Как используют запись голоса мошенники

Технологичное телефонное мошенничество

Как мошенники могут использовать современные технологии для обмана по телефону и что с этим делать.

Мы уже рассказывали про телефонное мошенничество, да что уж там, вы, с большой вероятностью, и сами с ними сталкивались. Но если не соглашаться на предложения незнакомых вам людей и не рассказывать им лишнего, все будет нормально, да?

Оказывается, нет. Не так давно американская Федеральная комиссия по связи (FCC) предупредила об очень необычном методе телефонного мошенничества. Злоумышленники звонят по телефону и задают невинный вопрос: «Слышите меня?». Ответ «да» – это все, что им нужно. Имея запись утвердительного ответа, они подписывают жертву на платные услуги, которые будут включены в счет за связь.

Тип мошенничества, при котором в счет абонента без его согласия вносятся дополнительные услуги (например, рассылка гороскопов или новостей), носит название крэмминг (от англ. «cram» — «впихивать»).

В этой новости настораживают несколько моментов. Как вообще возможен крэмминг? Почему правоохранители ничего не могут с этим сделать? Неужели действительно можно использовать запись голоса, чтобы подписать абонента на дополнительные услуги?

Технически крэмминг возможен, поскольку телефонные компании позволяют включать в основной счет абонента услуги третьих лиц.

Сама эта уловка не нова — еще в 2008 году о ней сообщал сайт 800Notes.com, ведущий реестр сомнительных телефонных номеров. В то время прием использовался в первую очередь для навязывания услуг организациям. По свидетельству попавшихся на удочку, злоумышленники монтируют аудиозапись, на которой жертва собственным голосом соглашается на получение платных услуг.

Власти пытаются бороться с крэммингом: так, в 2015 году FCC обязала телекоммуникационных гигантов Verizon и Sprint выплатить 158 миллионов долларов для урегулирования претензий потребителей, которым таким образом впарили ненужные услуги. Но подобные крэммингу способы мошенничества с развитием современных технологий могут стать очень масштабными.

Голос в банке

В ближайшем будущем что-то вроде крэмминга угрожает банковской сфере, в которой все большее распространение получает голосовая идентификация. К примеру, в 2016 году один из крупнейших банков Великобритании, Barclays, ввел возможность голосовой аутентификации для всех своих частных клиентов.

Использовать идентификацию по голосу вместо пароля предлагает своим клиентам и международная финансовая организация HSBC. Клиент должен позвонить в банк, пройти классическую аутентификацию по кодовому слову и произнести несколько раз предложение «Мой голос — мой пароль» (My voice is my password). В следующий раз для доступа к счетам ему будет достаточно произнести эту фразу.

HSBC утверждает, что система защищена от попыток злоумышленников подсунуть ей запись голоса клиента. Дескать, технология Voice Biometrics создает «отпечаток голоса», который распознает физические и поведенческие нюансы речи.

К тому же телефонным мошенникам придется как-то заставить клиента банка произнести сокровенную фразу целиком. Вряд ли у них это получится, однако они могут попытаться разговорить его и выудить слова по отдельности, если потребуется, за несколько звонков.

Если кто-то пытается придумать способ обмануть людей, наверняка найдется кто-то другой, кто будет придумывать, как этого можно избежать. Например, технология компании Pindrop для оценки «подлинности» удаленного клиента учитывает множество факторов. Среди прочего — географические координаты звонящего. Если звонок от клиента вдруг поступил с другого конца Земли относительно его обычного местоположения, система насторожится. Собственно, такие технологии нередко включены в уже существующие антифрод-системы, используемые во многих банках.

Другой косвенный признак — выбранный канал связи. По статистике компании, мошенники используют VoIP-телефонию в 53% случаев, в то время как настоящие клиенты — лишь в 7 % всех звонков. Поэтому поступивший по интернет-телефонии звонок система Pindrop сразу берет на карандаш.

