男子扒前女友眼皮解鎖手機轉賬獲刑3年半 轉走15萬還用了迷藥

【男子扒前女友眼皮轉賬獲刑3年半】日前，廣西南寧市興寧區法院審理了一起特殊的盜竊案。被告人趁其前女友昏睡時，先後通過指紋和人臉驗證，從女子手機中多次轉走共計15萬餘元。在不知道手機解鎖和支付密碼的情況下，被告人是如何作案成功的呢？

女子昏睡被扒眼皮解鎖支付寶轉走15萬

案件發生在2020年12月26日，被告人黃某輝以商量還錢的名義來到前女友董某家中，看到董某正在生病，還主動做飯喂藥。然而，讓董某沒想到的是，喝完黃某輝親手沖泡的“感冒藥”，很快就感覺不適，不得不回屋睡覺。

南寧市興寧區法院刑事審判庭法官李到福：（黃某輝利用）衝感冒藥的時機，在廚房裏面把他購買的迷藥倒進水中，董某飲用約一個小時後，她就感覺有點異常，頭暈。

客廳視頻顯示，董某進臥室昏睡後，黃某輝在客廳裏來回翻找董某手機。半個多小時後，黃某輝手拿兩部手機從臥室走出，其中一部就是已經解鎖的董某手機。對著手機多次操作後，黃某輝帶著這部手機連夜離開了董某的家。

南寧市興寧區法院刑事審判庭法官李到福：被告人黃某輝利用被害人董某昏睡的時期，用她的手指將她的手機進行了解鎖，用手扒開董某的眼睛，登錄到被害人董某的支付寶裏面，並且在裏面修改了相關的（支付）密碼，在支付寶裏面進行轉款。

次日淩晨，董某醒來，發現黃某輝和手機都不見了蹤影，立即報警。警方查明，黃某輝當晚分多次從董某的花唄、借唄、支付寶餘額和銀行卡轉走人民幣共15.41萬元。近日，南寧市興寧區人民法院對該案作出一審判決，黃某輝因犯盜竊罪被判處有期徒刑三年零六個月，並處罰金人民幣兩萬元，責令其退賠被害人董某全部經濟損失。

記者驗證被扒眼皮能否轉賬

本案中，黃某輝就是通過支付寶趁董某昏睡時，完成了一系列轉賬盜竊行為。在不知道登錄和支付密碼情況下，真的可以翻開機主眼皮轉賬嗎？記者找來了多款手機，進行驗證。

記者找來了四款具備人臉識別功能的手機，全部輸入同事的人臉和指紋資訊。記者注意到，其中一款上市定價千元左右的安卓手機，在添加人臉時就明確顯示，該手機採用的是2D人臉識別技術，並提示：人臉識別安全性低於圖案密碼、數字密碼、混合密碼和指紋。

首先進行手機解鎖的測試。記者讓同事平躺閉眼，並在眼皮被動翻開時，有意不看手機螢幕，模擬人的睡眠無意識狀態。試驗發現，當同事眼皮被動翻開後，手機螢幕很快就順利解鎖。

同樣方式，記者接著驗證了兩款上市定價分別為3000多元和6000多元的安卓手機，還有一款定價近萬元的蘋果手機。記者發現，無論如何變化角度，多次翻動同事眼皮，這三款手機都無法解鎖。

記者發現，打開指紋解鎖功能的手機，在機主熟睡狀態下，都可以通過貼近手指解鎖。如果熟人偷窺開機密碼解鎖了手機，在不知道支付寶登錄和支付密碼情況下，能否轉賬成功呢？記者繼續用這四款手機進行手機支付的驗證。結果發現，在登錄支付寶時，系統提示可以使用刷臉驗證身份，並要求被驗證人眨眼。記者像剛才一樣翻開模擬睡眠狀態的同事眼皮，隨後放下，意想不到的是，四款手機全部通過了人臉加眨眼的驗證，成功登錄支付寶。

案件中，黃某輝通過翻開被害人眼皮登錄支付寶後，為方便多次轉賬，還直接修改了支付密碼。記者繼續驗證，在支付寶裏點擊修改支付密碼，選擇不記得此前支付密碼，就直接進入和找回登錄密碼一樣的人臉驗證界面。記者翻動同事眼皮，四款手機無一例外也都通過了驗證。

一旦修改了支付密碼，通過支付寶就能輕而易舉實現多次轉賬。對於案件暴露出的刷臉支付風險，支付寶是否知曉呢？記者撥通了支付寶客服的電話。

支付寶客服：人臉識別，它都是用一個活物識別，別人在您睡覺的時候去進行一個掃臉的話，正常情況下是沒有辦法通過的。這種案件出現，大多數不是因為支付寶的安全有問題，它主要是他人操作過她的（手機）。

