近年來，人臉識別、指紋識別等身份驗證技術(shù)已成為手機銀行的“標配”，在幫助用戶提高效率的同時，也衍生了一些弊端。近期，有用戶發(fā)現(xiàn)，在光大銀行手機端轉(zhuǎn)賬時所驗證的指紋，并非是本人在銀行錄入的指紋，而是手機內(nèi)存儲的指紋。基于這個發(fā)現(xiàn)，該名用戶對“指紋識別”擁有的高權(quán)限產(chǎn)生了質(zhì)疑。

一名用戶將自己的86萬元積蓄存入了光大銀行。但這些存款在短短的8天時間內(nèi)，就被洗劫一空。

“在沒有交易密碼，沒有短信驗證碼的情況下，存款是如何被盜走的？”起初，該名用戶百思不得其解。直到她的家人查詢了登錄設(shè)備，發(fā)現(xiàn)盜刷者是通過指紋登錄了手機銀行賬戶，又以指紋支付的方式，將存款盜刷。

【資料圖】

隨后，她的家人按照光大銀行指紋識別的流程測試了轉(zhuǎn)賬系統(tǒng)，并對系統(tǒng)的安全性產(chǎn)生了質(zhì)疑——轉(zhuǎn)賬過程中驗證的指紋并非是銀行卡卡主的指紋，而是盜刷者的指紋。

近年來，隨著大數(shù)據(jù)、云計算、人工智能技術(shù)的發(fā)展，生物識別（人臉識別、指紋識別）應(yīng)用已成為手機銀行的“標配”。但它們在為用戶提供高效便捷服務(wù)的同時，也給一些別有用心的人提供了可乘之機。

86萬存款被盜刷背后

2021年8月，年過六旬的文惠在光大銀行柜臺辦理了一張儲蓄卡。開通手機銀行功能后，存入了10萬元錢。然而讓她始料未及的是，這筆錢只在她的賬戶短暫停留了一瞬，就“失蹤”了。

文惠對存款被盜一事毫不知情。在后續(xù)的一周里，老人陸續(xù)向該卡內(nèi)轉(zhuǎn)入3筆存款，最多的一筆為38萬元。這三筆存款也沒能逃過被盜刷的命運，存入后立刻被洗劫一空。

算上最開始的10萬元，文惠將自己的86萬存款全部轉(zhuǎn)入了該賬戶中。但由于老人的日常支出較少，取款的機會也是少之又少，直到2021年8月12日，文惠需要一筆錢急用，連續(xù)幾次交易失敗后這才發(fā)現(xiàn)賬戶異常。

（8月3日-8月10日銀行賬戶交易流水，來源：用戶提供）

文惠的家人立刻報警，聯(lián)系銀行凍結(jié)賬戶。但為時已晚，在8月3日-8月10日之間，存款已被盜刷。對此，文惠及家人無法理解——明明轉(zhuǎn)賬限額只有5萬元，在沒有收到短信驗證碼驗證的情況下，盜刷者是如何在短時間內(nèi)盜走了大額存款？

林浩（文惠家人）查詢了該賬戶的近期登錄設(shè)備，記錄顯示盜刷者在一臺OPPO手機上通過指紋登錄了銀行賬戶，隨后又以指紋支付的方式完成了多筆大額轉(zhuǎn)賬。

（來源：用戶提供）

正常情況下，在光大銀行手機端進行轉(zhuǎn)賬時需要交易密碼和短信驗證碼進行雙重驗證。如果開通了指紋支付，僅需要交易密碼和指紋就可以完成交易，同時還可以將轉(zhuǎn)賬限額修改為50萬元。

為了進一步了解情況，林浩對光大銀行的轉(zhuǎn)賬系統(tǒng)進行了測試，同時用視頻記錄了測試的全過程：首先在他的手機設(shè)備上登錄文惠的銀行賬戶，輸入交易密碼后到了驗證指紋的環(huán)節(jié)。戲劇性的一幕出現(xiàn)了——林浩用自己的指紋，將文惠賬戶的存款成功轉(zhuǎn)出。

這個發(fā)現(xiàn)讓文惠一家極為震驚：如果盜刷者掌握了對方的交易密碼，就可以在他的手機設(shè)備上使用自己的指紋，將其它用戶的存款盜走。

與此同時，在林浩提供的一份與光大銀行客服對話錄音顯示，用戶開通指紋支付后，交易時驗證比對的指紋是手機機主的指紋，并非是卡主的指紋。

“在銀行網(wǎng)點開卡時中有錄入指紋的環(huán)節(jié)，但在手機端登錄和轉(zhuǎn)賬時查驗的指紋卻來自手機系統(tǒng)，并非是銀行系統(tǒng)。”林浩認為，光大銀行轉(zhuǎn)賬系統(tǒng)存在漏洞，在進行指紋認證程序時，銀行沒有盡到自己的責任，而是將核實指紋真?zhèn)蔚臋?quán)力交到了手機廠商的手中。

