交通银行人脸识别漏洞,储户人在北京,存款在台湾被盗刷
马跃是起诉交通银行的用户之一,他在金融系统工作多年,一年前的6月的某个下午,他的妻子刚把50万元存进刚开的交通银行卡中,不久,账户中的资金就不翼而飞了。报警、联系银行,马跃很快得知,存款被盗刷了。
警方向银行调取的内容显示,犯罪分子的IP地址为中国台湾,转账使用了短信+人脸识别的方式。马跃提供的法院判决书显示,交通银行承认,用户本人当天并未离开北京,但远在台湾的犯罪分子,却7次通过了交通银行的人脸识别,6次通过活检。
“6次人脸识别,交行一次都没识别出来犯罪分子使用的是假人脸。”马跃说。
受害者在北京,犯罪者在台湾,IP地址、登录手机型号都能证明,交行通过的人脸识别对象非受害者本人。但一个“假人脸”是如何6次通过交通银行人脸验证的?人脸识别还有多少安全风险不为人知?
直觉告诉马跃,这可能不是个案。马跃一边收集资料走诉讼流程,一边留意是否有类似的“受害者”,一年不到,5位和他妻子一样疑因“交通银行人脸识别漏洞”被盗刷的用户找到了他。
马跃家银行卡被盗刷半个月后,7月,同在北京的安女士也遭了“黑手”。她和马跃的经历巧到,盗刷者除了都是台湾IP地址,连使用的手机型号都是一样的摩托罗拉XT1686。
还是2021年7月,夏女士被盗刷;9月,海女士被盗刷;10月,柳女士被盗刷;最早的一位受害者是赵女士,2020年10月被盗刷。赵女士表示,“交通银行存在支付安全漏洞,没有办法识别出是否是真的人脸。”
他们的共同点,都是被犯罪分子诱骗,将钱存入了交通银行。6位受害人都是女性,有金融体系从业者、有国内top10研究生、律师,他们几乎都是高收入、高学历群体,都在一、二线城市生活。盗刷时间几乎都集中在2020年10月至2021年10月。
马跃说,“当时犯罪分子说出了我老婆的姓名、身份证号、工作单位,还有我老婆的照片,说我们信息泄露了,账户风险很大,最好去开一张交通银行卡,国有大行安全措施比较好。”
但没想到,犯罪分子看中的就是交通银行的“安全措施”。
马跃认为,犯罪分子一定要让受害者办一张交通银行的卡,而不是其他银行,是因为犯罪分子发现了交通银行存在人脸识别漏洞,并利用了这一漏洞。
当风险已经来临的时候,仰赖于“魔”与“道”的斗法,看谁更胜一筹。只是“神魔打架”,总是凡人遭殃。人脸识别技术提供方每一次技不如人,都可能造成数位用户的财产损失。
为交行提供人脸识别服务的公司,叫做眼神科技,是一家成立于2016年6月的生物识别企业。
其前身为1997成立的天诚盛业公司,创始人、董事长兼CEO周军毕业于山东大学,高级副总裁王丙光与周军同是中欧国际工商学院EMBA校友,曾就职于中央国家机关工委、国务院国资委和宝钢、宝武集团等。CTO沈昕阳毕业于哥伦比亚大学,是前Google数据科学家。首席安全专家顾问王小云是中国科学院数学物理学部院士。
该负责人透露,公司人脸识别技术和产品通过了公安部、银行卡检测中心、信通院等权威机构检测认证;使用过程符合监管机构管理要求;通过银行客户技术测试和公开招标入围,合法合规。
其创始人周军曾强调,将研究“生物密码”,即“用户到哪里密码就跟随到哪里”、”只有本人可用”希望结合密码技术来改善网络安全防御体系。
眼神科技CSO王姝琦也提到过,眼神科技服务金融行业18年安全稳定无事故。但“生物密码只有本人可用”、“稳定无事故”的说法已被现实打脸。
2020年9月,眼神科技官方宣布,中标交通银行人脸识别项目。眼神科技向交通银行全行提供人脸识别产品,在现金管理、支付结算及账户管理等业务场景中实现人脸活检及身份识别功能,
但一个月后,赵女士的资金被犯罪分子通过交通人脸识别盗刷。而赵女士,是我们了解到的最早一个交通银行人脸识别被盗刷的案例。
其余几位受害人的被盗刷时间,都集中在2021年6月到9月。那个时间,马跃、夏女士、海女士、赵女士刚好在集中与交通银行交涉人脸识别安全漏洞问题。
交通银行“恰好”在2021年9月停用过人脸识别技术。
不久,马跃就发现交通银行系统改版了,手机银行已经登不上了,必须升级,马跃认为,银行可能已经修复了漏洞。
但10月份,交通银行又出现了一起人脸识别盗刷案,柳女士交通银行账户资金被犯罪分子用人脸识别+短信拦截。而这仅是马跃知道的第6位。马跃猜测,可能还有更多的受害者。
在这6位受害者的时间线里,交通银行与人脸识别技术服务商眼神科技,在活体检测技术上,已经输得一塌糊涂。
怎么应对银行卡盗刷呢?
