光大银行光大银行““生物识别密码转账机制生物识别密码转账机制””被指有漏洞被指有漏洞记者测试记者测试：：转账需多重验证转账需多重验证但面容但面容Face IDFace ID可登录他人账户可登录他人账户
IT时报记者潘少颖图东方IC
　　8天内，存在光大银行的85万元不翼而飞，没有验证码二次确认，没有短信提醒。
　　2021年8月，沈阳的钱云（化名）遭遇了电信诈骗，人脸、指纹等生物识别密码没能挡住对方。一年来，钱云全家都在寻找“85万消失”的原因和线索，警方告诉他们，钱款已被全部转至境外，案件还在侦破中。“银行告诉我们，转账时只要选择了指纹识别，就不会给签约手机发验证码，但这个指纹调用的是手机里的指纹识别结果，不是我岳母的。”钱云的女婿李豪（化名）认为，这是导致钱款消失的主要原因。
　　《IT时报》记者分别联系涉事的光大银行沈阳铁西支行和光大银行电话客服，截至发稿，都没有得到银行对此事的说法。
　　1个多月来，关于银行生物识别被攻破的案例屡见报端，诈骗分子“骗”过了银行的人脸识别安全系统，用App控制了被骗人的手机，利用人脸识别+动态密码的方式转走了储户的所有存款。
　　然而，钱云案例中可能呈现出一种新的风险：有些银行在登录、转账时支持的生物识别认证结果，其指纹、面容信息均取自操作者的手机系统。
　　去年10月，李豪在自己的手机上登录了弟弟的光大银行账户，转账输入密码时，银行App申请调用手机的Face ID，李豪用自己的脸通过验证，转账成功。这意味着，最后一道关口，银行将核实密码的权力交给了手机厂商。
　　接到李豪投诉后，《IT时报》记者进行了多日测试，在签约手机、登录密码、验证码等多重验证的情况下，开通面容ID支付并不如李豪测试视频中那么轻而易举，走到最后一步之前，银行设置了重重障碍。
　　然而，允许将手机自身的生物识别结果调用为银行转账时的验证密码，在安卓手机指纹被破解、人脸识别被骗过、大批数据泄露等消息并不鲜见的当下，是否妥当？当越来越多的技术手段被用于银行降低成本时，谁来为风险担责？
事件缘起
2021年8月初，钱云在家附近的光大银行开设了一张储蓄卡。8月12日晚，钱云发现银行卡里的85万余元消失了。查询后发现，2021年8月3日~8月10日间，钱云的账户发生多次转账。今年4月22日国家信访局给李豪的回复中表示，经过大数据查询，钱款已被转往国外账户。
生物识别系统可能被双重攻破
　　此前交通银行储户被盗刷43万元的案例中，受害人下载了诈骗分子推荐的App，对方通过这项功能远程操控她的手机，为她的手机号设置了呼叫转移，令其无法接收短信和电话，而且录制了她的视频。此后警方调查发现，银行系统后台显示，在进行密码重置和大额转账时，“李红”进行了6次人脸识别比对，均显示“活检成功”，而登录者的IP显示是中国台湾地区。业内普遍认为，这意味着，交行的人脸识别系统被攻破了。
　　今年近70岁的钱云，并不太清楚自己的密码在哪个环节泄露了，甚至连自己的人脸信息有没有泄露也不太清楚。家人只能试图从她的描述中还原事件的过程，“她在很多网络平台上用的账户密码是相同的，有可能是账户密码泄露了，但在被盗刷几乎同一时间，她接到过诈骗电话，也可能是被诈骗分子利用了。”李豪分析，诈骗分子在异地通过账号密码登录了岳母的光大银行手机账户，以假人脸通过了银行的认证系统，并开通了指纹识别密码功能，这样既能进行大额转账，转账时也不需要签约手机收取验证码，加上岳母没有开通余额短信通知，一次次转账在毫不知情的情况下发生了。
他的脸可能是你的转账密码
　　账户被盗刷后，李豪多次向光大银行相关人士以及客服人员了解情况，银行人员不经意透露的一个信息震惊了他：转账过程中，银行验证的是机主的指纹或人脸，而非卡主的指纹或人脸。也就是说，只要机主的人脸或指纹能够通过手机验证，给银行一个“yes”的答案，银行便可以通过验证。
　　这在李豪看来有点“匪夷所思”，“开卡时，我岳母留了自己的指纹和人脸信息，那为何银行不去比对储户信息，而是采用手机给出的验证结果呢？如果A在自己的手机上登录了B的账号，那不就可以用A的人脸去通过面容ID了吗？”
