存在光大银行的85万元不翼而飞，“指纹和脸”都已被骗子攻破

8天内，存在光大银行的85万元不翼而飞，没有验证码二次确认，没有短信提醒。

2021年8月，沈阳的钱云（化名）遭遇了通信信息诈骗，人脸、指纹等生物识别密码没能挡住对方。一年来，钱云全家都在寻找“85万消失”的原因和线索，警方告诉他们，钱款已被全部转至境外，案件还在侦破中。

“银行告诉我们，转账时只要选择了指纹识别，就不会给签约手机发验证码，但这个指纹调用的是手机里的指纹识别结果，不是我岳母的。”钱云的女婿李豪（化名）认为，这是导致钱款消失的主要原因。

记者分别联系涉事的光大银行沈阳铁西支行和光大银行电话客服，截至发稿，都没有得到银行对此事的说法。

1个多月来，关于银行生物识别被攻破的案例屡见报端，诈骗分子“骗”过了银行的人脸识别安全系统，用App控制了被骗人的手机，利用人脸识别+动态密码的方式转走了储户的所有存款。

然而，钱云案例中可能呈现出一种新的风险：有些银行在登录、转账时支持的生物识别认证结果，其指纹、面容信息均取自操作者的手机系统。

去年10月，李豪在自己的手机上登录了弟弟的光大银行账户，转账输入密码时，银行App申请调用手机的Face ID，李豪用自己的脸通过验证，转账成功。这意味着，最后一道关口，银行将核实密码的权力交给了手机厂商。

接到李豪投诉后，记者进行了多日测试，在签约手机、登录密码、验证码等多重验证的情况下，开通面容ID支付并不如李豪测试视频中那么轻而易举，走到最后一步之前，银行设置了重重障碍。

然而，允许将手机自身的生物识别结果调用为银行转账时的验证密码，在安卓手机指纹被破解、人脸识别被骗过、大批数据泄露等消息并不鲜见的当下，是否妥当？当越来越多的技术手段被用于银行降低成本时，谁来为风险担责？

#事件缘起#

2021年8月初，钱云在家附近的光大银行开设了一张储蓄卡。8月12日晚，钱云发现银行卡里的85万余元消失了。查询后发现，2021年8月3日~8月10日间，钱云的账户发生多次转账。今年4月22日国家信访局给李豪的回复中表示，经过大数据查询，钱款已被转往国外账户。

生物识别系统可能被双重攻破

此前交通银行储户被盗刷43万元的案例中，受害人下载了诈骗分子推荐的App，对方通过这项功能远程操控她的手机，为她的手机号设置了呼叫转移，令其无法接收短信和电话，而且录制了她的视频。此后警方调查发现，银行系统后台显示，在进行密码重置和大额转账时，“李红”进行了6次人脸识别比对，均显示“活检成功”，而登录者的IP显示是中国台湾地区。业内普遍认为，这意味着，交行的人脸识别系统被攻破了。

今年近70岁的钱云，并不太清楚自己的密码在哪个环节泄露了，甚至连自己的人脸信息有没有泄露也不太清楚。家人只能试图从她的描述中还原事件的过程，“她在很多网络平台上用的账户密码是相同的，有可能是账户密码泄露了，但在被盗刷几乎同一时间，她接到过诈骗电话，也可能是被诈骗分子利用了。”李豪分析，诈骗分子在异地通过账号密码登录了岳母的光大银行手机账户，以假人脸通过了银行的认证系统，并开通了指纹识别密码功能，这样既能进行大额转账，转账时也不需要签约手机收取验证码，加上岳母没有开通余额短信通知，一次次转账在毫不知情的情况下发生了。

他的脸可能是你的转账密码