至于交易密碼的泄露過程——林浩推測，老人手機上的軟件數(shù)量較少，而且習慣用同一個密碼。有可能是盜刷者通過黑客手段碰撞其他軟件，破解了她的銀行卡交易密碼。

在裁判文書網(wǎng)中，確有類似案件的判決記錄：有犯罪嫌疑人非法購買公民個人信息，以黑客手段對受害者的信息進行碰撞，最終破解了受害人的賬號和密碼。在該案件中，光大銀行因沒能保障客戶存取款交易安全不受非法侵害，被判全責。

（來源：中國裁判文書網(wǎng)）

對此，文惠家人認為：“在銀行存款被盜取前，老人并未進行網(wǎng)銀操作，甚至手機、銀行卡、身份證均未離身，因此光大銀行同樣沒能盡到保護用戶銀行卡信息安全的義務(wù)。”

截至目前，距離存款被盜刷已有一年多時間。關(guān)于案件的進展情況，國家信訪局的告知信息中顯示：經(jīng)過大數(shù)據(jù)查詢，錢款已被轉(zhuǎn)往國外賬戶。目前尚無法確定嫌疑人身份，大概率是在緬甸附近。

“這筆錢是文惠和她母親一輩子的積蓄，以后是要留給小孩的。”林浩表示：“對于這樣的結(jié)果，我們也很難以接受。”

生物識別安全幾何？

重新梳理文惠存款被盜刷的過程后，市界發(fā)現(xiàn)：在光大銀行手機端首次登錄時，需要手機號碼、登錄密碼以及短信驗證碼； 開通指紋登錄功能后，則省去了登錄密碼和驗證碼的環(huán)節(jié)，可以通過指紋直接登錄賬戶。

然而在開通指紋支付的過程中也同樣需要輸入交易密碼和短信驗證碼，并在最后通過人臉識別驗證后，才能開通指紋登錄和指紋支付功能。

也就是說， 除交易密碼泄露以外，文惠的短信驗證碼也可能已被竊取。

近年來，電信詐騙猖獗，許多不法分子以發(fā)送短信鏈接的形式進行誘導(dǎo)，一旦用戶點擊鏈接，手機就會被植入木馬病毒。不法分子再利用木馬病毒對用戶的短信和電話進行攔截，進而獲取短信驗證碼等信息。

在文惠的印象中，她沒有點過不明鏈接，也不太清楚自己的密碼和短信驗證碼究竟在哪個環(huán)節(jié)泄露，家人只能試圖從她的描述中來還原事件的整個過程。

值得一提的是，盜刷者在進行第一筆大額轉(zhuǎn)賬時，光大銀行后臺曾給文惠打過兩個視頻電話核實身份，但文惠沒有及時接到，導(dǎo)致第一次的交易因?qū)徍宋赐瓿啥∠ｋS后，光大銀行將驗證方式改為了人臉識別聯(lián)網(wǎng)核查（點頭、張嘴、轉(zhuǎn)頭等方式），驗證了“文惠”的面容，六分鐘后，該筆交易成功。

林浩查詢轉(zhuǎn)賬明細后發(fā)現(xiàn)：盜刷者共進行了9筆大額轉(zhuǎn)賬。只有第1筆交易有人臉識別的聯(lián)網(wǎng)核查，其它交易僅通過交易密碼和指紋認證的方式就被轉(zhuǎn)出。

（來源：用戶提供）

“一般來說，不法分子會通過多種非法渠道來獲取人臉照片。”人臉識別專家劉天表示： “有可能是利用證件照片或是本人視頻截屏（被騙進行視頻通話）；或是通過合成照片后進行面部替換，生成張嘴、眨眼、轉(zhuǎn)頭等動態(tài)人臉；還有可能是利用網(wǎng)絡(luò)攻擊手段，在不啟動攝像頭的情況下，向系統(tǒng)中注入偽造的動態(tài)視頻來通過人臉認證。”

藍田是一名在人工智能科技公司工作的技術(shù)人員。談及生物識別的發(fā)展現(xiàn)狀，藍田認為：目前的人工智能技術(shù)已較為成熟，基本可以做到防范詐騙。但 由于人臉識別或指紋識別在不同的場景應(yīng)用時涉及成本、用戶體驗、檢測速度等一系列問題，致使不同銀行選擇的安防系統(tǒng)不同，所以安全等級也會不同。