В свою очередь, злоумышленники применяют контрмеры, например имитацию плохой связи, которая теоретически может усложнить системе идентификацию звонящего. Скоро же арсенал телефонных преступников, судя по всему, пополнится новыми мощными орудиями.

Все скажут за вас

В 2016 году на конференции Adobe MAX был представлен проект VoCo, который тут же окрестили «фотошопом для звука».

На основе анализа фрагмента речи человека система может сгенерировать его голос, в том числе со словами, которых не было в исходной записи. Разработка, как сообщает Би-Би-Си, вызвала беспокойство среди экспертов по информационной безопасности. VoCo, как и его графический прародитель, может стать инструментом для компрометации людей или способом обхода систем голосовой идентификации, используемых в банках.

Подобные системы создает не только Adobe. Собственную разработку по генерации реалистичной речи в 2016 году анонсировала компания Google, а в апреле свою технологию генерации голоса представил канадский стартап Lyrebird. Системе достаточно минутной записи речи человека, чтобы научиться произносить его голосом произвольные фразы (здесь можно послушать пример синтезированной дискуссии между американскими политиками). Разработчики признают, что возможность сгенерировать речь любого человека потенциально опасна, в частности, для игроков политической сцены. К тому же такой софт может стать инструментом мошенников.

«Мы надеемся, что вскоре каждый человек будет знать, что такие технологии существуют и что копирование чужого голоса возможно», — так основатели Lyrebird решили для себя этическую проблему своего детища. Сервис генерации голоса будет доступен разработчикам приложений, сейчас идет набор бета-тестеров.

Источник

Мошенничество со словом «да», это реально?

От знакомых узнал о мошенничестве по телефону: мошенник провоцирует человека сказать «да», записывает его голос, а потом использует запись, чтобы снять средства со счета.

Так правда бывает? Что делают банки, чтобы обезопасить от такого клиентов? Как еще могут использовать запись моего голоса?

Если коротко, то нет, так не бывает. Для перевода денег по телефону необходимо пройти несколько уровней идентификации. Одной записи голоса будет недостаточно.

Но мошенники и правда могут использовать запись вашего голоса против вас. К счастью, этому обычно легко противостоять.

Распознавание голоса в банке

В колцентрах банков действительно есть системы, которые определяют людей по голосу. А еще клиентов узнают по кодовому слову, уникальному идентификатору симкарты и даже лицу. Мы уже рассказывали, как все это работает и зачем нужно.

Если кратко, автоматическое распознавание помогает быстрее узнать клиента и решить его проблему, но решения принимает оператор. Скажем, если клиент звонит узнать адрес ближайшего банкомата, оператор ответит без лишних вопросов. А если звонящий хочет перевести деньги, то оператор запросит дополнительные сведения.

Диалог с операторами всегда вариативен. Мошенник не сможет предугадать, какие вопросы ему зададут. Даже если он запишет, как вы говорите «да», «нет», «добрый день» и «переведите деньги по номеру карты», то этого будет недостаточно для полноценного диалога. Оператор заметит, что речь и интонация неестественны. У мошенника не получится снять ваши деньги, даже если он запишет вашу просьбу это сделать.

Кроме того, оператор не может перевести деньги на какую угодно карту: только на те, что клиент добавил в личном кабинете.

С помощью вашего голоса мошенники не смогут украсть деньги в банке, но могут попытаться развести на деньги вас.

Биометрические данные

С июля 2018 года вступил в силу федеральный закон, который позволяет банкам собирать биометрические данные клиентов. Это не инициатива конкретного банка, а система, которая организована на государственном уровне. По желанию клиента можно передать в банк образцы голоса и внешности, а потом открывать счета и брать кредиты хоть из магазина или из дома. В банк ходить вообще не придется.

Пока банки ее внедряют и тестируют, но уже есть случаи, когда счета открывали голосом и по образцу внешности.

Биометрические данные собирают не как угодно, а по правилам, которые установил закон. Хранят их под защитой. Это сложная система, которая не позволит мошенникам получить доступ к счетам, используя только записанный голос. Но если мошеннику попадет еще и телефон с персональными данными и приложением, то есть риск потерять деньги.

