驚！儲戶近200萬存款被“刷臉”盜走，你的銀行卡有這三類風險嗎

據鳳凰網科技報導，某大型行的人臉識別系統存在漏洞，造成6名儲戶百萬元現金被異地盜取。受害人表示，遠在異地的犯罪分子，7次透過了銀行的人臉識別，6次透過活檢，一次都沒識別出來犯罪分子使用的是假人臉。

法院判定，銀行未見存在明顯的過錯和過失。受害儲戶認為，法院迴避了銀行人臉識別漏洞問題，表示會堅持上訴。

頂象業務安全專家表示，表面上看，這是人臉識別系統的問題，但是背後還有登入賬戶陌生裝置未快速預警、異地轉賬消費未有效校驗等安全問題。“人臉識別不夠精準，裝置指紋響應不及時，銀行風控體系存在BUG”。

他建議，銀行需要加強人臉識別技術的精準度、預警性和安全性，“從源頭到應用，提供全鏈條的識別、預警、防護，提升人臉識別的安全性。”

銀行業務中‍的人臉識別技術存在哪些風險？

人臉具有唯一性、難以複製性，是人最常見的生物識別特徵，在採集和使用上具有非接觸性、非強制性、多併發性、隱藏性和簡單易用性等特點，基於人臉的識別技術被廣泛運用於金融領域，主要作用是實現線上身份認證，已成為登入、確認、申請、修改等業務環節中重要的驗證技術。

由於人臉識別技術運用主體的技術條件和管理水平良莠不齊，不法分子透過各類工具繞過、干擾、攻擊人臉識別系統和演算法，進而實施冒用登入、非法轉賬/消費、騙取貸款、盜取銀行資金等攻擊，給使用者和銀行帶來經濟損失。

2017年“3·15”晚會上，主持人在技術人員支援下，僅憑觀眾自拍照就現場“換臉”破解了某“刷臉登入”認證系統。清華大學研究人員也曾做過一個研究，使用網上下載的照片，透過人臉識別的方式，15分鐘內解鎖了19臺智慧手機。

綜合來看，銀行業務的人臉識別技術存在如下三類風險。

第一，人臉識別被繞過風險。戴上眼鏡、帽子、面具等偽裝手段，或者可以製作人皮高仿模型、將2D人臉照片3D建模、利用AI技術將靜態照片變成動態照片等多種技術均，混淆演算法判斷，騙過有效性不高的人臉識別演算法和活體監測演算法。

第二類，人臉資訊被盜取冒用風險。透過各類公開或非法手段，收集、儲存、盜取正常的人臉資料，然後透過各種方式進行非法冒用。

第三類，人臉識別系統遭劫持篡改風險。遠端入侵篡改人臉識別系統驗證流程、資訊、資料等，將後臺或前端的真資料替換為假資料，以實現虛假人臉資訊的透過。

人臉識別為什麼會有風險？

據頂象與中國信通院聯合釋出的《業務安全白皮書—數字業務風險與安全》顯示，數字化業務中隱匿著大量安全隱患：在電商、支付、信貸、賬戶、互動、交易等形態的業務場景中，存在著各類等欺詐行為，這些欺詐行為日益專業化、產業化，且具有團伙性、複雜性、隱蔽性和傳染性等特點。

以大規模牟利為目的網路黑灰產，熟悉業務流程以及防護邏輯，能夠熟練運用自動化、智慧化的新興技術，不斷開發和最佳化各類攻擊工具。此前有媒體報導，大量社群和境外網站進行真人人臉識別影片的販賣。“價高質優”的驗證影片百元一套，動態軟體將人臉照片製作成“動態影片”只要幾元，以完成各類線上業務人臉識別的驗證。

某銀行儲戶資金被盜取不是個案，近兩年來金融領域多次發生過透過人臉識別漏洞盜取錢財的案件。2020年10月，四川警方查處一個上百人的詐騙團伙。該團伙購買大量人臉影片，藉助“殭屍企業”“空殼公司”，為6000多人人包裝公積金資訊，然後向多家銀行申請公積金貸款，最終帶來10億多元的壞賬。

