Перейти к основному содержанию
Прямой эфир
Главный слайд
Начало статьи
Вот кто-то в профиль и анфас: могут ли мошенники воспользоваться чужой биометрией
2021-04-27 18:24:27">
2021-04-27 18:24:27
Озвучить текст
Выделить главное
вкл
выкл

Недавно СМИ распространили информацию, что мошенники звонят клиентам банков, записывают их голос, а затем используют записи для оформления кредитов. О возможности использования злоумышленниками данных биометрии говорили и некоторые специалисты в области компьютерной безопасности. Однако насколько эти опасения реалистичны? Подробности выясняли «Известия».

Никаких разговоров с незнакомцами

Мошенники могут получить доступ к биометрическим данным россиян, включая голос, без ведома владельца, сообщил на днях начальник отдела по противодействию мошенничеству компании «Инфосистемы Джет» Алексей Сизов.

По его словам, для получения различных услуг и для доступа в банковские и другие приложения на телефоне мы ежедневно оставляем свои отпечатки пальцев, фотографии и записи голоса. Причем эти биометрические данные при желании вполне можно получить незаконным путем, предупредил эксперт.

Экран нового банкомата в офисе отделения банка
Фото: ТАСС/Владимир Гердо

Однако применить их злоумышленникам будет непросто. По словам специалиста, биометрические системы, как правило, сложны, поэтому их нельзя обмануть с помощью фотографии или конкретной фразы. Эксперт считает, что обезопасить свои биометрические данные можно, если пользоваться двухфакторной аутентификацией, которая требует два раза подтверждать личность. А для того чтобы мошенники не могли воспользоваться вашим голосом, не следует вести с незнакомыми людьми долгих телефонных разговоров.

Как это работает

К биометрическим данным относятся отпечатки пальцев, биометрия уха, биометрия по сетчатке глаза, 3D-изображения лица, походка, манера печатания на клавиатуре и множество других характеристик, рассказал «Известиям» коммерческий директор компании «EkeyRus биометрические системы» Константин Новиков. «Биометрия всегда сравнивает какой-то идентификатор — будь то палец или изображение лица — с той базой шаблонов, которая хранится внутри системы. Каждый раз, когда вы хотите подтвердить свою подлинность, вы должны вот этот идентификатор предоставить в систему», — пояснил он.

Человек разговаривает по телефону
Фото: ИЗВЕСТИЯ/Павел Бедняков

Банки обычно используют два вида идентификаторов — изображение лица и запись голоса. По словам эксперта, выбор именно таких идентификаторов объясняется просто: микрофон и камера есть практически в любом современном телефоне или компьютере. То, что параметра два, обусловлено требованиями безопасности. «С одним существовала бы куда большая вероятность ошибки системы. Поэтому применяются два идентификатора: первый, грубо говоря, в несколько раз уменьшает базу данных — из 10 млн пользователей, предположим, остается 50 тыс. А среди них уже гораздо легче со вторым идентификатором распознать человека», — рассказал Новиков.

На сегодняшний день российские банки собирают биометрические данные клиентов как для собственных целей (чтобы повысить безопасность и качество обслуживания клиентов), так и для Единой биометрической системы (ЕБС), которая была запущена Банком России и «Ростелекомом» летом 2018 года. Эта система позволяет гражданам становиться клиентами банков и получать их услуги без посещения офиса за счет удаленной идентификации — для этого надо один раз посетить банковское отделение и сдать свои данные.

Легко получить, но сложно использовать

Периодически в интернете и в СМИ появляется информации о возможных рисках, связанных с использованием биометрических данных мошенниками. Так, в апреле СМИ сообщили, что мошенники стали звонить клиентам банков, записывать их голос, а затем использовать его для оформления кредитов. Пугающую информацию прокомментировал Сбербанк, назвав невозможным использование мошенниками голосовых данных клиентов банков для хищения денежных средств с их счетов или оформления кредита на чужое имя. С мнением представителей банка согласны и эксперты в области безопасности.

— Мошеннику нужно позвонить вам и заставить сказать запрашиваемую в личном кабинете фразу, успеть записать на телефон и проиграть ее в микрофон и при этом подделать изображение лица, которое должно быть, естественно, не распечатано на листочке, потому что камера поймет, что это неживое лицо. Это достаточно сложный путь, — считает Константин Новиков. — Злоумышленники сейчас пользуются достаточно простыми вещами — обзвонами, выуживанием кодов. В теории, конечно, любую систему можно обмануть — точно так же как любую машину можно украсть, любую дверь открыть, — но мне кажется, об этом не стоит беспокоиться. Качественная биометрия создается для удобства, для безопасности и в современных системах производители должны предусматривать вероятность ложного распознавания или ложного отказа в распознавании.

