大陸銀行人臉識別系統被攻破 詐騙犯IP顯示在台灣

李紅（化名）萬萬沒想到，自己設置了動態密碼＋人臉辨識，詐騙人員還能從她的大陸交通銀行卡偷走近43萬元人民幣（約合新台幣190萬元），如入無人之境。

要想從大陸交通銀行卡中轉賬，需要用戶在手機銀行App上進行人臉識別，並進行短信驗證。李紅陷入了詐騙分子的圈套，她的手機短信被攔截，手機號被設置了呼叫轉移，使她的驗證碼落入他人手中，且無法接聽銀行的確認電話。

據中國新聞周刊，更嚴重的是，「人臉識別」被攻破了。銀行系統後台顯示，在進行密碼重置和大額轉賬時，李紅進行了6次人臉識別比對，均顯示「活檢成功」。

那幾次人臉識別並不是身在北京的李紅本人操作，登錄者的IP地址顯示在台灣。當李紅本人登錄手機銀行時，卡里的錢已被悉數轉走。她去派出所報案，警察很快認定她遭遇了電信詐騙，並立案偵查。

既然不是本人操作，為何還能「活檢成功」？李紅懷疑交通銀行人臉識別系統的安全性，並以「借記卡糾紛」為由將大陸交通銀行告上法庭，要求賠償。

長期關注個人信息保護的專家，都對人臉識別的濫用充滿憂慮。北京清華大學法學院教授勞東燕指出，從制度框架的合理設定來考慮，製造更多風險、獲取更多收益的一方，理應承擔更多的風險與責任，「人臉識別是銀行引進的，其是作為風險製造的參與方，通過這種方式銀行也獲益更多，應該承擔和其所獲收益成比例的風險責任」。

2021年6月19日上午10：30，電話那頭自稱「北京市公安局戶政科陳杰警官」的人告訴李紅，她的護照此前在哈爾濱涉嫌非法入境，讓她向哈爾濱市公安局報案。對方輕易地報出了李紅身份證號，這令她開始相信電話那頭的「警官」。

李紅被轉接給哈爾濱市公安局的“劉警官”。對方告訴她，她涉嫌「李燕反洗錢案」，並讓她登錄一個網站查看「公文」。李紅用手機登錄對方提供的網站後，發現在一張藍底的「通緝公告」上，印著自己的身份證照片、身份證號等戶籍信息。

這令她陷入恐慌，因為在她平常的認知中，這些信息只有公安內部的人才能獲得。接下來，她對警官的指揮百依百順。按照指示，她從網站下載了「公安防護」軟件和視頻會議軟件矚目。

「公安防護」是一款詐騙人員常用的「李鬼」手機軟件，其設計模仿「國家反詐中心」，如果受害者在裡面輸入銀行卡和密碼，詐騙人員就可在後台獲取這些信息。

對方告訴李紅，為了驗證她是本人操作，她要通過「矚目」開啟會議模式，於是李紅的人臉信息輕易暴露在對方面前。這也成為對方實施詐騙的關鍵一環。

交易記錄顯示，14：06至14：09，李紅向這張卡轉賬5筆共計25萬元，14：11和14：13，又分兩筆轉入5萬元，此時李紅卡內已有30萬元。短短幾分鐘後，14：20詐騙人員就通過掌握的李紅的手機銀行，將這30萬元轉了出去。此後在14：30，李紅又向卡內匯入12.9萬元，這些錢在14：40被悉數轉出。至此詐騙人員轉走了李紅42.9萬元。

詐騙人員掌握了李紅的「人臉識別+動態密碼」後，通過修改密碼，登錄了她的手機銀行，此後便如入無人之境，即使李紅設置了每日5萬元轉賬限額，也在詐騙人員登錄後被輕易修改，之後每筆大額轉賬也都通過「人臉識別+動態密碼」驗證通過。

華客新聞 | 真實新聞與歷史：大陸銀行人臉識別系統被攻破 詐騙犯IP顯示在台灣