方式，且6次通过人脸识别，但银行却一次都没识别出来为假人脸，其中是何原因？银行是否有其过失？

另外该案件也牵出了一家为银行提供人脸识别服务的科技公司北京眼神科技有限公司（以下简称“眼神科技”），该公司业务覆盖银行内部风控、授权管理、智慧网点、网络金融等，服务了包括六家国有银行在内的近150家银行机构，客户覆盖率高达80%。虽然类似风险事件为偶发性案例，但也让不少消费者担心，背后科技公司产品技术是否过关？与其合作的其他银行人脸识别系统是否安全？

针对此次事件与后续应对方案，北京商报记者向相关银行与眼神科技求证采访，后者表示不便回应。

不过，有银行工作人员向北京商报记者提醒，要避免类似风险事件，自身不要登录第三方风险网站，也不要随意点击不明链接，切记不能将密码外露给他人，保护好个人信息。

另外，一位与多家银行合作刷脸认证的科技公司人员告诉北京商报记者，从技术的角度来看，没有完全安全的系统，人脸识别系统被攻破，也说明了道高一尺魔高一丈。

在他看来，对于本次事件涉及的科技公司，最直接的责任就是提供的产品有一个简单而致命的问题，就是在产品交付的时候没有提前发现，而银行负责验收的部门也没有发现。另外也有储户自身问题，就是警觉性不高，防诈意识不强。

此事也反映了目前银行在技术安全存在方面的多个痛点。前述科技公司人员坦言，目前大多银行没有属于自己的核心技术公司，大多以外包服务的形式获得支持，但这一过程中，一旦出现技术问题，银行与第三方公司的责任如何厘清？另外，由于并不是银行自身进行人脸识别，第三方公司在设计这种人脸识别系统时，是否又会存在考虑不全等问题？多个问题仍待商榷。

北京市中闻律师事务所律师李亚同样指出，这个事件说明人脸识别技术应用在金融领域尚存在一定的风险。“从科技公司的角度来说，如果并非单纯的技术原因导致人脸识别系统出现问题，则不用承担责任；但银行作为使用该技术手段的一方，其安全体系设计有漏洞，对于造成的储户损失，我认为是不能免责的，不能将责任完全推给储户自身。”李亚称。

南开大学金融学院博士、金融科技专业人士李姿璇则认为，此事件中，生物识别技术公司会以签署战略合作协议的形式为银行提供技术支持，如果出现识别系统被攻破的问题，银行或应直接对储户负责，科技公司则依协议对银行负责。

风险在哪

虽然这些案例几乎都被定性为电信诈骗，但从大众反映来看，更关切的是背后的人脸识别风险。

如今，数字经济时代的到来使人们存取和支付的方式由线下转到了线上，相应地，不法分子盗取财产的方式也从偷窃抢劫转为了诈骗和程序绿色。

前述与多家银行合作刷脸认证的科技公司人员告诉北京商报记者，人脸识别和线上交易大大提高了效率，但也肯定存在一定风险，这种效率的提高对银行和用户来说都有所受益。但对于隐藏风险，银行是否应提前告知客户？

对此，7月19日，北京商报记者亲测了多家银行的人脸识别操作，开启该功能一般都需要勾选人脸授权或在安全中心开启面容ID认证，为保证安全，在开启面容ID转账、支付等功能时，银行也会通过支付密码、手机验证码等多个方式辅助验证，验证通过后，后续用户在登录App、进行支付时，部分银行一般会优先采用人脸识别的方式。

另外，北京商报记者在银行人脸信息验证授权协议中也发现，鲜少有机构披露背后技术服务公司，不过协议中对相关风险有提到，“由于技术水平限制及可能存在的各种恶意手段，银行在使用人脸信息识别功能时，有可能因可控范围外的因素而出现问题，例如计算机黑客袭击、系统故障、电脑病毒、恶意程序攻击等而导致用户无法正常使用人脸信息验证服务或造成其他损失的，银行不承担责任。”

李姿璇告诉北京商报记者，人脸识别存在的风险主要可以分为权限风险和技术风险。权限风险是指商家或个人通过非法采集掌握了相关数据，要规避这一风险必须在法制层面进行加强，而技术风险则是指通过对抗技术攻破了识别系统。

对此她也补充，“任何技术的进步都伴随着其对抗绿色技术的发展，我们不能因风险的存在就否定生物识别技术的便捷性。虽然技术风险很难避免，但科技公司或许可以利用对抗技术的延迟性，通过加快技术改进的速度来有效缓解” 。

如何防范

此次风险事件，也暴露了金融机构和技术公司的人脸识别技术水平有待提升。

浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林介绍，当前各家生物识别技术公司都是以技术支持、技术外包的方式和银行展开合作，生物识别技术公司提供技术，银行提供平台接口。

这样的合作模式下，后续针对此类风险事件又该如何防范？

在盘和林看来，一方面，部分人脸识别企业的人脸识别技术还需要进一步完善，需要通过机器学习来增强人脸识别的识别率。另一方面，金融机构也要对特殊情况作出细致的安全考虑和预防，不能单独依赖人脸识别，还可以配合其他生物识别技术，例如声纹识别、指纹识别等。

李姿璇认为，银行有责任实时监控风险，保障储户资金安全；银行储户也要有风险防范意识，一方面保护自己的识别信息和密码不泄露，另一方面可以将存款放置在不同银行的不同账户，分散风险。

李亚则指出，建议技术服务方不断完善技术措施和水平。在相关技术水平未达到时，银行作为使用方，有责任采纳更成熟的技术，或提供更多的检验或确认身份的方案来确保交易的安全。对于用户，需要谨慎对待个人敏感信息，不在任何非官方和正规渠道输入或保存个人敏感信息。

“人脸识别实际上可以归位支付介质中生物识别方式的一种，优点在于加速了科技的应用，提升了便利程度，也是支付介质未来发展方向，但同时也会衍生个人隐私保护、应用安全以及数据安全等问题。” 博通咨询金融业资深分析师王蓬博认为，在遵守现有法律法规基础上，后续对于人脸识别应用要更加慎重地考虑个人隐私保护，应用上也要尊重个人意愿，在支付验证时可增加验证维度和验证方式，在便利性和安全性上找到一个更好的平衡点。

以上就是银行人脸识别被攻破?存款还安全吗？的详细内容，希望通过阅读小编的文章之后能够有所收获！