一名用户将自己的86万元积蓄存入了光大银行。但这些存款在短短的8天时间内,就被洗劫一空。
“在没有交易密码,没有短信验证码的情况下,存款是如何被盗走的?”起初,该名用户百思不得其解。直到她的家人查询了登录设备,发现盗刷者是通过指纹登录了手机银行账户,又以指纹支付的方式,将存款盗刷。
随后,她的家人按照光大银行指纹识别的流程测试了转账系统,并对系统的安全性产生了质疑——转账过程中验证的指纹并非是银行卡卡主的指纹,而是盗刷者的指纹。
近年来,随着大数据、云计算、人工智能技术的发展,生物识别(人脸识别、指纹识别)应用已成为手机银行的“标配”。但它们在为用户提供高效便捷服务的同时,也给一些别有用心的人提供了可乘之机。
86万存款被盗刷背后
2021年8月,年过六旬的文惠在光大银行柜台办理了一张储蓄卡。开通手机银行功能后,存入了10万元钱。然而让她始料未及的是,这笔钱只在她的账户短暂停留了一瞬,就“失踪”了。
文惠对存款被盗一事毫不知情。在后续的一周里,老人陆续向该卡内转入3笔存款,最多的一笔为38万元。这三笔存款也没能逃过被盗刷的命运,存入后立刻被洗劫一空。
算上最开始的10万元,文惠将自己的86万存款全部转入了该账户中。但由于老人的日常支出较少,取款的机会也是少之又少,直到2021年8月12日,文惠需要一笔钱急用,连续几次交易失败后这才发现账户异常。
(8月3日-8月10日银行账户交易流水,来源:用户提供)
文惠的家人立刻报警,联系银行冻结账户。但为时已晚,在8月3日-8月10日之间,存款已被盗刷。对此,文惠及家人无法理解——明明转账限额只有5万元,在没有收到短信验证码验证的情况下,盗刷者是如何在短时间内盗走了大额存款?
林浩(文惠家人)查询了该账户的近期登录设备,记录显示盗刷者在一台OPPO手机上通过指纹登录了银行账户,随后又以指纹支付的方式完成了多笔大额转账。
(来源:用户提供)
正常情况下,在光大银行手机端进行转账时需要交易密码和短信验证码进行双重验证。如果开通了指纹支付,仅需要交易密码和指纹就可以完成交易,同时还可以将转账限额修改为50万元。
为了进一步了解情况,林浩对光大银行的转账系统进行了测试,同时用视频记录了测试的全过程:首先在他的手机设备上登录文惠的银行账户,输入交易密码后到了验证指纹的环节。戏剧性的一幕出现了——林浩用自己的指纹,将文惠账户的存款成功转出。
这个发现让文惠一家极为震惊:如果盗刷者掌握了对方的交易密码,就可以在他的手机设备上使用自己的指纹,将其它用户的存款盗走。
与此同时,在林浩提供的一份与光大银行客服对话录音显示,用户开通指纹支付后,交易时验证比对的指纹是手机机主的指纹,并非是卡主的指纹。
“在银行网点开卡时中有录入指纹的环节,但在手机端登录和转账时查验的指纹却来自手机系统,并非是银行系统。”林浩认为,光大银行转账系统存在漏洞,在进行指纹认证程序时,银行没有尽到自己的责任,而是将核实指纹真伪的权力交到了手机厂商的手中。
至于交易密码的泄露过程——林浩推测,老人手机上的软件数量较少,而且习惯用同一个密码。有可能是盗刷者通过黑客手段碰撞其他软件,破解了她的银行卡交易密码。
在裁判文书网中,确有类似案件的判决记录:有犯罪嫌疑人非法购买公民个人信息,以黑客手段对受害者的信息进行碰撞,最终破解了受害人的账号和密码。在该案件中,光大银行因没能保障客户存取款交易安全不受非法侵害,被判全责。
(来源:中国裁判文书网)
对此,文惠家人认为:“在银行存款被盗取前,老人并未进行网银操作,甚至手机、银行卡、身份证均未离身,因此光大银行同样没能尽到保护用户银行卡信息安全的义务。”
截至目前,距离存款被盗刷已有一年多时间。关于案件的进展情况,国家信访局的告知信息中显示:经过大数据查询,钱款已被转往国外账户。目前尚无法确定嫌疑人身份,大概率是在缅甸附近。
“这笔钱是文惠和她母亲一辈子的积蓄,以后是要留给小孩的。”林浩表示:“对于这样的结果,我们也很难以接受。”
生物识别安全几何?