至于指紋和人臉的安全性問題，劉天表示：“這是個老生常談的問題。重點要看銀行、手機廠商是否愿意承擔高成本。如果成本不受限制，指紋和人臉的安全性相差不多——雖然指紋識別屬于接觸式識別，可能會受汗水、灰塵等影響，甚至還存在部分指紋的紋理恰巧在算法的盲區(qū)，無法被識別的情況。但這畢竟是小概率事件， 從社會的發(fā)展角度來看，使用生物識別的便捷性要超過弊端。”

目前人工智能技術(shù)供應(yīng)商也在幫助銀行升級風控系統(tǒng)，進行AI反欺詐管理——根據(jù)數(shù)據(jù)判斷是否存在異地登錄等一系列涉嫌欺詐的行為，一旦觸發(fā)風險條件，系統(tǒng)會自動執(zhí)行強控制措施。

“但如果銀行選擇的系統(tǒng)安全性不過關(guān)，那么攻擊者有可能會通過代碼開發(fā)對銀行App、手機系統(tǒng)動手腳，入侵人臉識別的底層系統(tǒng)，劫持攝像頭，在銀行App不啟動攝像頭的情況下，把視頻流直接傳給銀行App，也能繞過活體檢測。”

指紋權(quán)限過高？

目前，生物識別（人臉識別、指紋識別）已廣泛應(yīng)用于各類場景，對于注重交易安全的銀行業(yè)來說，更是占據(jù)著舉足輕重的地位。

在上市銀行公布的2022年半年報中，“金融科技”無疑是高頻詞匯。2022年上半年，多家商業(yè)銀行將發(fā)展金融科技、推進數(shù)字化轉(zhuǎn)型提升到更高的戰(zhàn)略層面，金融科技投入金額和科技人才數(shù)量占比同比均大幅提升。

以光大銀行為例，截至2022年6月30日，公司科技投入 21.38 億元，同比增長 25.47%；全行科技人員 2598 人，比上年末增加 237 人，占全行員工的 5.69%。

除此之外，光大銀行還在半年報中表示：公司深化建設(shè)“123+N”數(shù)字銀行發(fā)展體系。“一個智慧大腦”持續(xù)賦能，開發(fā)訓(xùn)練算法模型超900個；實現(xiàn)多模態(tài)生物識別的交叉應(yīng)用，覆蓋場景500余個。

“從目前情況來看，包括工農(nóng)中建在內(nèi)的國有四大行，擁有自己的人工智能開發(fā)中心和業(yè)務(wù)系統(tǒng)；但也有一些城商行受成本和需求影響，選擇從外包公司采購搭載著算法和模塊的相應(yīng)產(chǎn)品。”藍田表示：“有的銀行將重點放在人臉識別上，有的銀行是OCR（身份證、銀行卡圖文識別），有的較重視AI 反欺詐，有的是規(guī)范網(wǎng)點行為······不同銀行的需求不同，最終選擇的算法模塊也會不同。”

通常情況下，模型越復(fù)雜，運行速度越慢，但同時識別精度和準確率也會越高。考慮到用戶體驗感以及卡頓等因素， 部分手機廠商會選取輕便化的模型，減少部分算法流程來提高運行速度。但銀行對安全性的要求極高，這樣的模型無法滿足基本要求。

在與文惠家人交談的過程中，有一句話讓人深刻——我明白銀行進行生物識別認證的初衷是為了增加安全屏障，但從效果來看，似乎并不盡如人意。

如其所說，即便文惠存在信息泄露的情況，最初的轉(zhuǎn)賬限額也僅為5萬元。但盜刷者利用不屬于老人的指紋，來調(diào)高轉(zhuǎn)賬限額，致使老人蒙受巨額損失。

“既然無法保證絕對的安全性，為何指紋識別可以擁有替代短信驗證、甚至是調(diào)高轉(zhuǎn)賬限額這樣的高權(quán)限？”

而光大銀行沈陽市鐵西支行（文惠開卡網(wǎng)點）則認為：老人存款被盜走的根本原因是遭到了電信詐騙，并非是因為銀行的漏洞導(dǎo)致被騙。該行行長同時還表示：關(guān)于此事，總行會給監(jiān)管回復(fù)。

市界查詢其它銀行APP后發(fā)現(xiàn)， 大部分銀行在進行轉(zhuǎn)賬交易時需要輸入交易密碼和短信驗證碼進行驗證。即便是開通了指紋支付功能，也僅能應(yīng)用于購買電影票等生活類場景，并不具備轉(zhuǎn)賬權(quán)限。

面對猖獗的電信詐騙，許多年輕人尚不能保證自己不會落入其中的陷阱。對于老人群體來說，他們更需要社會的保護和關(guān)懷。在這場魔與道的較量中，銀行唯有不斷升級風控系統(tǒng)，降低風險概率，才能最大限度地減少用戶的損失。

關(guān)鍵詞： 光大銀行 人臉識別