Хотя биометрические данные хранятся на государственной платформе и надежно защищены, все равно нужно соблюдать меры безопасности. Банки будут использовать дополнительные способы защиты, включая отслеживание сумм переводов и типичных операций по счету. Но это не повод раздавать свои данные и не следить за телефоном. Мы еще расскажем, как работает этот закон и какие возможности будут у клиентов банков, когда все заработает в нормальном режиме.

Зачем мошенникам ваш голос

Я знаю несколько схем развода с помощью записи голоса. К счастью, они встречаются редко.

Как-то моему другу позвонили мошенники под видом соцопроса. В ходе разговора он несколько раз ответил «да, конечно» и «разумеется». Через некоторое время ему пришло письмо с аудиозаписью: мошенники нарезали ответы так, что все выглядело как разговор, в котором друг соглашается на сексуальные услуги другого мужчины. Мошенник потребовал перевести 50 тысяч рублей на кошелек «Киви», а иначе грозил разослать запись друзьям в соцсетях. Он даже заранее подготовил их список.

У этой схемы могут быть другие варианты. Например, ваши слова монтируют в разговор так, что вы якобы соглашаетесь на какую-то покупку, и требуют ее оплатить.

Источник

Ответ на миллион. ​Могут ли мошенники использовать запись голоса и другие биометрические данные для доступа к счету

1 Время прочтения: 6 минут

Распознавание голоса стало привычной частью жизни. Благодаря облачным технологиям эта функция доступна на любом смартфоне, планшете или в «умной» колонке. Крупные компании внедряют распознавание голоса в сервисы поддержки клиентов. Российские банки предлагают клиентам внести их данные в Единую биометрическую систему или в собственные биометрические базы, чтобы включить биометрическую идентификацию для дистанционного проведения операций. Это вызывает массу опасений среди россиян, ведь несанкционированное использование биометрии может угрожать финансовой безопасности граждан. Сергей Волдохин, директор компании «Антифишинг», помог разобраться в том, чего стоит опасаться, а что является вымыслом.

Страхи и риски

Кража данных

Биометрическая идентификация, как и любая новая технология, все еще окружена множеством мифов и непониманием. Это порождает различные страхи, главный среди которых — страх, что биометрические данные похитят и используют для кражи денег или другого несанкционированного действия. Ведь в отличие от пароля или документов заменить биометрические данные на новые невозможно.

Этот страх был сильно подогрет серией публикаций, посвященных мошенничеству, «Can you hear me?» («Вы меня слышите?»). В них рассказывалось, как группа преступников обзванивала владельцев банковских счетов, задавала им специально составленные вопросы и записывала ответы. Эту запись затем использовали для доступа к системе голосового управления банковским счетом жертвы, получив который преступники похищали все деньги.

Согласно публикации, достаточно было ответить «Да» на вопрос «Вы меня слышите?», чтобы затем этот ответ использовался для голосового подтверждения трансакции. Угроза казалась настолько серьезной, что предупреждение о ней выпустила американская FTC (Федеральная торговая комиссия).

На самом же деле проблема оказалась немного преувеличена. Попытки мошенничества с использованием систем голосовой идентификации действительно случаются, причем, как сообщает банк HSBC, еще в 2019 году их количество удвоилось по сравнению с 2018-м. Но практически все мошеннические атаки на систему VoiceID, которую использует банк, проваливаются. Причина в том, что простой записи голоса недостаточно для успешной идентификации.

Система голосовой идентификации HSBC, к которой могут подключиться клиенты, анализирует голос, проверяя более 100 поведенческих и физических особенностей голоса, включая размер и форму рта, скорость речи и ударение в словах. Она может распознать голос человека, даже если он простужен или у него болит горло.

Ведущие российские банки пока не замечены в использовании систем управления счетом с помощью голоса, а значит, опасаться атаки «Вы меня слышите?» нашим гражданам пока точно не стоит.

