普通大眾認為具有較高安全性的人臉識別技術,卻被黑客輕易攻破。內地媒體近日揭露一起金融騙案,北京市民李紅(化名)被騙子利用人臉識別騙走近43萬元人民幣,事件涉及的銀行系統後台顯示,在進行密碼重置和大額轉賬時,詐騙人員通過獲取李紅的人臉信息,在境外冒充李紅共進行6次人臉識別比對,均顯示「活檢成功」,人臉識別技術的安全性由此再度受到質疑。人臉識別技術目前已經在內地賓館商場等多場景被限用。業內人士表示,面對可能存在的安全漏洞,民眾仍需在生活中加強反詐警惕。
去年6月19日,詐騙分子冒充北京市公安局的警官告訴李紅,她的護照在哈爾濱涉嫌非法入境。詐騙分子先誘導李紅在詐騙軟件中輸入銀行卡號和密碼,又要求她共享自己的手機屏幕,遠程操控她的手機。
偷人臉信息 破登入驗證
最後,詐騙分子以「驗證她是本人操作」為由,開啟視頻軟件的會議模式,使得她的人臉信息輕易暴露在詐騙分子面前。銀行後台顯示,詐騙人員此後順利通過了銀行「人臉識別+動態密碼」的登入認證,登錄了她的手機銀行,此後分6次轉走了李紅卡上的42.9萬元人民幣。李紅之後以「借記卡糾紛」為案由起訴交通銀行,要求銀行賠償存款損失,但今年6月30日,北京市豐台區人民法院一審駁回了李紅的全部訴求。
電話金融騙案屢禁不止,但因為人臉具有唯一性的生物識別信息,人臉識別技術此前被認為具有較高安全性,普遍適用於銀行等驗證場景。而實際上,因為人臉信息在如今極易獲得,且通過相應的技術手段都有幾率攻破人臉識別,因此該技術並不完全可靠。
據了解,人臉識別技術目前已經在內地多場景被限用。去年8月1日起,最高法出台的《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》開始施行,其中規定在賓館、商場、銀行、車站等場所違法違規使用人臉識別技術進行人臉驗證、辨識或者分析,均屬於「侵害自然人人格權益」的違法行為,並明確禁止物業強制刷臉等應用場景。而公民狀告物業濫用人臉識別也屢屢獲得勝訴。
錯誤頻出現 應多重認證
劉振帥先生在北京從事人臉識別研發。接受大公報採訪時他透露,自己就曾在人臉打卡機上,通過識別他人的人臉成功打開門鎖。人臉識別有一定的錯誤率,增加安全級別,目前較常用的辦法是增加人臉識別動作確認,或者配合加上聲紋等多重認證機制。在他看來,面對人臉識別可能存在的安全漏洞,除了加強銀行等機構的風控確認之外,民眾仍需要在生活中多一些反詐警惕。
根據《人臉識別應用公眾調研報告(2020)》,六成受訪者認為人臉識別技術有濫用趨勢,三成受訪者表示已因人臉信息洩露、濫用而遭受損失。不少網民表示,人臉識別的安全實在堪憂,「還不如密碼保險」,希望需要使用人臉識別的平台能夠提供更多選項,如密碼或更「高級」的指紋驗證等。也有民眾表示,只有從源頭着手,多對銀行等具有高風險的系統所使用的人臉識別技術做出更高的要求和監管,才有可能在最大程度上填補人臉識別帶來的安全漏洞。