IT时报记者潘少颖
　　自己没有登录银行App、没有接到银行电话确认，也没有通过人脸识别进行验证，甚至连手机银行App都没下载过，可账户里却被转走了近43万元。这是北京市丰台区人民法院近日受理的一起诉讼案。
　　据报道，该案原告李红（化名）去年接到自称“北京市公安局户政科陈杰警官”的来电，通过一系列“引导”，诈骗分子获取了李红的银行卡和密码数据，还有李红的人脸数据，诈骗分子通过假人脸将6次的人脸识别验证一一攻破，然后盗刷账户内钱款。
　　一时间，对银行人脸识别系统是否安全的质疑被推上风口浪尖。目前的人脸识别技术或许还难以承受保护好人类这唯一的生物信息的“重任”，“刷脸”还须谨慎。
能作假的活体检测
　　“人脸识别只是这个诈骗过程中的一环，问题的关键点在受害者下载的App上。”GeekPwn实验室安全专家宋宇昊向《IT时报》记者表示。
　　据媒体报道，在李红的账户被盗前，李红曾在“哈尔滨市刘警官”的“指导”下，下载了“公安防护”和“瞩目”这两个App，在注册登录时录制了视频进行验证，并进行了屏幕共享，开启了手机拦截电话、短信等功能。“哈尔滨市刘警官”还让李红办理一张交行卡，把存款转入其中，名曰“核实个人资产”。
　　在宋宇昊看来，通过这两个“李鬼”App，诈骗分子获取了李红手机上的重要信息，其中包括李红录制的验证视频，还可以远程控制她的手机。掌握了受害人的人脸视频，劫持了受害人的电话和短信，诈骗分子可以轻而易举地以李红的名义登录手机银行进行各种操作，包括密码重置、限额调整、大额转账等。而李红却因为手机开启了拦截电话、短信等功能，对于这一切毫无察觉。
　　按照常理说，人脸识别肯定要真实的本人出现在镜头中才能通过验证，为什么诈骗分子利用视频也能通过活检呢？
　　宋宇昊解释，现在能绕过人脸识别的方法比较多。“最原始的方法，就是攻击者得到了人脸视频后，打开手机上的银行App，在验证环节对着人脸视频进行验证，存在验证通过的可能性。现在有的App人脸验证系统已经对此类方法进行了防护，可以识别出摄像头对准的是一个屏幕。”宋宇昊说，此外，攻击者通过代码开发对银行App、手机系统动手脚，入侵人脸识别的底层系统，劫持摄像头，在银行App不启动摄像头的情况下，把视频流直接传给银行App，也能绕过活体检测。
　　在交行银行卡被盗刷的案例中，诈骗分子绕过了活体检测的环境，骗过了银行App。虽然活体验证的攻防对抗技术有所提升，但依然会存在漏洞。
　　瑞莱智慧RealAI团队曾通过对抗样本攻击，破解19款安卓手机的人脸识别解锁系统。即便是搭载了交互式活体检测功能的十余款金融和政务服务类App，也都被轻易破解。
类似案件频发
　　李红的遭遇并非孤例，据媒体报道，从2020年10月至2021年10月，有多名交通银行储户被犯罪分子诱骗，将钱存入交通银行后被盗刷，金额高达数百万元。有被盗刷的交通银行储户认为，犯罪分子指定交通银行而不是其他银行，是因为他们发现并利用了交通银行的人脸识别漏洞。
　　除了交行，近日又有媒体报道，中行储户也遇到了类似的情况。接到“涉嫌境外洗钱”的电话后，该储户点击打开了诈骗分子通过短信发来的链接确认身份信息，随后在自己本人未登录、未操作、未进行人脸识别的情况下，被转走了20万元，而且也没有收到银行的电话确认和短信告知。值得注意的是，该储户表示，自己拍过一段视频，动作包括点头摇头等。
　　虽然在安全界人士看来，盗刷的源头是储户通过不明链接下载了带有风险的App，但背后的人脸识别验证问题依然不容忽视。
　　一位银行从业人士告诉《IT时报》记者，银行会根据不同的业务场景匹配不同的验证要素。根据中国银保监会要求，银行不能把生物信息作为主要或者唯一的校验因素，只能作为辅助手段，卡密验证等一些传统的验证方式才是主要的。
　　在他看来，发生银行卡被盗刷的原因有二：一是用辅助校验代替了主要校验手段，二是活体检测技术不够完善。“银行主动发起的活体验证，指令应该是随机的，比如要求前一个用户做眨眼、摇头动作，要求后一个用户做抬头、向右转等动作。如果受害人的视频可以通过银行App的验证，也有可能掌握了指令的规律。”该人士表示，目前使用人脸识别技术的银行主要通过两种模式，一种是购买技术服务供应商提供的人脸识别技术，自建系统，这一类比较多，大银行一般都有自己的对比源，比对过程掌握在银行自己手里；另一种是完全依托第三方公司，银行只看比对结果，这种风险比较大，主要集中于一些没有对比源的小银行。
　　银行的防护能力关系到储户的资金安全，在上述银行人士看来，目前，生物识别认证没有形成统一的标准，但银行使用人脸识别却已相当普遍，各家银行的技术能力参差不齐，在风险防控方面也面临着诸多挑战。
“魔”与“道”的斗法
　　在李红诉交行案件中，法院一审认为，李红在资金被盗过程中“过错明显”，交行作为指令付款方，已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份，未见存在明显的错误或过失。最终，法院一审驳回了李红的上诉。
　　也有律师认为，银行“人脸识别技术是否存在漏洞”的情况不能被忽略，如果真因为人脸技术识别了假人脸导致损失，作为要求使用人脸识别技术作为验证手段的一方，理应承担责任。“虽然现在人脸识别已经广泛普及，但是对涉及技术局限和风险的公共教育和学界讨论、对法律上的举证责任、举证能力、风险防范能力、司法公正的考量、对技术带来的社会权力的对比和分析，各个环节都是缺失的。”有律师这样表示。
　　当风险来临，恰似一场“魔”与“道”的斗法，看谁更技高一筹。
　　清华大学法学院教授劳东燕曾对媒体表示：“人脸识别技术的实质，是收集用户的生物信息，其最常见的使用目的、场景都是身份认证。身份认证本身没有多大风险，人脸识别的风险主要在于通过人脸这种独特的、具有可识别性的生物信息，同特定的个人锁定之后，就可以对某个特定个人的所有行踪进行识别、追踪。人脸识别技术肯定有好处，但对于个人和企业来说，也必须意识到风险和危害。”
　　在立法层面上，对人脸信息的保护正在逐步加强。对于金融机构来说，远程交易过程中的生物识别是其面临的一大课题。“在生物识别验证方面，金融行业应建立统一的标准，技术水平各不相同的银行可以参照执行。此外，风险防控是一种立体的思维方式，银行需要通过技术手段加强一整套风险监测、风险处置的流程。”上述银行从业人士认为。