危险的指纹，86万银行存款突然没了

近年来，人脸识别、指纹识别等身份验证技术已成为手机银行的“标配”，在帮助用户提高效率的同时，也衍生了一些弊端。近期，有用户发现，在光大银行手机端转账时所验证的指纹，并非是本人在银行录入的指纹，而是手机内存储的指纹。基于这个发现，该名用户对“指纹识别”拥有的高权限产生了质疑。

作者丨 周奕航

编辑丨 韩忠强

一名用户将自己的86万元积蓄存入了光大银行。但这些存款在短短的8天时间内，就被洗劫一空。

“在没有交易密码，没有短信验证码的情况下，存款是如何被盗走的？”起初，该名用户百思不得其解。直到她的家人查询了登录设备，发现盗刷者是通过指纹登录了手机银行账户，又以指纹支付的方式，将存款盗刷。

随后，她的家人按照光大银行指纹识别的流程测试了转账系统，并对系统的安全性产生了质疑——转账过程中验证的指纹并非是银行卡卡主的指纹，而是盗刷者的指纹。

近年来，随着大数据、云计算、人工智能技术的发展，生物识别（人脸识别、指纹识别）应用已成为手机银行的“标配”。但它们在为用户提供高效便捷服务的同时，也给一些别有用心的人提供了可乘之机。

86万存款被盗刷背后

2021年8月，年过六旬的文惠在光大银行柜台办理了一张储蓄卡。开通手机银行功能后，存入了10万元钱。然而让她始料未及的是，这笔钱只在她的账户短暂停留了一瞬，就“失踪”了。

文惠对存款被盗一事毫不知情。在后续的一周里，老人陆续向该卡内转入3笔存款，最多的一笔为38万元。这三笔存款也没能逃过被盗刷的命运，存入后立刻被洗劫一空。

算上最开始的10万元，文惠将自己的86万存款全部转入了该账户中。但由于老人的日常支出较少，取款的机会也是少之又少，直到2021年8月12日，文惠需要一笔钱急用，连续几次交易失败后这才发现账户异常。

（8月3日-8月10日银行账户交易流水，来源：用户提供）

文惠的家人立刻报警，联系银行冻结账户。但为时已晚，在8月3日-8月10日之间，存款已被盗刷。对此，文惠及家人无法理解——明明转账限额只有5万元，在没有收到短信验证码验证的情况下，盗刷者是如何在短时间内盗走了大额存款？

林浩（文惠家人）查询了该账户的近期登录设备，记录显示盗刷者在一台OPPO手机上通过指纹登录了银行账户，随后又以指纹支付的方式完成了多笔大额转账。

（来源：用户提供）

正常情况下，在光大银行手机端进行转账时需要交易密码和短信验证码进行双重验证。如果开通了指纹支付，仅需要交易密码和指纹就可以完成交易，同时还可以将转账限额修改为50万元。

为了进一步了解情况，林浩对光大银行的转账系统进行了测试，同时用视频记录了测试的全过程：首先在他的手机设备上登录文惠的银行账户，输入交易密码后到了验证指纹的环节。戏剧性的一幕出现了——林浩用自己的指纹，将文惠账户的存款成功转出。

这个发现让文惠一家极为震惊：如果盗刷者掌握了对方的交易密码，就可以在他的手机设备上使用自己的指纹，将其它用户的存款盗走。

与此同时，在林浩提供的一份与光大银行客服对话录音显示，用户开通指纹支付后，交易时验证比对的指纹是手机机主的指纹，并非是卡主的指纹。

“在银行网点开卡时中有录入指纹的环节，但在手机端登录和转账时查验的指纹却来自手机系统，并非是银行系统。”林浩认为，光大银行转账系统存在漏洞，在进行指纹认证程序时，银行没有尽到自己的责任，而是将核实指纹真伪的权力交到了手机厂商的手中。

至于交易密码的泄露过程——林浩推测，老人手机上的软件数量较少，而且习惯用同一个密码。有可能是盗刷者通过黑客手段碰撞其他软件，破解了她的银行卡交易密码。

在裁判文书网中，确有类似案件的判决记录：有犯罪嫌疑人非法购买公民个人信息，以黑客手段对受害者的信息进行碰撞，最终破解了受害人的账号和密码。在该案件中，光大银行因没能保障客户存取款交易安全不受非法侵害，被判全责。

（来源：中国裁判文书网）

对此，文惠家人认为：“在银行存款被盗取前，老人并未进行网银操作，甚至手机、银行卡、身份证均未离身，因此光大银行同样没能尽到保护用户银行卡信息安全的义务。”