　　为了验证这个想法，去年10月，李豪做了一个测试。在李豪发给记者的一段视频中，他在自己的手机上登录了弟弟的光大银行手机账户，给一张没有转账过的银行卡转账1500元，输入交易密码后，手机页面上显示调用FaceID进行人脸识别，此时摄像头对准的是李豪的脸，并非其弟弟的脸，页面显示验证通过，转账成功。
　　“理论上，应该是将我弟弟的脸和他在银行预留的生物信息比对才能转账，但从这次测试看，验证的是机主的脸。现实生活中，储户无法100%保证不使用其他人的手机登录手机银行，这种情况带来的财产损失谁来承担？”李豪对此颇为不解。
记者测试
在核实身份和转账过程中，银行生物识别系统到底验证的是谁的信息？记者向多位银行业人士了解，大多数银行验证的是卡主的生物信息，“转账时不验证卡主信息，却去验证机主信息，逻辑不对。”一位银行业人士表示。农行、邮政储蓄等银行客服人员也表示，验证生物信息时匹配的是卡主信息。“系统会综合考虑用户的设备环境，通过验证码、交易密码、生物识别等方式交叉验证用户身份，生物信息是和卡主本人比对。”邮政储蓄银行客服人员说。
确认：可用面容ID登录他人账户
　　李豪提供的视频显示，此前涉事银行人员明确说，转账时比对的是机主的指纹信息。8月22日，李豪再次致电光大银行客服电话，客服人员同样表示，如果在他人手机上登录自己的银行账号、转账验证的是机主的指纹信息。
　　8月24日《IT时报》记者在拨打光大银行客服热线时，也得到了类似的答案，“卡主可以设置采用生物信息识别的额度，如果用了生物信息认证，是没有短信验证码的，只需要交易密码和生物识别通过即可，不过，当银行监测到风险时，会要求转账者先与银行系统里的卡主信息进行比对，通过身份验证后才能继续下一步。”
　　8月22日，记者在光大银行上海某网点办理了一张储蓄卡并开通了手机银行。当记者试图在另一部手机上登录此账户时，系统提示，只能使用手机验证码的方式，而且首次登录时，还需要输入登录密码。也就是说，像李豪视频中显示的，仅靠手机号码和登录密码便能进入他人账户，已不可能。
　　但如果像交通银行案例中那样，储户密码泄露、手机被劫持，验证密码被转发至诈骗分子手机中，那这一步便也不再是障碍。
　　随后，通过手机号码、登录密码、验证码，记者同事顺利在她的手机上开通了面容ID登录。也就是说，她在自己的手机上，可以刷脸登录记者的账户。
　　但在开通面容ID支付时，银行App要求先通过人脸认证，也即类似随申码验证时的场景，需要做出点头、摇头等动作，走到这一步，无论是记者的脸，还是同事的脸，在记者同事的手机上均未通过。最终，记者在自己的手机上完成了这个识别过程，但最后开通的面容ID支付，同样调用的是手机本地的识别系统。
　　毕竟离钱云账户被盗刷已过去一年，银行安全系统可能已升级多次，记者无法完整复刻李豪的测试，但至少证明一点，打开面容ID登录功能后，银行App在登录时，确认的是手机机主的验证结果。
多家银行支持机主生物密码转账
　　经过多日测试，记者发现：银行的人脸识别系统负责身份验证，手机的生物识别密码负责密码验证。
　　知乎上，一篇认证为“云从科技”的账号发表了一篇名为《当“powered by云从”成为银行标配，光大银行加入！》的文章，其中提及“云从科技集中存储客户生物识别信息，并识别人脸、证件”，但并没有提及转账交易。《光大银行手机银行面容ID认证服务协议》中则提到，“甲方开启面容ID认证功能时，甲方应理解面容信息的采集、存储和比对等服务将由甲方使用的手机或设备及其系统来完成，此类设备可以将用户的生物识别信息与事先录入并存储在该设备上的特征数据进行比对核验。”从这句话上也可确认，银行面容ID是与手机里所存储的个人生物信息进行比对。
　　不仅是光大银行，其他银行的用户生物信息协议中，也有类似条款。比如浦发银行生物信息认证协议中提到，指纹、面容生物识别信息特征的录入、修改和删除等管理操作，均由手机系统提供。
　　8月23日开始，《IT时报》记者多次联系光大银行铁西支行以及支行管理人员未果，光大银行负责投诉的相关客服人员则表示会尽快跟进处理，但截至发稿，也无回音。
　　李豪告诉记者，光大银行认为账户被盗刷的责任在其岳母自身，只能等待警方破案。
　　此前交通银行盗刷案件，银行亦被认为无责。
　　下转09版