重新梳理文惠存款被盗刷的过程后,市界发现:在光大银行手机端首次登录时,需要手机号码、登录密码以及短信验证码; 开通指纹登录功能后,则省去了登录密码和验证码的环节,可以通过指纹直接登录账户。
然而在开通指纹支付的过程中也同样需要输入交易密码和短信验证码,并在最后通过人脸识别验证后,才能开通指纹登录和指纹支付功能。
也就是说, 除交易密码泄露以外,文惠的短信验证码也可能已被窃取。
近年来,电信诈骗猖獗,许多不法分子以发送短信链接的形式进行诱导,一旦用户点击链接,手机就会被植入木马病毒。不法分子再利用木马病毒对用户的短信和电话进行拦截,进而获取短信验证码等信息。
在文惠的印象中,她没有点过不明链接,也不太清楚自己的密码和短信验证码究竟在哪个环节泄露,家人只能试图从她的描述中来还原事件的整个过程。
值得一提的是,盗刷者在进行第一笔大额转账时,光大银行后台曾给文惠打过两个视频电话核实身份,但文惠没有及时接到,导致第一次的交易因审核未完成而取消。随后,光大银行将验证方式改为了人脸识别联网核查(点头、张嘴、转头等方式),验证了“文惠”的面容,六分钟后,该笔交易成功。
林浩查询转账明细后发现:盗刷者共进行了9笔大额转账。只有第1笔交易有人脸识别的联网核查,其它交易仅通过交易密码和指纹认证的方式就被转出。
(来源:用户提供)
“一般来说,不法分子会通过多种非法渠道来获取人脸照片。”人脸识别专家刘天表示: “有可能是利用证件照片或是本人视频截屏(被骗进行视频通话);或是通过合成照片后进行面部替换,生成张嘴、眨眼、转头等动态人脸;还有可能是利用网络攻击手段,在不启动摄像头的情况下,向系统中注入伪造的动态视频来通过人脸认证。”
蓝田是一名在人工智能科技公司工作的技术人员。谈及生物识别的发展现状,蓝田认为:目前的人工智能技术已较为成熟,基本可以做到防范诈骗。但 由于人脸识别或指纹识别在不同的场景应用时涉及成本、用户体验、检测速度等一系列问题,致使不同银行选择的安防系统不同,所以安全等级也会不同。
至于指纹和人脸的安全性问题,刘天表示:“这是个老生常谈的问题。重点要看银行、手机厂商是否愿意承担高成本。 如果成本不受限制,指纹和人脸的安全性相差不多——虽然指纹识别属于接触式识别,可能会受汗水、灰尘等影响,甚至还存在部分指纹的纹理恰巧在算法的盲区,无法被识别的情况。但这毕竟是小概率事件, 从社会的发展角度来看,使用生物识别的便捷性要超过弊端。”
目前人工智能技术供应商也在帮助银行升级风控系统,进行AI反欺诈管理——根据数据判断是否存在异地登录等一系列涉嫌欺诈的行为,一旦触发风险条件,系统会自动执行强控制措施。
“但如果银行选择的系统安全性不过关,那么攻击者有可能会通过代码开发对银行App、手机系统动手脚,入侵人脸识别的底层系统,劫持摄像头,在银行App不启动摄像头的情况下,把视频流直接传给银行App,也能绕过活体检测。”
指纹权限过高?
目前,生物识别(人脸识别、指纹识别)已广泛应用于各类场景,对于注重交易安全的银行业来说,更是占据着举足轻重的地位。
在上市银行公布的2022年半年报中,“金融科技”无疑是高频词汇。2022年上半年,多家商业银行将发展金融科技、推进数字化转型提升到更高的战略层面,金融科技投入金额和科技人才数量占比同比均大幅提升。
以光大银行为例,截至2022年6月30日,公司科技投入 21.38 亿元,同比增长 25.47%;全行科技人员 2598 人,比上年末增加 237 人,占全行员工的 5.69%。
除此之外,光大银行还在半年报中表示:公司深化建设“123+N”数字银行发展体系。“一个智慧大脑”持续赋能,开发训练算法模型超900个;实现多模态生物识别的交叉应用,覆盖场景500余个。
“从目前情况来看,包括工农中建在内的国有四大行,拥有自己的人工智能开发中心和业务系统;但也有一些城商行受成本和需求影响,选择从外包公司采购搭载着算法和模块的相应产品。” 蓝田表示:“有的银行将重点放在人脸识别上,有的银行是OCR(身份证、银行卡图文识别),有的较重视AI 反欺诈,有的是规范网点行为······不同银行的需求不同,最终选择的算法模块也会不同。”
通常情况下,模型越复杂,运行速度越慢,但同时识别精度和准确率也会越高。考虑到用户体验感以及卡顿等因素, 部分手机厂商会选取轻便化的模型,减少部分算法流程来提高运行速度。但银行对安全性的要求极高,这样的模型无法满足基本要求。
在与文惠家人交谈的过程中,有一句话让人深刻——我明白银行进行生物识别认证的初衷是为了增加安全屏障,但从效果来看,似乎并不尽如人意。
如其所说,即便文惠存在信息泄露的情况,最初的转账限额也仅为5万元。但盗刷者利用不属于老人的指纹,来调高转账限额,致使老人蒙受巨额损失。
“既然无法保证绝对的安全性,为何指纹识别可以拥有替代短信验证、甚至是调高转账限额这样的高权限?”
而光大银行沈阳市铁西支行(文惠开卡网点)则认为:老人存款被盗走的根本原因是遭到了电信诈骗,并非是因为银行的漏洞导致被骗。该行行长同时还表示:关于此事,总行会给监管回复。
市界查询其它银行APP后发现, 大部分银行在进行转账交易时需要输入交易密码和短信验证码进行验证。即便是开通了指纹支付功能,也仅能应用于购买电影票等生活类场景,并不具备转账权限。
面对猖獗的电信诈骗,许多年轻人尚不能保证自己不会落入其中的陷阱。对于老人群体来说,他们更需要社会的保护和关怀。在这场魔与道的较量中,银行唯有不断升级风控系统,降低风险概率,才能最大限度地减少用户的损失。
推荐文章
京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。
日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。
据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。
今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。
日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。
近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。
据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。
9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...
9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。
据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。
特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。
据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。
近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。
据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。
9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。
《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。
近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。
社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”
2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。
罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。
Copyright© 2013-2020
All Rights Reserved 京ICP备2023019179号-8