手機一旦被別人操作，其他支付類軟體是否也能被翻眼皮支付或轉賬呢？記者用四款手機測試微信發現，定價6000多元的安卓手機和新款蘋果手機，向好友轉賬可以使用面容支付，遇到的是和手機解鎖一樣的人臉驗證界面。記者翻開同事眼皮多次嘗試，都無法通過驗證。而兩款定價較低的安卓手機雖然也支援面容解鎖，但微信支付中只能選擇指紋和密碼兩種方式。記者選擇指紋支付，用手機輕觸同事手指後，輕鬆實現成功轉賬。若想修改微信支付密碼方便多次轉賬，四款手機顯示的界面一樣，只能輸入原支付密碼，而且都不提供刷臉或指紋的驗證方式。

記者也隨機測試了幾款銀行APP，發現在銀行APP轉賬支付時，也都不支援面容和指紋支付，如果不知道取款密碼，均無法順利轉賬。其中部分銀行APP登錄時驗證就十分嚴格，即使通過了手機驗證碼驗證，還要進行人臉識別，並要求完成眨眼、搖頭和張嘴三項動作。記者讓同事假裝熟睡，多次嘗試被翻眼皮或被動轉頭，都不能通過驗證，更何況人在睡眠狀態下，很難被動完成三個動作而不被驚醒。

刷臉指紋支付須兼顧便利性和安全性

為什麼人在無意識狀態下，被動翻眼皮可以解鎖？不同的支付軟體為何會採用不同的驗證方式？如何讓刷臉支付更安全？來聽聽專家的解讀和建議↓↓

田天是清華大學人工智慧博士，一直致力於人工智慧安全技術提升。他告訴記者，無論是低價位手機使用的2D人臉識別技術，還是具備3D人臉識別技術的中高端手機，都可能出現被動翻開眼皮通過人臉驗證的情況。

人工智慧專家田天：人臉識別技術其實是通過演算法去提取人臉的一些關鍵資訊，眼睛、鼻子、嘴巴等周圍的區域會存在更多的關鍵點，所以其實如果在人臉識別過程中出現這種面部，臉頰或者額頭上有一些干擾的話，可能對於身份識別並不會産生特別大的影響。

正因如此，目前大多軟體會在人臉識別基礎上，增加活體驗證技術，就是需要做出點頭、眨眼、搖頭的動作。一般來説，需要驗證的動作越多，被突破的難度越大。據介紹，記者驗證的相對高端的手機，無法通過被翻眼皮解鎖，核心是加入了注視檢測技術。被測試人在被動翻開眼皮時，模擬睡眠狀態，避免視線直視螢幕，所以無法解鎖手機。

人工智慧專家田天：當前的人臉識別技術，我們要增強它的安全性，其實是需要綜合的一些手段，把各種各樣的方式結合起來，比如去判斷我的眼球，或者我的注視點有沒有盯著當前這個設備，可以一定程度上增強在這個非配合情況下的安全性。

專家表示，理論上，驗證技術環節越多，安全性越高。但在實際操作中，如果將安全等級調至最高，重重認證，必定會讓便捷性受到影響，用戶體驗大打折扣。相比銀行APP，支付寶在活體驗證時只有眨眼一個動作，微信在部分型號手機只驗證指紋就能轉賬，除了技術路線的區別，也有市場策略的選擇。

清華大學人工智慧國際治理研究院副院長梁正：像這種支付的應用，它一定要做到安全性和便捷性之間的一個平衡，如果特別複雜，那乾脆我就不用了，我可以用其他的。

梁正是清華大學人工智慧國際治理研究院副院長，長期關注人工智慧推廣應用中的公共政策。他告訴記者，2021年11月1日正式實施的《中華人民共和國個人資訊保護法》明確規定，“通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人資訊處理者予以説明，並有權拒絕個人資訊處理者僅通過自動化決策的方式作出決定”。手機支付作為影響個人財産安全的重大決定，支付軟體不能自動化決策，只提供刷臉或指紋這一種方式，目前支付寶、微信有刷臉、密碼和指紋等多種驗證方式供選擇，是符合《個人資訊保護法》規定的。但是具體到使用刷臉驗證這一場景時，是否要張嘴、搖頭或注視檢測等多項驗證，法律並沒有詳盡規定。專家建議，針對刷臉驗證的具體方式和環節，軟體也可以設置不同安全等級，讓用戶根據需要自主選擇，而不是被動地接受軟體設置。

清華大學人工智慧國際治理研究院副院長梁正：法律不可能規定這麼細，要跟行業的實踐緊密結合。在使用（刷臉支付）的時候就要有一個風險提示，是不是要設置這樣更高的安全等級。作為一個前置性要求，（意外損失後）是不是還能夠提供一種救濟方案，我覺得這個行業、業界還是可以去考慮。

專家強調，人臉識別同密碼、指紋等傳統身份認證技術一樣，都存在一定被攻破的概率，現階段尚不存在百分之百安全的技術。對於安全風險比較高的用戶，或者在浴室、美容院等公共空間休息的特定場景，可以徹底關閉手機設置中的刷臉和指紋識別功能，從而在解鎖手機和支付驗證時，不會出現刷臉和指紋的選項。

人工智慧專家田天：跟熟人在一起的時候，也要有相應的安全意識。一方面，我們要從技術的角度去增強它的安全性。另外一方面，也需要大家的安全意識逐步提升起來。

責任編輯：張丹潔