Развитие технологий неминуемо приводит к возникновению новых мошеннических схем. Например, подмена номера – удобное решение для тех же банков, чтобы клиенты не добавляли их в блэклист при звонках. Однако пользуются этой хитростью в основном телефонные мошенники. И так происходит в большинстве случаев. В этой статье мы поговорим о двух разработках, которые злоумышленники уже начали деструктивно использовать – особенно в банковском секторе.
Это произвольный заголовок
Эта технология позволяет создавать поддельные фото- и видеоизображения. При этом используется синтез нескольких фото одного человека, которые потом накладываются на видео с кем-то другим. Чем больше ракурсов и выражений лица загружено в систему, тем более правдоподобный эффект получится в итоге. Со временем алгоритм учится тому, как двигается человек, чтобы лучше синхронизировать фейковое лицо с реальным на видео.
Изначально дипфейк служил для развлечения – многим было интересно наложить лица друзей на видео с известными личностями.
Появился даже отдельный тренд – подставлять лицо Николаса Кейджа везде, где можно.
С развитием алгоритмов и ростом качества подмены лиц начали появляться новости о том, что мошенники используют дипфейк для обхода биометрии.
Первое, что приходит в голову, – фото с паспортом в руке для подтверждения личности в платежных сервисах. Для создания идеального фейка злоумышленнику нужно запечатлеть себя с собственным удостоверением личности, а затем заменить свое лицо лицом жертвы (для этого нужно хотя бы одно качественное фото). Паспортные сведения легко найти благодаря многочисленным утечкам данных. Далее достаточно базовых навыков фотошопа… К сожалению, эта схема будет довольно часто срабатывать, так как у большинства банков нет возможности проверить фото на подлинность.
Второй вектор атак – это подмена лица в режиме реального времени. В некоторых банках в ходе совершения финансовых операций используется метод визуального подтверждения личности клиента при помощи видеосвязи. Массово этот прием пока не применяется в силу технической сложности, но в перспективе мошенничество через подмену лица может подорвать доверие к любой видеоинформации.
Подмена голоса
В качестве вступления приведем историю, произошедшую в 2019 году. Злоумышленник решил выдать себя за собственника одной британской компании. Используя технологию подмены голоса, он позвонил гендиректору и попросил его перевести на «счет поставщика» (конечно, мошеннический) $ 243 000. Гендиректор, узнав своего руководителя, выполнил указание. Естественно, для совершения атаки преступникам нужно было заполучить образец голоса. Сделать это было не так уж сложно. Далее образец был загружен в программу, которая совершила подмену в режиме реального времени, и обман удался.
Многие банки предлагают клиентам оставить свои биометрические данные (в частности, образец голоса) для повышения уровня безопасности. Проблема заключается в том, что на сегодняшний день у нас больше информации о способах обойти биометрическую защиту, чем о методах борьбы с таким «обходом». Предлагаем ознакомиться с докладом, сделанным на одной из ведущих американских конференций по информационной безопасности Black Hat. Он посвящен тому, как обходить голосовую аутентификацию:
Что со всем этим делать?
Остается полагаться на адекватность служб безопасности банков при выстраивании общего периметра защиты. Обход биометрии и дипфейк необходимо выделять в отдельную категорию угроз и закупать соответствующие решения для организации противодействия.
Если говорить о более приземленных вещах, то существует ряд простых превентивных мер.
- Критическое мышление и внимательность. В ходе диалога всегда можно задать собеседнику специфические (проверочные) вопросы. Если мошенник не располагает такой информацией, никакая подмена голоса или лица не поможет.
- На данный момент технология создания дипфейков еще не на таком уровне, чтобы нашему глазу было невозможно определить подделку. Есть простые признаки: человек на видео странно моргает или не моргает совсем, освещение на картинке меняется неестественно, иногда присутствуют неровные движения и прочее.
- Информирование сотрудников. Если про тот же фишинг сейчас слышали все, то про описанные выше технологии знает на порядок меньше людей. Будет уже неплохо, если служба безопасности прочитает небольшую лекцию об основных рисках.
Автор – Никита Артемов,
основатель Artemov Security Consulting,
эксперт-профайлер НИЦКБ,
специалист в области частных и корпоративных расследований
