据凤凰网科技报道,某大型行的人脸识别系统存在漏洞,造成6名储户百万元现金被异地盗取。受害人表示,远在异地的犯罪分子,7次通过了银行的人脸识别,6次通过活检,一次都没识别出来犯罪分子使用的是假人脸。
法院判定,银行未见存在明显的过错和过失。受害储户认为,法院回避了银行人脸识别漏洞问题,表示会坚持上诉。
业务安全专家表示,表面上看,这是人脸识别系统的问题,但是背后还有登录账户陌生设备未快速预警、异地转账消费未有效校验等安全问题。“人脸识别不够精准,设备指纹响应不及时,银行风控体系存在BUG”。
他建议,银行需要加强人脸识别技术的精准度、预警性和安全性,“从源头到应用,提供全链条的识别、预警、防护,提升人脸识别的安全性。”
银行业务中的人脸识别技术存在哪些风险?
人脸具有唯一性、难以复制性,是人最常见的生物识别特征,在采集和使用上具有非接触性、非强制性、多并发性、隐藏性和简单易用性等特点,基于人脸的识别技术被广泛运用于金融领域,主要作用是实现在线身份认证,已成为登录、确认、申请、修改等业务环节中重要的验证技术。
由于人脸识别技术运用主体的技术条件和管理水平良莠不齐,不法分子通过各类工具绕过、干扰、攻击人脸识别系统和算法,进而实施冒用登录、非法转账/消费、骗取贷款、盗取银行资金等攻击,给用户和银行带来经济损失。
2017年“3·15”晚会上,主持人在技术人员支持下,仅凭观众自拍照就现场“换脸”破解了某“刷脸登录”认证系统。清华大学研究人员也曾做过一个研究,使用网上下载的照片,通过人脸识别的方式,15分钟内解锁了19台智能手机。
综合来看,银行业务的人脸识别技术存在如下三类风险。
第一,人脸识别被绕过风险。戴上眼镜、帽子、面具等伪装手段,或者可以制作人皮高仿模型、将2D人脸照片3D建模、利用AI技术将静态照片变成动态照片等多种技术均,混淆算法判断,骗过有效性不高的人脸识别算法和活体监测算法。
第二类,人脸信息被盗取冒用风险。通过各类公开或非法手段,收集、保存、盗取正常的人脸数据,然后通过各种方式进行非法冒用。
第三类,人脸识别系统遭劫持篡改风险。远程入侵篡改人脸识别系统验证流程、信息、数据等,将后台或前端的真数据替换为假数据,以实现虚假人脸信息的通过。
人脸识别为什么会有风险?
据顶象与中国信通院联合发布的《业务安全白皮书—数字业务风险与安全》显示,数字化业务中隐匿着大量安全隐患:在电商、支付、信贷、账户、交互、交易等形态的业务场景中,存在着各类等欺诈行为,这些欺诈行为日益专业化、产业化,且具有团伙性、复杂性、隐蔽性和传染性等特点。
以大规模牟利为目的网络黑灰产,熟悉业务流程以及防护逻辑,能够熟练运用自动化、智能化的新兴技术,不断开发和优化各类攻击工具。此前有媒体报道,大量社群和境外网站进行真人人脸识别视频的贩卖。“价高质优”的验证视频百元一套,动态软件将人脸照片制作成“动态视频”只要几元,以完成各类线上业务人脸识别的验证。
某银行储户资金被盗取不是个案,近两年来金融领域多次发生过通过人脸识别漏洞盗取钱财的案件。2020年10月,四川警方查处一个上百人的诈骗团伙。该团伙购买大量人脸视频,借助“僵尸企业”“空壳公司”,为6000多人人包装公积金信息,然后向多家银行申请公积金贷款,最终带来10亿多元的坏账。
2021年,广州互联网法院通报了一起因为“刷脸”引发的借款纠纷。客户在遗失了身份证后,却被人冒用身份通过银行的“人脸识别”贷款。最终经司法笔迹鉴定,认为案涉客户签名并非本人签署,手机号码亦未曾登记在客户名下,由此驳回银行上诉。
如何防范人脸识别风险?
人脸识别是一种技术核验,但不能作为唯一的手段。涉及到业务的关键操作需要对身份证、手机号码、银行卡、操作行为、设备、环境等进行综合核验,甚至需要人工电话核实。
业务安全专家表示,一方面,需要加强人脸识别系统的精准度、预警性和安全性;另一方面,增强人脸识别从源头到应用的全链条识别、预警、防护,提升整体风控能力。
第一,提升人脸识别系统的精准度。人脸识别系统需要加强空间域的、图像取证、生物频率、GAN伪影、生物信号、视声不一致以及视觉上不自然等检测,并通过模型和算法提高真伪判别。
第二,提升人脸识别系统的预警性。通过设备指纹多维度构建用户的设备画像,实时呈现给当前设备的环境状况,快速识别可疑行为及高风险设备,帮助风控系统快速甄别操作者的真伪,及时预警账号被盗用风险。
第三,保障人脸识别系统的安全性。防范人脸识别系统和设备API接口被篡改劫持,保证输出效果、生成网络效果的真实性。同时,及时预警和拦截设备和系统端口、通讯的异常,保障人脸数据存储以及传输的完整性、机密,防止灌入虚假、混淆人脸信息或库内人脸信息被替换篡改。
法律法规护航人脸识别应用安全
司法机构为人脸识别护航。2021年7月,最高法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。解释明确规定,在宾馆、商场、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定,使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。
2022年两会上最高人民法院表示,最高法院针对一个具体问题专门出台一个司法解释是不多见的。司法规范“刷脸”,体现的是法院依法维护个人信息安全的鲜明态度,就是专门回应大家对人脸信息安全的担忧,作出了相应的规范。
行业机构也在牵头制定应用标准。2021年4月7日,中国信息通信研究院云计算与大数据研究所倡议发起成立“可信人脸应用守护计划”。顶象等多家公司入选第二批“可信人脸应用守护计划”成员单位,将与各界通力合作,积极探索人脸应用治理与发展的可信指引,助力人脸识别应用安全发展,共建可信的人脸应用生态。
技术与监管双重发力,多重保障人脸识别应用安全。