2021年，廣州網際網路法院通報了一起因為“刷臉”引發的借款糾紛。客戶在遺失了身份證後，卻被人冒用身份透過銀行的“人臉識別”貸款。最終經司法筆跡鑑定，認為案涉客戶簽名並非本人簽署，手機號碼亦未曾登記在客戶名下，由此駁回銀行上訴。

如何防範人臉識別風險？

人臉識別是一種技術核驗，但不能作為唯一的手段。涉及到業務的關鍵操作需要對身份證、手機號碼、銀行卡、操作行為、裝置、環境等進行綜合核驗，甚至需要人工電話核實。

頂象業務安全專家表示，一方面，需要加強人臉識別系統的精準度、預警性和安全性；另一方面，增強人臉識別從源頭到應用的全鏈條識別、預警、防護，提升整體風控能力。

第一，提升人臉識別系統的精準度。人臉識別系統需要加強空間域的、影像取證、生物頻率、GAN偽影、生物訊號、視聲不一致以及視覺上不自然等檢測，並透過模型和演算法提高真偽判別。

第二，提升人臉識別系統的預警性。透過裝置指紋多維度構建使用者的裝置畫像，實時呈現給當前裝置的環境狀況，快速識別可疑行為及高風險裝置，幫助風控系統快速甄別操作者的真偽，及時預警賬號被盜用風險。

第三，保障人臉識別系統的安全性。防範人臉識別系統和裝置API介面被篡改劫持，保證輸出效果、生成網路效果的真實性。同時，及時預警和攔截裝置和系統埠、通訊的異常，保障人臉資料儲存以及傳輸的完整性、機密，防止灌入虛假、混淆人臉資訊或庫內人臉資訊被替換篡改。

頂象防禦雲能夠有效助力銀行防範人臉識別風險，提升金融風控能力，進一步保障儲戶和銀行資金安全。

頂象防禦雲保障人臉識別應用安全

頂象防禦雲基於多年實戰經驗和技術產品，擁有豐富的技術工具、數萬個安全策略及數百個業務場景解決方案，具有情報、感知、分析、策略、防護、處置的能力，提供模組化配置和彈性擴容，助企業快速、高效、低成本構建自主可控的業務安全體系。其整合業務感知防禦平臺、驗證碼、裝置指紋和端加固等產品，以及業務威脅情報、雲策略等服務。

其中，裝置指紋支援安卓、iOS、H5、公眾號、小程式，可有效偵測模擬器、刷機改機、ROOT越獄、劫持注入等風險。100%的唯一性、穩定性大於99.99%、響應時間小於0.1秒、崩潰率小於1/10000。它採用MongoDB分散式儲存，支援海量資料情況下實時分析資料，能夠秒級構建出裝置的完整畫像。

業務安全感知防禦平臺（移動版）透過對移動端100+風險項及異常行為的分析識別，及時發現針對攝像頭劫持、裝置偽造等風險，並提供從風險識別、預警處置、黑樣本沉澱的閉環管理。

頂象防禦雲是國內首批透過中國信通院“業務安全能力要求”認證的產品。

法律法規護航人臉識別應用安全

司法機構為人臉識別護航。2021年7月，最高法院釋出《關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》。解釋明確規定，在賓館、商場、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定，使用人臉識別技術進行人臉驗證、辨識或者分析，應當認定屬於侵害自然人人格權益的行為。

2022年兩會上最高人民法院表示，最高法院針對一個具體問題專門出臺一個司法解釋是不多見的。司法規範“刷臉”，體現的是法院依法維護個人資訊保安的鮮明態度，就是專門回應大家對人臉資訊保安的擔憂，作出了相應的規範。

行業機構也在牽頭制定應用標準。2021年4月7日，中國資訊通訊研究院雲端計算與大資料研究所倡議發起成立“可信人臉應用守護計劃”。頂象等多家公司入選第二批“可信人臉應用守護計劃”成員單位，將與各界通力合作，積極探索人臉應用治理與發展的可信指引，助力人臉識別應用安全發展，共建可信的人臉應用生態。

技術與監管雙重發力，多重保障人臉識別應用安全。