К тому же СберБанк, например, использует в качестве биометрического идентификатора для проведения платежных операций не голос, а лицо человека. Запись голоса в биометрическую базу производят для того, чтобы автоматически распознавать человека при его звонках в службу поддержки банка.

Утечки данных

Второй страх связан с передачей своих биометрических данных в некое хранилище, например Единую биометрическую систему или собственные биометрические системы банков. После множества утечек данных о клиентах банка, содержащих сведения об остатках на счетах, паспортные данные и практически всю подноготную, люди не без оснований боятся, что с их биометрической информацией может произойти то же самое. А это значит, что появляется серьезный риск оказаться под прицелом судебных приставов из-за дистанционно полученного мошенниками кредита, подтвержденного с помощью «утекшей» биометрии жертвы.

Однако, несмотря на ненулевую возможность утечки биометрии, использовать ее для несанкционированной идентификации, скорее всего, не получится. Причина состоит в том, как технически организован процесс идентификации.

При сдаче биометрической информации в базу данных сохраняется не фото лица или аудиозапись голоса, а некий ее слепок в виде набора характерных признаков. Восстановить по этим данным фото владельца или его голос крайне сложно.

Когда кто-то попытается подтвердить операцию с помощью биометрии, его фото в текущий момент будет обработано с помощью аналогичного алгоритма и сопоставлено со слепком, сохраненным в биометрической базе. Подсунуть системе фотографию не получится. В отличие от смартфонов, «защиту» которых удается обмануть с помощью трехмерной маски или даже фото владельца, биометрические системы банков используют более продвинутые версии алгоритмов.

Дипфейки

Третий страх перед биометрией связан с еще одной новой технологией — дипфейками. Возможность с помощью нейросети сгенерировать видео или голос, убедительно имитирующий реального человека, действительно несет серьезные риски. Однако на текущий момент эту угрозу нельзя рассматривать как значительную. Стоимость создания дипфейка, способного обмануть систему идентификации по лицу, пока заметно выше, чем остатки на счетах среднестатистического клиента банка. Таким образом, в ближайшее время вряд ли стоит ожидать, что использование дипфейков для кражи денег станет массовым явлением.

Дополнительная защита

Многофакторное подтверждение — основа безопасности в современных IT-процессах. Она одинаково защищает клиента банка, каким бы образом он себя ни идентифицировал: по голосу, отпечатком пальца, фотографией или обычным вводом учетных данных. В этот момент система безопасности проверяет не только предоставленный образец или код, но и устройство, с которого приходит информация, IP-адрес, номер телефона, местоположение, и если пазл сложился, то открывается доступ к системам.

Третий компонент защиты — так называемая антифрод-система. Она по специальным алгоритмам «обучается» на типовых операциях, которые выполняет клиент, а в случае «непривычного» действия сверяет его с базой образцов мошеннических действий. Обнаружив совпадение, антифрод-модуль автоматически блокирует операцию до получения подтверждения от владельца счета.

Таким образом, «гарантированным» вариантом для мошенников остается только непосредственное взаимодействие с жертвой, в ходе которого человека убеждают совершить действия, которые лишат его денег. Согласно нашему исследованию, 86,4% россиян когда-либо подвергались цифровым атакам. Самыми распространенными способами обмана людей остаются фишинговые электронные письма и звонки от имени службы безопасности банка.

Рекомендации

Принципы финансовой самообороны с приходом новых технологий не меняются:

Мнение автора может не совпадать с мнением редакции

\n \n\t\t\t \n\t\t\t \n\t\t \n\t»,»content»:»\t\t

Источник

Вот кто-то в профиль и анфас: могут ли мошенники воспользоваться чужой биометрией

Недавно СМИ распространили информацию, что мошенники звонят клиентам банков, записывают их голос, а затем используют записи для оформления кредитов. О возможности использования злоумышленниками данных биометрии говорили и некоторые специалисты в области компьютерной безопасности. Однако насколько эти опасения реалистичны? Подробности выясняли «Известия».

