近日,一些人对越南部分银行的应用程序进行的安全测试揭示了一个安全漏洞:其身份验证系统竟然能够被静态图像所欺骗,而非准确地验证用户的真实面孔。 <span]
自7月1日起,对于每天进行的网上转账交易,若金额达到或超过1000万越南盾,以及更高至2000万越南盾及以上的交易,均必须申请进行生物识别认证。这一举措旨在降低用户在账户不幸落入他人控制时,所面临的大额资金损失风险。 <span]
为了测试新实施的生物识别认证系统的有效性,一些人采取了实验性的方法。在完成CCCD(可能指某种客户身份验证流程)和初次面部扫描以访问他们的银行账户后,他们尝试进行超过1000万越南盾的转账交易,但在此过程中,他们使用拍摄的肖像照片来扫描银行应用程序和电子钱包,而非直接通过面部扫描。
一位来自胡志明市某公司的技术员工,名为平明(Bình Minh),分享了他的测试结果:“我使用了三个银行账户和两个电子钱包来进行这项检查。令人惊讶的是,两个电子钱包应用立即报错,在验证面部信息时拒绝接受照片作为有效输入。然而,在测试的三个银行应用程序中,仅有一个成功检测到了使用照片作为扫描输入的问题,而另外两个应用程序则未能识别出这一欺诈行为,允许通过照片完成超过1000万越南盾的转账。”
据平明所述,他在使用照片进行扫描时,过程竟然异常顺利且快速,系统似乎没有察觉到任何异常。然而,当他改用真实的面部进行转账验证时,却遇到了问题——系统报错,导致他需要重复尝试3到4次才能成功完成转账。
某电子钱包的官方代表指出,在该国银行正式实施相关安全规定之前,他们的平台就已经提前投入资源,针对“被绕过”(即欺诈手段)的情况进行了详细的说明与防范,这其中特别包括了使用照片进行欺诈的情况。该代表强调:“有效的欺诈检测必须建立在机器学习和复杂的人工智能技术之上,而不仅仅是简单地比较两个图像之间的相似性。”
一位为银行提供生物识别解决方案的业内人士向媒体透露,由于初期用户流量过大,导致图像数据库承受了巨大的压力,出现了超载现象。这种情况进而影响了部分银行应用程序在处理大额资金转账或进行身份验证时的稳定性,特别是它们在检测照片欺诈方面的表现出现了误差。
在收到媒体的反馈后,那些被曝光“被照片追上”(即生物识别系统被照片欺诈手段所绕过)的银行迅速做出了反应。他们表示已经对系统进行了紧急更新,以确保系统不再接受仅通过照片进行的身份验证。截至当天下午,这些银行已经确认他们的系统已经更新了相关的数据库和算法,从而有效防止了照片欺诈的发生。
一位银行负责人向外界表示,他们的人脸认证系统是严格遵循ISO 27000等国际信息安全标准构建的,以确保系统的安全性和可靠性。然而,在最近几天,由于采集人脸的流量显著增加,系统承受了较大的压力,导致认证时间暂时受到了一定程度的影响。不过,该银行部门已经迅速采取行动,成功解决了这一问题,并确保了所有交易都能通过客户的真实面部进行生物识别验证,从而有效保障了交易的真实性和安全性。
胡志明市一家金融初创公司的技术总监黄俊杰(Huỳnh Tuấn Kiệt)先生指出,当前许多银行在生物识别技术领域选择依赖第三方的解决方案。这种认证过程通常包含多个级别的验证,从简单地比较数据库中存储的照片与交易时实时拍摄的人物照片,到更复杂的分析以确定图像是否真实反映了用户的身份,避免被冒充。
黄俊杰进一步解释,为了有效检测静态图像、运动图像、生物体特征以及深度伪造图像等高级欺诈手段,银行需要采用更为复杂和先进的解决方案。然而,这些解决方案的开发和部署不仅需要大量的技术资源,还需要时间来进行优化和完善,以确保其准确性和效率。
这位技术总监还说道:“在初期阶段,由于交易量激增,我们可能会遇到系统超载的情况,为了维持交易的流畅性,同时保证安全有效性,银行系统有时需要在两者之间进行权衡。因此,一些技术功能,如静态图像验证、动态或主动活体检测等,可能会被暂时关闭以减轻系统负担。然而,在收到用户反馈后,我们迅速意识到这一调整可能带来的安全风险,于是立即将这些功能重新开启。这就是为什么早上有人能够使用照片成功欺骗身份验证系统,而到了下午该功能已经被禁用的原因。”
|