截至目前，距离存款被盗刷已有一年多时间。关于案件的进展情况，国家信访局的告知信息中显示：经过大数据查询，钱款已被转往国外账户。目前尚无法确定嫌疑人身份，大概率是在缅甸附近。

“这笔钱是文惠和她母亲一辈子的积蓄，以后是要留给小孩的。”林浩表示：“对于这样的结果，我们也很难以接受。”

生物识别安全几何？

重新梳理文惠存款被盗刷的过程后，市界发现：在光大银行手机端首次登录时，需要手机号码、登录密码以及短信验证码； 开通指纹登录功能后，则省去了登录密码和验证码的环节，可以通过指纹直接登录账户。

然而在开通指纹支付的过程中也同样需要输入交易密码和短信验证码，并在最后通过人脸识别验证后，才能开通指纹登录和指纹支付功能。

也就是说， 除交易密码泄露以外，文惠的短信验证码也可能已被窃取。

近年来，电信诈骗猖獗，许多不法分子以发送短信链接的形式进行诱导，一旦用户点击链接，手机就会被植入木马病毒。不法分子再利用木马病毒对用户的短信和电话进行拦截，进而获取短信验证码等信息。

在文惠的印象中，她没有点过不明链接，也不太清楚自己的密码和短信验证码究竟在哪个环节泄露，家人只能试图从她的描述中来还原事件的整个过程。

值得一提的是，盗刷者在进行第一笔大额转账时，光大银行后台曾给文惠打过两个视频电话核实身份，但文惠没有及时接到，导致第一次的交易因审核未完成而取消。随后，光大银行将验证方式改为了人脸识别联网核查（点头、张嘴、转头等方式），验证了“文惠”的面容，六分钟后，该笔交易成功。

林浩查询转账明细后发现：盗刷者共进行了9笔大额转账。只有第1笔交易有人脸识别的联网核查，其它交易仅通过交易密码和指纹认证的方式就被转出。

（来源：用户提供）

“一般来说，不法分子会通过多种非法渠道来获取人脸照片。”人脸识别专家刘天表示： “有可能是利用证件照片或是本人视频截屏（被骗进行视频通话）；或是通过合成照片后进行面部替换，生成张嘴、眨眼、转头等动态人脸；还有可能是利用网络攻击手段，在不启动摄像头的情况下，向系统中注入伪造的动态视频来通过人脸认证。”

蓝田是一名在人工智能科技公司工作的技术人员。谈及生物识别的发展现状，蓝田认为：目前的人工智能技术已较为成熟，基本可以做到防范诈骗。但 由于人脸识别或指纹识别在不同的场景应用时涉及成本、用户体验、检测速度等一系列问题，致使不同银行选择的安防系统不同，所以安全等级也会不同。

至于指纹和人脸的安全性问题，刘天表示：“这是个老生常谈的问题。重点要看银行、手机厂商是否愿意承担高成本。 如果成本不受限制，指纹和人脸的安全性相差不多——虽然指纹识别属于接触式识别，可能会受汗水、灰尘等影响，甚至还存在部分指纹的纹理恰巧在算法的盲区，无法被识别的情况。但这毕竟是小概率事件， 从社会的发展角度来看，使用生物识别的便捷性要超过弊端。”

目前人工智能技术供应商也在帮助银行升级风控系统，进行AI反欺诈管理——根据数据判断是否存在异地登录等一系列涉嫌欺诈的行为，一旦触发风险条件，系统会自动执行强控制措施。

“但如果银行选择的系统安全性不过关，那么攻击者有可能会通过代码开发对银行App、手机系统动手脚，入侵人脸识别的底层系统，劫持摄像头，在银行App不启动摄像头的情况下，把视频流直接传给银行App，也能绕过活体检测。”

指纹权限过高？

目前，生物识别（人脸识别、指纹识别）已广泛应用于各类场景，对于注重交易安全的银行业来说，更是占据着举足轻重的地位。

在上市银行公布的2022年半年报中，“金融科技”无疑是高频词汇。2022年上半年，多家商业银行将发展金融科技、推进数字化转型提升到更高的战略层面，金融科技投入金额和科技人才数量占比同比均大幅提升。

以光大银行为例，截至2022年6月30日，公司科技投入 21.38 亿元，同比增长 25.47%；全行科技人员 2598 人，比上年末增加 237 人，占全行员工的 5.69%。

