Фейк ю! Как защитить деньги от биометрических мошенников

Федор Музалевский
директор технического департамента RTM Group

Насаждение биометрии в банках несёт прямую угрозу сбережениям россиян. Теперь, когда любой школьник может сделать всё более убедительное видео, где Анатолий Чубайс танцует гопак с Памелой Андерсон, распознавать опасность и готовиться к обороне нужно загодя.

Государство активно продвигает в банковском секторе Единую биометрическую систему (ЕБС), без устали рассказывая об удобстве и безопасности её использования. Это правда удобно, да и в плане защищённости всё обстоит неплохо — пока не появляются примеры подделок биометрических данных. Они уже здесь, и повсеместное необдуманное использование этой технологии неизбежно приведёт к финансовым потерям как для граждан, так и для организаций. Фейки повсюду, и сегодня ими не только забавляются энтузиасты, но и вовсю пользуются мошенники. Ну и что нам со всем этим делать?

Дипфейк — в каждый дом

Для создания фейковой личности используют прежде всего аудио и изображение внешности. В наши дни актуальна технология подделки личности с помощью нейросетей, или дипфейк.

Сегодня каждый школьник, скачав программку на смартфон, может превратить любого из нас в кого угодно. Технология для создания дипфейков доступна, но ответственности за её «продукты» никто не несёт. А такое ПО можно использовать для шантажа, атак с применением социальной инженерии и т. д.

Например, злоумышленники могут создать при помощи новых инструментов видео с участием определенного человека в скандальной ситуации и впоследствии шантажировать его. Также можно смонтировать фейковое видео или аудио, содержащее просьбу о помощи (в том числе финансовой), чтобы затем обратиться к родственникам персоны за деньгами. Уже известны десятки случаев, когда жертвы переводили крупные суммы таким изобретательным мошенникам.

Мошенники могут получить аудио вашего голоса, позвонив с поддельного номера кол-центра банка, побудив вас произнести нужные фразы, а затем смоделировать вашу речь, позвонив за вас в банк или в страховую. В разговорах с любыми незнакомцами ограничивайтесь простыми короткими фразами. Лучше сократить до минимума гласные «а», «у», «и» — именно по ним в русскоязычной речи идентифицируют дикторов и по ним же строится моделирование голоса.

Как противостоять?

До тех пор, пока банки осуществляют только сбор данных в ЕБС, больших проблем с дипфейками вряд ли стоит ждать. Но когда единая система идентификации и аутентификации начнет применять биометрию для подтверждения платежа, мошенники не преминут этим воспользоваться.

Как к этому подготовиться и противостоять? Первое (для финансовых организаций): не применять непроверенные разработки. Если говорить о практике внедрения, то советы для банков и клиентов примерно идентичные. Первый — применять дополнительные каналы авторизации. СМС вместе с голосом или кодовое слово с фото снизят вероятность хищения в разы.

Второе: не применяйте на устройствах программы, имеющие доступ к микрофону параллельно с инструментами дистанционного банковского обслуживания (ДБО). Проверить это сложно — API того же Android не всегда даст нам исчерпывающую информацию, но работать в данном направлении определенно надо. Лучше разделять устройства: одни для оплаты, другие для развлечений (включая общение голосом, социальные сети и прочее).

Советы на каждый день

Есть ли какие-то общедоступные способы распознавания дипфейка? Когда вы вступаете в диалог с роботом, который говорит знакомым голосом, всё достаточно просто. Задайте неожиданный вопрос, уточните дату рождения или что-то в этом духе — и робот собьётся. Если речь о лице, обратите внимание на уголки глаз. Ведь нейронные сети моделируют только положение зрачков, открытие век, а индивидуальные особенности в виде мелких морщинок им пока почти не даются. Также обратите внимание на количество вариантов положения губ — в нашей речи их примерно столько же, сколько звуков в речи, а дипфейк использует, как правило, не более десятка. Вообще, несоответствие мимики и произносимых звуков — прямой признак подделки. Правда, бывает и «отставание» голоса при реальной записи, но это уже нюанс. У специалистов, конечно, есть высокоуровневые инструменты для распознавания дипфейков.

Если вас шантажируют поддельным видео с вашим участием, вы можете запросить компьютерную экспертизу или напрямую обратиться в полицию. Чтобы не стать жертвой, необходимо проявлять осмотрительность в ситуациях, которые могут повлечь за собой запись вашего голоса и изображения, — телефонные разговоры с незнакомыми абонентами, видеоконференции и т. д. Для видео одной из защитных мер является снижение разрешения на камере. Да, у вас модная Ultra HD, но именно с таким материалом безобидный собеседник в Skype получит максимум возможностей для подделки вашего образа, причем не статичного — фото, а динамичного — видео.

В целом на сегодняшний день технология дипфейков для подделки голоса и изображения пока недостаточно зрела. Однако аудиты по ГОСТ 57580 для сегментов сбора биометрии в банках далеко не всегда показывают готовность противостоять злоумышленникам. А это лишь первый шаг по внедрению, и надо думать, как реализовать как минимум описанные выше пункты уже сейчас, поскольку Банк России чётко дал понять: биометрии быть.

По материалам Banki.ru

Добавить комментарий

Ваш адрес email не будет опубликован.