人脸识别|“刷脸”惹祸，交通银行用户40万存款被盗( 二 ) 网络安全

根据交通银行规定，用户首次登录手机银行APP ，需要手机短信的验证码和人脸识别的双重验证。（由于楚枫没有下载手机银行APP ，所以没有登录密码）。而交通银行客服的说法也证实， “楚枫”利用了人脸识别重置了登录密码。
这也就是说，不法分子利用木马病毒拦截了楚枫的手机短信，而后通过“假人脸” ，重置密码后登录了楚枫的交通银行账户。
在交谈过程中，楚枫着重强调了交通银行人脸识别系统的第一个风险——如果不法分子使用的“假人脸”不能通过银行人脸识别系统的认证，那么后续涉及短信验证码、以及登录银行账户等情况均不会发生。
而不法分子实现了盗刷资金的第一步后，又利用人脸识别调高了转账限额。 2021年交通银行的转账规则显示——通过人脸识别，可以将单笔5万的限额调整至单笔限额20万，将每日5万的转账限额，调整至每日限额50万。

（通过“人脸识别” ，可以调高转账限额。来源：用户提供）
调整限额后，就可以再次利用人脸识别加上拦截到的短信验证码进行转账。
楚枫提供的转账流水显示，不法分子共进行了五次大额转账，加上登录软件重置密码和调高限额的操作，共涉及6次人脸识别的过程，活检结果均显示通过。

（不法分子利用“假人脸”盗刷银行卡， 6次通过活检。来源：用户提供）
至于不法分子究竟是什么来头——警方调取的内容显示，不法分子的IP地址为中国台湾，使用的手机是一款海外手机，型号为摩托罗拉XT1686 。
充满戏剧性的是，楚枫本人在办卡当天并未离开北京。而远在台湾的不法分子，却6次通过活体人脸识别，盗刷了他本人的40多万存款。
楚枫表示，他的情况并非个案。在过去的2021年，仅他知道的就还有5位用户，同样通过交通银行人脸识别被盗刷，时间集中在2020年10月-2021年10月。
截至目前，距离楚枫的存款被盗刷已过去了整整一年，但法院一审判决的结果却给了他当头一棒，判决结果是交通银行“未存在明显过错” ，将楚枫的诉求全部驳回。

（法院判决交通银行“无明显的错误或过失” 。来源：用户提供）
02 人脸识别市场的“AB”面人脸识别的流程，包括图像采集、预处理、人脸特征点提取、人脸检测和人脸匹配等。
与传统的输入密码以及其它认证方式相比，人脸识别技术的应用在某些领域可以提高效率，优化流程，具有采集快捷等优势。
近年来，受益于国内深度学习算法的发展和数据的累积，人脸识别应用如雨后春笋般涌现。人脸解锁、人脸支付、上班打卡······人脸识别在这些场景的应用，已经得到了社会的广泛关注。
深度科技研究院院长张孝荣告诉市界：“目前国内人脸识别的市场规模大约50-70亿元，从业者以智能安防企业，互联网巨头和AI领军企业为主，金融、交通和娱乐领域也在广泛应用。 ”
虽然人脸识别在多个领域广为涉猎，但由于金融领域涉及到用户的支付安全问题，目前的人脸识别精度尚无法完全满足相关需求。加之用户还没有完全养成人脸识别的习惯，冰鉴科技研究院王诗强认为，应用于金融领域的人脸识别尚处于成长阶段。

伴随着人脸识别领域不断发展和扩张，质疑人脸识别滥用的声音也越来越多。最直接的佐证是，人脸识别在一些领域已经开始退场——央视315晚会曾曝光过行业内搜集人脸信息的乱象，最终多地零售门店、售楼处被迫拆除了人脸识别的摄像头。