2021年8月,沈阳的钱云(化名)遭遇了电信诈骗,人脸、指纹等生物识别密码没能挡住对方。一年来,钱云全家都在寻找"85万消失"的原因和线索,警方告诉他们,钱款已被全部转至境外,案件还在侦破中。
"银行告诉我们,转账时只要选择了指纹识别,就不会给签约手机发验证码,但这个指纹调用的是手机里的指纹识别结果,不是我岳母的。" 钱云的女婿李豪(化名)认为,这是导致钱款消失的主要原因。
《IT时报》记者分别联系涉事的光大银行沈阳铁西支行和光大银行电话客服,截至发稿,都没有得到银行对此事的说法。
1个多月来,关于银行生物识别被攻破的案例屡见报端,诈骗分子"骗"过了银行的人脸识别安全系统,用App控制了被骗人的手机,利用人脸识别+动态密码的方式转走了储户的所有存款。
然而,钱云案例中可能呈现出一种新的风险:有些银行在登录、转账时支持的生物识别认证结果,其指纹、面容信息均取自操作者的手机系统。
去年 10 月,李豪在自己的手机上登录了弟弟的光大银行账户,转账输入密码时,银行 App 申请调用手机的 Face ID,李豪用自己的脸通过验证,转账成功。这意味着,最后一道关口,银行将核实密码的权力交给了手机厂商。
接到李豪投诉后,《IT时报》记者进行了多日测试,在签约手机、登录密码、验证码等多重验证的情况下,开通面容ID支付并不如李豪测试视频中那么轻而易举,走到最后一步之前,银行设置了重重障碍。
然而,允许将手机自身的生物识别结果调用为银行转账时的验证密码,在安卓手机指纹被破解、人脸识别被骗过、大批数据泄露等消息并不鲜见的当下,是否妥当?当越来越多的技术手段被用于银行降低成本时,谁来为风险担责?