除此之外，光大银行还在半年报中表示：公司深化建设“123+N”数字银行发展体系。“一个智慧大脑”持续赋能，开发训练算法模型超900个；实现多模态生物识别的交叉应用，覆盖场景500余个。

“从目前情况来看，包括工农中建在内的国有四大行，拥有自己的人工智能开发中心和业务系统；但也有一些城商行受成本和需求影响，选择从外包公司采购搭载着算法和模块的相应产品。” 蓝田表示：“有的银行将重点放在人脸识别上，有的银行是OCR（身份证、银行卡图文识别），有的较重视AI 反欺诈，有的是规范网点行为······不同银行的需求不同，最终选择的算法模块也会不同。”

通常情况下，模型越复杂，运行速度越慢，但同时识别精度和准确率也会越高。考虑到用户体验感以及卡顿等因素， 部分手机厂商会选取轻便化的模型，减少部分算法流程来提高运行速度。但银行对安全性的要求极高，这样的模型无法满足基本要求。

在与文惠家人交谈的过程中，有一句话让人深刻——我明白银行进行生物识别认证的初衷是为了增加安全屏障，但从效果来看，似乎并不尽如人意。

如其所说，即便文惠存在信息泄露的情况，最初的转账限额也仅为5万元。但盗刷者利用不属于老人的指纹，来调高转账限额，致使老人蒙受巨额损失。

“既然无法保证绝对的安全性，为何指纹识别可以拥有替代短信验证、甚至是调高转账限额这样的高权限？”

而光大银行沈阳市铁西支行（文惠开卡网点）则认为：老人存款被盗走的根本原因是遭到了电信诈骗，并非是因为银行的漏洞导致被骗。该行行长同时还表示：关于此事，总行会给监管回复。

市界查询其它银行APP后发现， 大部分银行在进行转账交易时需要输入交易密码和短信验证码进行验证。即便是开通了指纹支付功能，也仅能应用于购买电影票等生活类场景，并不具备转账权限。

面对猖獗的电信诈骗，许多年轻人尚不能保证自己不会落入其中的陷阱。对于老人群体来说，他们更需要社会的保护和关怀。在这场魔与道的较量中，银行唯有不断升级风控系统，降低风险概率，才能最大限度地减少用户的损失。

（文中文惠、林浩、刘天、蓝田均为化名）

,危险的指纹，86万银行存款突然没大鱼海棠经典台词 了

相关：

李少红谈《世间有她》周迅表现：超出对她的期待 日前，导演李少红接受电影频道中国电影报道栏目专访，谈到时隔十六年和演员周迅再度合作的感受，直言对方在电影《世间有她》里的表现超出自己的预期。电影《世间有她》以女性视角讲述普通人在困境中找寻爱与希望的故事，感人至深。周迅与许娣的对手戏在上映后获得观众们的好评。对此，导演李少红认为正是女性视角让《世间有她》有了独有的特质。作为在《生死劫》后两人的再度合作，李少红表示两人是“一拍即合”，周迅最后接到..

阵容豪华！惊悚片《菜单》曝海报 主角各怀鬼胎 近日，由安雅·泰勒-乔伊、拉尔夫·费因斯、尼古拉斯·霍尔特主演的电影《菜单》曝光了全新的海报。在海报上，影片的三位主角处于C位。海报上的每个人物，表情和眼神都不一样，似乎所有人都心怀鬼胎，而这也就给影片笼罩上了一层别样的不详特色。影片的故事设定在一个古怪的烹饪文化世界中，讲述一对年轻的爱侣去往某孤岛上一家高档餐厅，一位享有盛名的大厨为他们准备了豪华菜单，其中有令人震惊的“惊喜”。影片是一部发生在..

全球首部NFT电影将首映 《SHIP》领航纵横古今 由新加坡公司东京艺术国际(“ATG”)出品的全球首部沉浸式NFT艺术电影《SHIP》即将于2022年11月下旬在新加坡举行首映，并计划于2023年初在电影院与流媒体平台进行全球发行。该电影运用了用户互动技术，为电影工业树立了一个新的里程碑，让观众在大银幕或即便舒适地在家里就能与电影轻松互动。SHIP领航观众变船员 穿越人类文明变迁《SHIP》的故事建立在阿玛西亚（Amasia）的推测性地质理论之上——在遥远的未来，各大洲聚集后合..