偷梁换柱本地复制银行卡,外地取款
许先生在银行申领了一张借记卡,并在卡内存入了2万元,但随后的一次取款却让他损失惨重。“春节刚过,我在一家银行ATM机上取了点钱,但没有想到,在短短20秒的时间里,我的银行卡的账户信息和密码竟被复制了下来。”许先生说。第二天,许先生的卡在广州某银行的取款机上被分四次取走了19000多元,手续费20元。“我办理了短信提醒业务,马上就报了案……可是钱还是没能追回来。现在想起来还心有余悸,再也不敢在ATM机上办理银行业务。”
刘女士则险些被一个“好心人”骗了。今年5月份,刘女士在杨家坪步行街一台ATM机上取款,当时机器一直没吐钞。“这时,一个‘好心’男子主动靠过来,很‘热心’地帮我操作ATM机,一边操作一边询问我的银行卡密码……此举被保安发现了,男子见势不妙,匆匆离开了。”
支招:
针对上述问题,中国银行一位工作人员提醒:“有些不法分子会在自助银行及ATM机上设置一些‘机关’来窃取密码,持卡人在使用ATM时,要留意周围是否有可疑的人。即使ATM机出现异常也不要慌张,应及时拨打发卡银行的全国统一客服热线,与发卡银行取得联系。”
“客户在使用‘裸露’在外面的ATM机时,应避免他人干扰,防止他人偷窥密码,遭遇吞卡、未吐钞等情况,要及时与银行工作人员联系或拨打发卡行银行客服电话。”一家银行信用卡中心负责人林先生补充说。
顺手牵羊偷走银行卡,顺手盗刷5000元
案例:去年7月,赵先生吃饭时丢了钱包,里面有身份证、信用卡等。“信用卡没设密码,我第一时间拨打了银行客服电话,办理了停止支付功能,但还是被人抢先盗刷了5000多元。”
“我认为,在被盗刷过程中,商户有不可推卸的责任。”赵先生说,比对签购单与信用卡背面的签名是否一致是商户的义务,但商户在这个问题上却很不负责任。
针对赵先生的说法,商户们也很无奈。“这事不能把商户一棒子打死,信用卡签购单上的‘假签名’是有可能与信用卡背面一致的。换句话说,赵先生也不能保证卡背后的签名就是他本人的。另外,商户不是专业人士,也无法鉴定笔迹真伪。”商户王先生说。
王先生今年67岁,他给自己不同的银行卡设置了不同的密码,但他又担心会记混,就将密码写在银行卡的背面。有一次,他的钱包被扒手偷走了,卡上的1.3万多元现金也被人分批取走了。
支招:
对此,某银行信用卡中心工作人员陈先生提醒:客户拿到新银行卡后,要立即修改密码。设置一些相对复杂的密码,不要设置123456、888888等简单密码,并应定期修改密码;不要用自己的生日、家庭电话号码等作密码;不要轻易向他人透露银行卡密码等账户信息。另外,任何人(包括银行工作人员)都无权询问你的个人密码。
“另外,个人资料不要随便留给不熟悉的公司或个人,不要随便在互联网页留下真实的个人身份资料(包括家庭、工作信息)。如果办理某项业务需要留下身份证复印件,应该在复印件上标明用途,比如‘再次复印无效’等字样。刷卡消费后,单据、存取款凭证不要随手丢弃,应销毁或妥善保管。”陈先生进一步提醒道。
花言巧语劝你办卡套现,骗取手续费
案例:“如果你急需20万元,那只要在我这里办5张信用卡,每张给你5万元的透支额度,多出来的那张5万不要动,等其它4张还款到期时,把第5张里的钱拿出来还第一张卡的钱,24小时后就再拿出来还第二张,这样4张卡都过一遍,就等于都还过了。这样就等于用银行的钱周转银行的卡……”当下,网上有不少类似的“信用卡套现信息”。市民刘先生就差点上当。
刘先生说:“我在网上找到了一个自称经银行授权的信用卡中介服务机构,可以帮助申办信用卡或提供信用卡融资。那人告诉我,每张卡能办到8万元的额度,每张卡缴纳2400元的手续费,一共能办5张,总共能套现32万元,而且能保证资金及时到账……我当时很动心。不过,在银行工作的侄女制止了我,她告诉我,用信用卡套现是违法的。”
信用卡套现似乎真有空子可钻。“这完全是糊弄人的!”某银行信用卡中心负责人林先生说,“在刚批下一张信用卡时,银行是不会承诺透支额度的,事实上信用卡的透支额度通常会很低,比如标准卡是3000元,金卡是1万-2万元。之后,银行才会根据信用卡的使用情况、消费水平和还款情况来逐步提升信用等级,逐渐给予更高的信用额度。而骗子承诺‘高透支额度、完全不需担保’之类的鬼话,就是抓住那些急需用钱人的心理,骗取他们的‘手续费’。当你上当交了钱,便连他们的影子也找不到了。”
支招:
目前,国内的银行都不会委托任何公司代办信用卡业务。要办理信用卡,务必到银行所属的分行或者支行办理,或者通过有所属银行工作证明的业务员办理。最重要的是:办理信用卡是不需要手续费的,诸如‘肯定能办下来’、‘透支额度很高’、‘不需资料,手续简单’、‘免息期长但要收取一定手续费’,都是骗人的。
针对交通银行人脸识别技术被盗刷的银行卡,你怎么看?在评论区告诉我们吧