Никаких разговоров с незнакомцами

Мошенники могут получить доступ к биометрическим данным россиян, включая голос, без ведома владельца, сообщил на днях начальник отдела по противодействию мошенничеству компании «Инфосистемы Джет» Алексей Сизов.

По его словам, для получения различных услуг и для доступа в банковские и другие приложения на телефоне мы ежедневно оставляем свои отпечатки пальцев, фотографии и записи голоса. Причем эти биометрические данные при желании вполне можно получить незаконным путем, предупредил эксперт.

Однако применить их злоумышленникам будет непросто. По словам специалиста, биометрические системы, как правило, сложны, поэтому их нельзя обмануть с помощью фотографии или конкретной фразы. Эксперт считает, что обезопасить свои биометрические данные можно, если пользоваться двухфакторной аутентификацией, которая требует два раза подтверждать личность. А для того чтобы мошенники не могли воспользоваться вашим голосом, не следует вести с незнакомыми людьми долгих телефонных разговоров.

Как это работает

К биометрическим данным относятся отпечатки пальцев, биометрия уха, биометрия по сетчатке глаза, 3D-изображения лица, походка, манера печатания на клавиатуре и множество других характеристик, рассказал «Известиям» коммерческий директор компании «EkeyRus биометрические системы» Константин Новиков. «Биометрия всегда сравнивает какой-то идентификатор — будь то палец или изображение лица — с той базой шаблонов, которая хранится внутри системы. Каждый раз, когда вы хотите подтвердить свою подлинность, вы должны вот этот идентификатор предоставить в систему», — пояснил он.

Банки обычно используют два вида идентификаторов — изображение лица и запись голоса. По словам эксперта, выбор именно таких идентификаторов объясняется просто: микрофон и камера есть практически в любом современном телефоне или компьютере. То, что параметра два, обусловлено требованиями безопасности. «С одним существовала бы куда большая вероятность ошибки системы. Поэтому применяются два идентификатора: первый, грубо говоря, в несколько раз уменьшает базу данных — из 10 млн пользователей, предположим, остается 50 тыс. А среди них уже гораздо легче со вторым идентификатором распознать человека», — рассказал Новиков.

На сегодняшний день российские банки собирают биометрические данные клиентов как для собственных целей (чтобы повысить безопасность и качество обслуживания клиентов), так и для Единой биометрической системы (ЕБС), которая была запущена Банком России и «Ростелекомом» летом 2018 года. Эта система позволяет гражданам становиться клиентами банков и получать их услуги без посещения офиса за счет удаленной идентификации — для этого надо один раз посетить банковское отделение и сдать свои данные.

Легко получить, но сложно использовать

Периодически в интернете и в СМИ появляется информации о возможных рисках, связанных с использованием биометрических данных мошенниками. Так, в апреле СМИ сообщили, что мошенники стали звонить клиентам банков, записывать их голос, а затем использовать его для оформления кредитов. Пугающую информацию прокомментировал Сбербанк, назвав невозможным использование мошенниками голосовых данных клиентов банков для хищения денежных средств с их счетов или оформления кредита на чужое имя. С мнением представителей банка согласны и эксперты в области безопасности.

— Мошеннику нужно позвонить вам и заставить сказать запрашиваемую в личном кабинете фразу, успеть записать на телефон и проиграть ее в микрофон и при этом подделать изображение лица, которое должно быть, естественно, не распечатано на листочке, потому что камера поймет, что это неживое лицо. Это достаточно сложный путь, — считает Константин Новиков. — Злоумышленники сейчас пользуются достаточно простыми вещами — обзвонами, выуживанием кодов. В теории, конечно, любую систему можно обмануть — точно так же как любую машину можно украсть, любую дверь открыть, — но мне кажется, об этом не стоит беспокоиться. Качественная биометрия создается для удобства, для безопасности и в современных системах производители должны предусматривать вероятность ложного распознавания или ложного отказа в распознавании.

