В настоящее время для выявления разного вида мошеннических атак важно применять antispoofing — защиту от взлома. С развитием технологий взлома гражданину приходится доказывать, что его характеристики предъявляет он сам, для чего используются механизмы детектирования живого пользователя — liveness detection. Об этом рассказал «Известям» 21 мая Дмитрий Дырмовский, генеральный директор группы компаний по разработке программного обеспечения ЦРТ, комментируя сообщения СМИ о соответствующих рисках при видеоидентификации банковских клиентов.
По его словам, сегодня идентифицировать человека могут самые разные устройства.
Дырмовский отметил, что аналитики из Juniper Research прогнозируют, что к 2023 году «число пользователей таких систем перевалит за 1,5 млрд». По его словам, рост популярности «подогревает интерес взломщиков». Для взлома систем распознавания лиц используются фото, видео, бумажные маски с отверстиями для глаз, объемные, силиконовые, 3D-маски. Для компрометации голосовой биометрии — воспроизведение записанного голоса — предзапись, может использоваться синтез.
По словам гендиректора ЦРТ, когда мы вводим пароль, то заявляем, что «я — то, что я знаю», когда разблокируем телефон по лицу — «я тот, кто я есть».
«С развитием технологий взлома нам нужно доказать еще одно — «мои характеристики предъявляю я сам», или, проще, «я живой». Для этого используются механизмы детектирования живого пользователя — liveness detection», — сказал он.
Liveness бывает разный: активный (кооперативный), когда мы просим пользователя что-то сделать и смотрим, как он с этим справляется, и пассивный (некооперативный), когда мы в фоновом режиме анализируем набор параметров, которые убеждают нас в их подлинности. В качестве активной проверки пользователя могут попросить улыбнуться или подмигнуть, при этом система будет следить за его реакцией, за тем, что движения соответствуют «заданию». Если человек в кадре надолго застынет, система заподозрит неладное.
«Некооперативный сценарий зачастую предпочтительнее — так мы не раздражаем пользователя «лишними» заданиями, биометрическая система использует пассивные методы проверки: анализирует текстуры, перемещение бликов в кадре, муаровый эффект и цветовую палитру, микродвижения и мимику. Кроме того, алгоритмы следят за тем, что лицо соответствует шаблону на всем протяжении сессии, в статике и в движении — это помогает обнаружить, например, атаку с помощью разного вида масок», — сказал Дырмовский.
Он порекомендовал использовать в банковских услугах, связанных с финансовыми операциями, голосовую и лицевую биометрию, а для усиления защиты можно рекомендовать проверять номер телефона, местонахождение пользователя. Также поможет вариативность скриптов операторов: если оператор будет менять скрипт разговора в процессе общения и задавать вопросы, требующие расширенного ответа, а не односложного, мошенникам будет сложно использовать запись.
Ранее в пятницу СМИ со ссылкой на отзыв Центробанка на законопроект Ассоциации банков России (АБР) сообщили, что есть риски при идентификации человека по видеосвязи — по подделке паспорта, применению технологий DeepFake (подмена изображения человека) или использованию профессионального грима. Соответствующие риски также отметили Минфин и Росфинмониторинг.
В «Ростелекоме» согласились с тем, что такие риски действительно существуют.
В «Лаборатории Касперского» заявили «Известиям», что массовое использование технологий DeepFake пока не распространено и, если видео в высоком разрешении, понять, что это не реальный человек, всё же можно.