《狂飙》发布先导预告片 张译饰演警察对决张颂文 9月15日，由徐纪周导演，张译、张颂文、李一桐等人主演的《狂飙》发布先导预告片。片中，在全国政法队伍教育整顿工作开展后，张译饰演的刑警在上级派出的指导组指导下，最终铲除了盘踞多年为害一方的黑恶势力团伙。《狂飙》先导预告片截图从先导预告片来看，《狂飙》的时间跨度长达21年，以张颂文饰演的黑恶势力骨干成员的种种恶行也逐渐浮出水面。作为一名警察，张译坚持与黑恶势力作斗争，并取得了最终的胜利。《狂飙》先导..

漫威《复联5》确定编剧 《蚁人3》编剧执笔剧本 近日，漫威电影《复仇者联盟5：康之王朝》确定了影片编剧，曾经撰写了《蚁人3：量子狂热》及两季《瑞克和莫蒂》的编剧杰夫·洛维斯将会执笔影片的剧本。目前，关于影片的情节，尚不得而知。不过，在漫威的计划中，《复联5》和《复联6》将会是第六阶段的收尾之作。而2024年11月8日上映的新版《神奇四侠》，则将是漫威第六阶段的第一部电影。此外，漫威宣布第4-6阶段进入“多元宇宙传奇”阶段。很显然，一个更加庞大的漫威系统即..

大卫·哈伯将出演真人版《GT赛车》 热门游戏改编大卫·哈伯 近日，根据游戏改编的电影《GT赛车》确定了男主演，曾经成功出演了《怪奇物语》的男演员大卫·哈伯将会加盟到剧组之中，成为影片的主演之一。影片将会从一个真实的故事改编，讲述一个十几岁的《GT赛车》玩家，因为在游戏中得到了一流的驾驶技术，最终成为了一名真正的赛车手。而将执导本片的，则是《第九区》的尼尔·布洛姆坎普。《GT赛车》是由SCEJ旗下的著名制作人山内一典领衔研发的一款赛车游戏，由索尼公司发行..

马修·麦康纳女足题材新片《达拉斯之刺》被叫停马修·麦康纳 近日，据外媒报道，在距离开机仅剩六周时间，所有主演和幕后人员已经齐备的情况下，马修·麦康纳主演的女足题材影片《达拉斯之刺》（Dallas Sting，暂译）遭到了制片方的弃置。报道称，制片方在影片开机前收集到了一些“关于原型人物令人不安的指控”，而经过调查，天空之舞制片公司决定放弃这个项目。外媒报道截图在原先的计划中，本片将聚焦在美国女足的发展历史之上。1984年，中方邀美国的女子足球队来参加国..

张国立王刚张铁林再聚首新作《老家伙》曝预告 9月15日，电视剧《老家伙》首发先导预告，该剧由赵冬苓（《警察荣耀》《幸福到万家》）担任编剧，张国立、王刚、张铁林、周涛等主演。这是继2001年《铁齿铜牙纪晓岚》播出后，时隔21年，张国立、王刚、张铁林“铁三角”组合再聚首，从清朝“穿越”回21世纪，这次三人合伙暮年创业，生命不息，奋斗不止，在养老社区开启新故事，斗嘴吵闹欢笑不停，这场欢笑与感动交织的新征程即将开启。该剧讲述肖长庆、孙前程和陈新城三位老友..

电影频道10月1日晚首播《长津湖》 致敬革命先烈 “这场仗如果我们不打，就是我们的下一代要打。”2021年国庆档上映的电影《长津湖》全景式再现抗美援朝战争中的重要节点长津湖战役，回望峥嵘岁月，致敬民族英雄。2022年10月1日晚，CCTV-6电影频道将在黄金时间为全国观众首播战争史诗电影《长津湖》，重温波澜壮阔的悲壮历史，致敬前仆后继的革命先烈。电影《长津湖》以抗美援朝战争第二次战役中的长津湖战役为背景，讲述了一段波澜壮阔的历史：中国人民志愿军赴朝作战，在极..

《七个秘书》曝预告 木村文乃菜菜绪原班人马出演 9月15日，影版《七个秘书》发布新预告，剧集版原班人马出演，由田村直己执导，中园美保编剧，木村文乃、广濑爱丽丝、菜菜绪、沈恩京、大岛优子、室井滋、江口洋介等主演。热门人气剧集《七个秘书》于2020年播出，七位秘书分别是国家政府核心部门官员的秘书，掌握着不为人知的秘密，七人联手运用绝密情报网络、高超的隐藏能力，化身正义使者，拯救弱者。影版《七个秘书》将延续剧版之后的故事，讲述七位秘书被迫从政府部门辞职..