Эти характеристики есть у любой биометрической системы и они, естественно, разные, добавляет Новиков. «Например, в профессиональных системах для контроля доступа в частных домах вероятность ложного доступа 10 в минус седьмой степени. Это означает, что если я где-то насобираю 10 млн живых отпечатков пальцев, то тогда, возможно, система один из этих пальцев пропустит».

Заполучить запись вашего голоса или видео с вашим лицом в принципе легко, но с этими биометрическими данными сделать ничего нельзя, сообщил «Известиям» ведущий аналитик Mobile Research Group Эльдар Муртазин. «Если говорить о том, что кто-то может украсть вашу биометрию, — чисто теоретически это возможно. Но крайне мало что можно с этим сделать, так как помимо биометрических данных у вас всегда есть пароль, который нужно знать. В совокупности это достаточно сложная система для взлома, потому что комбинируются разные способы авторизации. Более того, нормально реализованная биометрия оценивает, что перед ней — живой человек или попытка его имитировать», — отметил он.

Слово поставщикам услуг

Записав голос человека и сняв его лицо на видео, невозможно взять кредит на человека, подтвердили «Известиям» в пресс-службе «Ростелекома».

— Учитывая необходимость предварительной проверки по логину и паролю от портала госуслуг, система определяет человека гораздо точнее, чем другие существующие методы. При этом биометрия — не единственный фактор, по которому банки принимают решение об открытии счета тому или иному клиенту. Единая биометрическая система отправляет банку процент схожести между биометрией обращающегося за услугой человека с его шаблоном. Помимо биометрии банк использует процедуры скоринга, KYC и другие, принимая решение на основе совокупности всех факторов. Таким образом, ответственность за принятие решения ложится на плечи банка, — сообщили в компании.

Более того, в ЕБС используется система Liveness detection — технология, которая отличает живого человека от его имитации в цифровом канале. Таким образом, попытка взять кредит на чужое имя с использованием видеозаписи не сработает.

«Мы не выдаем кредиты на основании одной лишь биометрии. При рассмотрении заявок на кредиты банк проводит идентификацию личности по многим критериям: паспортные данные, биометрическое фото, подтверждение личности через авторизацию на портале «Госуслуги» и пр.», — отметили в пресс-службе Почта Банка в ответ на запрос «Известий».

— Биометрия может эффективно защитить от мошенников. Для этого Почта Банк с момента основания применяет собственную внутреннюю биометрическую идентификацию клиентов по изображению лица. Она предназначена для защиты от мошеннических действий и неправомерного доступа к счету как в отделениях, так в ДБО. Образец изображения лица каждого клиента записывается при первом визите в банк, и в дальнейшем этот слепок используется для его идентификации как дополнительный фактор наряду с предъявлением паспорта.

Впрочем, как сообщили «Известиям» в пресс-службе банка «Хоум Кредит», число клиентов, которые готовы воспользоваться услугами Единой биометрической системы, пока невелико. По словам представителя банка, это может быть связано с еще недостаточной информированностью россиян о такой возможности. Подключение к новой системе удаленной идентификации клиентам предлагается исключительно на добровольной основе — если клиент захочет, то все операции можно будет по-прежнему провести традиционным способом.

Страх утечки

Нежелание предоставлять третьим лицам свою биометрию связано с нередкими утечками персональных данных пользователей самых разных услуг — будь то абоненты операторов сотовой связи или клиенты страховых компаний, отмечает Константин Новиков. Однако, подчеркивает эксперт, даже такая вероятность не сможет позволить мошенникам воспользоваться чьими-то биометрическими данными, которые хранятся в системе.

— Шаблон в качественных биометрических системах должен быть не в виде звукового MP3-файла или JPG-изображения, а зашифрованным. То есть кража биометрического шаблона ни к чему не приведет, потому что расшифровать его практически невозможно, — объясняет он. — И тут уже неважно, что утекло, это никоим образом не влияет на повышение риска использования этой биометрической системы, потому что она сама себя должна защитить.

Источник