Информация о планируемом обслуживании по лицу на экране банкомата
Фото: РИА Новости/Наталья Селиверстова

Эти характеристики есть у любой биометрической системы и они, естественно, разные, добавляет Новиков. «Например, в профессиональных системах для контроля доступа в частных домах вероятность ложного доступа 10 в минус седьмой степени. Это означает, что если я где-то насобираю 10 млн живых отпечатков пальцев, то тогда, возможно, система один из этих пальцев пропустит».

Заполучить запись вашего голоса или видео с вашим лицом в принципе легко, но с этими биометрическими данными сделать ничего нельзя, сообщил «Известиям» ведущий аналитик Mobile Research Group Эльдар Муртазин. «Если говорить о том, что кто-то может украсть вашу биометрию, — чисто теоретически это возможно. Но крайне мало что можно с этим сделать, так как помимо биометрических данных у вас всегда есть пароль, который нужно знать. В совокупности это достаточно сложная система для взлома, потому что комбинируются разные способы авторизации. Более того, нормально реализованная биометрия оценивает, что перед ней — живой человек или попытка его имитировать», — отметил он.

Слово поставщикам услуг

Записав голос человека и сняв его лицо на видео, невозможно взять кредит на человека, подтвердили «Известиям» в пресс-службе «Ростелекома».

Учитывая необходимость предварительной проверки по логину и паролю от портала госуслуг, система определяет человека гораздо точнее, чем другие существующие методы. При этом биометрия — не единственный фактор, по которому банки принимают решение об открытии счета тому или иному клиенту. Единая биометрическая система отправляет банку процент схожести между биометрией обращающегося за услугой человека с его шаблоном. Помимо биометрии банк использует процедуры скоринга, KYC и другие, принимая решение на основе совокупности всех факторов. Таким образом, ответственность за принятие решения ложится на плечи банка, — сообщили в компании.

Более того, в ЕБС используется система Liveness detection — технология, которая отличает живого человека от его имитации в цифровом канале. Таким образом, попытка взять кредит на чужое имя с использованием видеозаписи не сработает.

«Мы не выдаем кредиты на основании одной лишь биометрии. При рассмотрении заявок на кредиты банк проводит идентификацию личности по многим критериям: паспортные данные, биометрическое фото, подтверждение личности через авторизацию на портале «Госуслуги» и пр.», — отметили в пресс-службе Почта Банка в ответ на запрос «Известий».

— Биометрия может эффективно защитить от мошенников. Для этого Почта Банк с момента основания применяет собственную внутреннюю биометрическую идентификацию клиентов по изображению лица. Она предназначена для защиты от мошеннических действий и неправомерного доступа к счету как в отделениях, так в ДБО. Образец изображения лица каждого клиента записывается при первом визите в банк, и в дальнейшем этот слепок используется для его идентификации как дополнительный фактор наряду с предъявлением паспорта.

Впрочем, как сообщили «Известиям» в пресс-службе банка «Хоум Кредит», число клиентов, которые готовы воспользоваться услугами Единой биометрической системы, пока невелико. По словам представителя банка, это может быть связано с еще недостаточной информированностью россиян о такой возможности. Подключение к новой системе удаленной идентификации клиентам предлагается исключительно на добровольной основе — если клиент захочет, то все операции можно будет по-прежнему провести традиционным способом.

Страх утечки

Нежелание предоставлять третьим лицам свою биометрию связано с нередкими утечками персональных данных пользователей самых разных услуг — будь то абоненты операторов сотовой связи или клиенты страховых компаний, отмечает Константин Новиков. Однако, подчеркивает эксперт, даже такая вероятность не сможет позволить мошенникам воспользоваться чьими-то биометрическими данными, которые хранятся в системе.

банкомат с функцией распознавания лиц
Фото: РИА Новости/Алексей Филиппов

Шаблон в качественных биометрических системах должен быть не в виде звукового MP3-файла или JPG-изображения, а зашифрованным. То есть кража биометрического шаблона ни к чему не приведет, потому что расшифровать его практически невозможно, — объясняет он. — И тут уже неважно, что утекло, это никоим образом не влияет на повышение риска использования этой биометрической системы, потому что она сама себя должна защитить.

Читайте также