株洲银行人脸识别系统被攻破：43万元不翼而飞，“刷脸时代”如何防风险？

文章来源：鸿门科技 发布时间：：2022-10-23 点击量：9857

近日，一交通银行用户被电信诈骗偷走近43万元，更为严重的是，银行系统后台显示，在进行密码重置和大额转账时，该名用户进行了六次人脸识别比对，均显示“活检成功”。

既然不是本人操作，为何银行会显示“活检成功”？事后警察调查发现，该名用户被电信诈骗团伙以“警务人员”的身份引导下载了“公安防护”软件和视频会议软件“瞩目”。

“公安防护”软件其设计模仿的是“国家反诈中心”，受害者若是在里面输入银行卡及密码，诈骗人员就可在后台获取到这些信息。而“瞩目”表面是一款普通的视频会议软件，但却有共享屏幕功能，诈骗人员可以通过这项功能远程操控受害人的手机。同时，受害人使用“瞩目”软件开启会议模式，将自己的人脸信息暴露，这便让诈骗人员同时拿到受害人的银行卡密码和人脸信息。

银行通过“人脸识别+短信验证码”的验证模式来确认是否为用户本人亲自操作，当受害人暴露了自己的人脸信息并共享了手机屏幕后，便可轻易骗过银行系统。

人脸识别技术属于人体表外特征，人脸信息随时暴露在外，你的人脸特征往往在不经意间就已被盗取。

近年来有不少利用人脸识别进行犯罪的案例，如2021年合肥就有犯罪团伙利用AI人工智能技术伪造他人人脸动态视频，骗过人脸识别，为黑灰产业链提供注册手机卡等技术支撑。

目前针对人脸识别的安全攻击主要有两类：一种是通过网络对生物识别信息截取，然后针对认证系统进行攻击，大多数电信诈骗利用的就是这一点；另一种是通过深度伪造生物识别信息，做出及其逼真的3D人脸模具，达到以假乱真的效果。

利用人脸识别犯罪会带来不少的危害，首先是会泄露个人隐私，导致你的所有信息透明；其次会侵犯财产安全；最后是会带来用户信息被冒用的风险。

人脸特征作为一种辨识凭证，涉及隐私、关联安全，当人脸识别的安全性受到严重的挑战，暴露隐私的缺陷进一步放大之时，我们就不得不考虑人脸识别技术的可用性了。有专家认为，最好的办法是限用人脸识别，因为还有比人脸识别更安全便捷的生物识别技术。

当前市场上应用较多的生物识别技术有指纹、虹膜、人脸识别、掌静脉识别等，其中指纹、虹膜、人脸识别均属于人体表外特征，均存在生物特征容易被窃取等风险；其中掌静脉识别属于人体表内特征，其生物特征隐藏于皮肤下，即使皮肤表面存在损伤、污渍、潮湿都不会对静脉识别造成干扰。

掌静脉识别既具有生物的唯一性，又不会像人脸识别一样被盗取人脸特征，同时掌静脉具有活体识别功能，目前高端的掌静脉识别装置甚至可以做到感应静脉的血液流速并进行模糊判断，即使犯罪分子获取到掌静脉图像也如废纸一般。

目前已有银行采用了掌静脉识别技术用于快捷交易系统，不仅可以解决IC磁卡易丢失、盗用，人脸识别、指纹易复制等安全隐患，还具有使用方便快捷、非接触识别、不可复制性等优势。

银行是人脸识别技术的引进和使用者，是作为风险制造的参与方，未来使用更为安全的生物识别技术，将此安全漏洞封闭，也许能更有效地减少金融诈骗犯罪的产生。