存在光大银行的85万元不翼而飞，“指纹和脸”都已被骗子攻破

账户被盗刷后，李豪多次向光大银行相关人士以及客服人员了解情况，银行人员不经意透露的一个信息震惊了他：转账过程中，银行验证的是机主的指纹或人脸，而非卡主的指纹或人脸。也就是说，只要机主的人脸或指纹能够通过手机验证，给银行一个“yes”的答案，银行便可以通过验证。

这在李豪看来有点“匪夷所思”，“开卡时，我岳母留了自己的指纹和人脸信息，那为何银行不去比对储户信息，而是采用手机给出的验证结果呢？如果A在自己的手机上登录了B的账号，那不就可以用A的人脸去通过面容ID了吗？”

为了验证这个想法，去年10月，李豪做了一个测试。在李豪发给记者的一段视频中，他在自己的手机上登录了弟弟的光大银行手机账户，给一张没有转账过的银行卡转账1500元，输入交易密码后，手机页面上显示调用FaceID进行人脸识别，此时摄像头对准的是李豪的脸，并非其弟弟的脸，页面显示验证通过，转账成功。

“理论上，应该是将我弟弟的脸和他在银行预留的生物信息比对才能转账，但从这次测试看，验证的是机主的脸。这种情况带来的财产损失谁来承担？”李豪对此颇为不解。

#记者测试#

在核实身份和转账过程中，银行生物识别系统到底验证的是谁的信息？

记者向多位银行业人士了解，大多数银行验证的是卡主的生物信息，“转账时不验证卡主信息，却去验证机主信息，逻辑不对。”一位银行业人士表示。农行、邮政储蓄等银行客服人员也表示，验证生物信息时匹配的是卡主信息。“系统会综合考虑用户的设备环境，通过验证码、交易密码、生物识别等方式交叉验证用户身份，生物信息是和卡主本人比对。”邮政储蓄银行客服人员说。

确认：可用面容ID登录他人账户

李豪提供的视频显示，此前涉事银行人员明确说，转账时比对的是机主的指纹信息。8月22日，李豪再次致电光大银行客服电话，客服人员同样表示，如果在他人手机上登录自己的银行账号、转账验证的是机主的指纹信息。

8月24日记者在拨打光大银行客服热线时，也得到了类似的答案，“卡主可以设置采用生物信息识别的额度，如果用了生物信息认证，是没有短信验证码的，只需要交易密码和生物识别通过即可，不过，当银行监测到风险时，会要求转账者先与银行系统里的卡主信息进行比对，通过身份验证后才能继续下一步。”

8月22日，记者在光大银行上海某网点办理了一张储蓄卡并开通了手机银行。当记者试图在另一部手机上登录此账户时，系统提示，只能使用手机验证码的方式，而且首次登录时，还需要输入登录密码。也就是说，像李豪视频中显示的，仅靠手机号码和登录密码便能进入他人账户，已不可能。

但如果像交通银行案例中那样，储户密码泄露、手机被劫持，验证密码被转发至诈骗分子手机中，那这一步便也不再是障碍。

随后，通过手机号码、登录密码、验证码，记者同事顺利在她的手机上开通了面容ID登录。也就是说，她在自己的手机上，可以刷脸登录记者的账户。

但在开通面容ID支付时，银行App要求先通过人脸认证，也即类似随申码验证时的场景，需要做出点头、摇头等动作，走到这一步，无论是记者的脸，还是同事的脸，在记者同事的手机上均未通过。最终，记者在自己的手机上完成了这个识别过程，但最后开通的面容ID支付，同样调用的是手机本地的识别系统。