Распознавание голоса стало привычной частью жизни. Благодаря облачным технологиям эта функция доступна на любом смартфоне, планшете или в «умной» колонке. Крупные компании внедряют распознавание голоса в сервисы поддержки клиентов. Российские банки предлагают клиентам внести их данные в Единую биометрическую систему или в собственные биометрические базы, чтобы включить биометрическую идентификацию для дистанционного проведения операций. Это вызывает массу опасений среди россиян, ведь несанкционированное использование биометрии может угрожать финансовой безопасности граждан. Сергей Волдохин, директор компании «Антифишинг», помог разобраться в том, чего стоит опасаться, а что является вымыслом.

Страхи и риски

Кража данных

Биометрическая идентификация, как и любая новая технология, все еще окружена множеством мифов и непониманием. Это порождает различные страхи, главный среди которых — страх, что биометрические данные похитят и используют для кражи денег или другого несанкционированного действия. Ведь в отличие от пароля или документов заменить биометрические данные на новые невозможно.

Этот страх был сильно подогрет серией публикаций, посвященных мошенничеству, «Can you hear me?» («Вы меня слышите?»). В них рассказывалось, как группа преступников обзванивала владельцев банковских счетов, задавала им специально составленные вопросы и записывала ответы. Эту запись затем использовали для доступа к системе голосового управления банковским счетом жертвы, получив который преступники похищали все деньги.

Согласно публикации, достаточно было ответить «Да» на вопрос «Вы меня слышите?», чтобы затем этот ответ использовался для голосового подтверждения трансакции. Угроза казалась настолько серьезной, что предупреждение о ней выпустила американская FTC (Федеральная торговая комиссия).

На самом же деле проблема оказалась немного преувеличена. Попытки мошенничества с использованием систем голосовой идентификации действительно случаются, причем, как сообщает банк HSBC, еще в 2019 году их количество удвоилось по сравнению с 2018-м. Но практически все мошеннические атаки на систему VoiceID, которую использует банк, проваливаются. Причина в том, что простой записи голоса недостаточно для успешной идентификации.

Система голосовой идентификации HSBC, к которой могут подключиться клиенты, анализирует голос, проверяя более 100 поведенческих и физических особенностей голоса, включая размер и форму рта, скорость речи и ударение в словах. Она может распознать голос человека, даже если он простужен или у него болит горло.

Ведущие российские банки пока не замечены в использовании систем управления счетом с помощью голоса, а значит, опасаться атаки «Вы меня слышите?» нашим гражданам пока точно не стоит.

К тому же СберБанк, например, использует в качестве биометрического идентификатора для проведения платежных операций не голос, а лицо человека. Запись голоса в биометрическую базу производят для того, чтобы автоматически распознавать человека при его звонках в службу поддержки банка.

Утечки данных

Второй страх связан с передачей своих биометрических данных в некое хранилище, например Единую биометрическую систему или собственные биометрические системы банков. После множества утечек данных о клиентах банка, содержащих сведения об остатках на счетах, паспортные данные и практически всю подноготную, люди не без оснований боятся, что с их биометрической информацией может произойти то же самое. А это значит, что появляется серьезный риск оказаться под прицелом судебных приставов из-за дистанционно полученного мошенниками кредита, подтвержденного с помощью «утекшей» биометрии жертвы.

Однако, несмотря на ненулевую возможность утечки биометрии, использовать ее для несанкционированной идентификации, скорее всего, не получится. Причина состоит в том, как технически организован процесс идентификации.

При сдаче биометрической информации в базу данных сохраняется не фото лица или аудиозапись голоса, а некий ее слепок в виде набора характерных признаков. Восстановить по этим данным фото владельца или его голос крайне сложно.

Когда кто-то попытается подтвердить операцию с помощью биометрии, его фото в текущий момент будет обработано с помощью аналогичного алгоритма и сопоставлено со слепком, сохраненным в биометрической базе. Подсунуть системе фотографию не получится. В отличие от смартфонов, «защиту» которых удается обмануть с помощью трехмерной маски или даже фото владельца, биометрические системы банков используют более продвинутые версии алгоритмов.

Дипфейки

Третий страх перед биометрией связан с еще одной новой технологией — дипфейками. Возможность с помощью нейросети сгенерировать видео или голос, убедительно имитирующий реального человека, действительно несет серьезные риски. Однако на текущий момент эту угрозу нельзя рассматривать как значительную. Стоимость создания дипфейка, способного обмануть систему идентификации по лицу, пока заметно выше, чем остатки на счетах среднестатистического клиента банка. Таким образом, в ближайшее время вряд ли стоит ожидать, что использование дипфейков для кражи денег станет массовым явлением.

Дополнительная защита

Банки стремятся защитить своих клиентов, ведь несанкционированные операции наносят удар по их репутации и могут привести к финансовым потерям. В связи с этим биометрическая идентификация является лишь одним из компонентов системы противодействия мошенничеству. Другой, не менее значимый компонент — многофакторное подтверждение операций.

Многофакторное подтверждение — основа безопасности в современных IT-процессах. Она одинаково защищает клиента банка, каким бы образом он себя ни идентифицировал: по голосу, отпечатком пальца, фотографией или обычным вводом учетных данных. В этот момент система безопасности проверяет не только предоставленный образец или код, но и устройство, с которого приходит информация, IP-адрес, номер телефона, местоположение, и если пазл сложился, то открывается доступ к системам.

Третий компонент защиты — так называемая антифрод-система. Она по специальным алгоритмам «обучается» на типовых операциях, которые выполняет клиент, а в случае «непривычного» действия сверяет его с базой образцов мошеннических действий. Обнаружив совпадение, антифрод-модуль автоматически блокирует операцию до получения подтверждения от владельца счета.

Таким образом, «гарантированным» вариантом для мошенников остается только непосредственное взаимодействие с жертвой, в ходе которого человека убеждают совершить действия, которые лишат его денег. Согласно нашему исследованию, 86,4% россиян когда-либо подвергались цифровым атакам. Самыми распространенными способами обмана людей остаются фишинговые электронные письма и звонки от имени службы безопасности банка.

Рекомендации

Принципы финансовой самообороны с приходом новых технологий не меняются:

  • всю информацию надо тщательно проверять — в банк всегда можно перезвонить самостоятельно и удостовериться, что со счетом все в порядке;
  • спешка усыпляет бдительность, поэтому лучше потратить 5 минут, чем потерять 5 миллионов;
  • сбережения лучше делить на части, а электронным банкингом пользоваться только со счета с небольшой суммой, достаточной для ежедневных покупок;
  • для покупок в интернет-магазинах лучше держать отдельную карту, и обязательно дебетовую, а не кредитную;
  • максимально будут защищены те средства, доступ к которым есть только через отделение.

Регулярно повышайте цифровую грамотность и обновляйте знания о мошеннических схемах, чтобы своевременно распознать их при встрече. А с телефонными незнакомцами лучше просто не разговаривать. Оптимальной стратегией будет повесить трубку, чтобы не дать возможности «зацепить» себя.

Мнение автора может не совпадать с мнением редакции