Вот кто-то в профиль и анфас: могут ли мошенники воспользоваться чужой биометрией
Недавно СМИ распространили информацию, что мошенники звонят клиентам банков, записывают их голос, а затем используют записи для оформления кредитов. О возможности использования злоумышленниками данных биометрии говорили и некоторые специалисты в области компьютерной безопасности. Однако насколько эти опасения реалистичны? Подробности выясняли «Известия».
Никаких разговоров с незнакомцами
Мошенники могут получить доступ к биометрическим данным россиян, включая голос, без ведома владельца, сообщил на днях начальник отдела по противодействию мошенничеству компании «Инфосистемы Джет» Алексей Сизов.
По его словам, для получения различных услуг и для доступа в банковские и другие приложения на телефоне мы ежедневно оставляем свои отпечатки пальцев, фотографии и записи голоса. Причем эти биометрические данные при желании вполне можно получить незаконным путем, предупредил эксперт.
Однако применить их злоумышленникам будет непросто. По словам специалиста, биометрические системы, как правило, сложны, поэтому их нельзя обмануть с помощью фотографии или конкретной фразы. Эксперт считает, что обезопасить свои биометрические данные можно, если пользоваться двухфакторной аутентификацией, которая требует два раза подтверждать личность. А для того чтобы мошенники не могли воспользоваться вашим голосом, не следует вести с незнакомыми людьми долгих телефонных разговоров.
Как это работает
К биометрическим данным относятся отпечатки пальцев, биометрия уха, биометрия по сетчатке глаза, 3D-изображения лица, походка, манера печатания на клавиатуре и множество других характеристик, рассказал «Известиям» коммерческий директор компании «EkeyRus биометрические системы» Константин Новиков. «Биометрия всегда сравнивает какой-то идентификатор — будь то палец или изображение лица — с той базой шаблонов, которая хранится внутри системы. Каждый раз, когда вы хотите подтвердить свою подлинность, вы должны вот этот идентификатор предоставить в систему», — пояснил он.
Банки обычно используют два вида идентификаторов — изображение лица и запись голоса. По словам эксперта, выбор именно таких идентификаторов объясняется просто: микрофон и камера есть практически в любом современном телефоне или компьютере. То, что параметра два, обусловлено требованиями безопасности. «С одним существовала бы куда большая вероятность ошибки системы. Поэтому применяются два идентификатора: первый, грубо говоря, в несколько раз уменьшает базу данных — из 10 млн пользователей, предположим, остается 50 тыс. А среди них уже гораздо легче со вторым идентификатором распознать человека», — рассказал Новиков.
На сегодняшний день российские банки собирают биометрические данные клиентов как для собственных целей (чтобы повысить безопасность и качество обслуживания клиентов), так и для Единой биометрической системы (ЕБС), которая была запущена Банком России и «Ростелекомом» летом 2018 года. Эта система позволяет гражданам становиться клиентами банков и получать их услуги без посещения офиса за счет удаленной идентификации — для этого надо один раз посетить банковское отделение и сдать свои данные.
Легко получить, но сложно использовать
Периодически в интернете и в СМИ появляется информации о возможных рисках, связанных с использованием биометрических данных мошенниками. Так, в апреле СМИ сообщили, что мошенники стали звонить клиентам банков, записывать их голос, а затем использовать его для оформления кредитов. Пугающую информацию прокомментировал Сбербанк, назвав невозможным использование мошенниками голосовых данных клиентов банков для хищения денежных средств с их счетов или оформления кредита на чужое имя. С мнением представителей банка согласны и эксперты в области безопасности.
— Мошеннику нужно позвонить вам и заставить сказать запрашиваемую в личном кабинете фразу, успеть записать на телефон и проиграть ее в микрофон и при этом подделать изображение лица, которое должно быть, естественно, не распечатано на листочке, потому что камера поймет, что это неживое лицо. Это достаточно сложный путь, — считает Константин Новиков. — Злоумышленники сейчас пользуются достаточно простыми вещами — обзвонами, выуживанием кодов. В теории, конечно, любую систему можно обмануть — точно так же как любую машину можно украсть, любую дверь открыть, — но мне кажется, об этом не стоит беспокоиться. Качественная биометрия создается для удобства, для безопасности и в современных системах производители должны предусматривать вероятность ложного распознавания или ложного отказа в распознавании.
Эти характеристики есть у любой биометрической системы и они, естественно, разные, добавляет Новиков. «Например, в профессиональных системах для контроля доступа в частных домах вероятность ложного доступа 10 в минус седьмой степени. Это означает, что если я где-то насобираю 10 млн живых отпечатков пальцев, то тогда, возможно, система один из этих пальцев пропустит».
Заполучить запись вашего голоса или видео с вашим лицом в принципе легко, но с этими биометрическими данными сделать ничего нельзя, сообщил «Известиям» ведущий аналитик Mobile Research Group Эльдар Муртазин. «Если говорить о том, что кто-то может украсть вашу биометрию, — чисто теоретически это возможно. Но крайне мало что можно с этим сделать, так как помимо биометрических данных у вас всегда есть пароль, который нужно знать. В совокупности это достаточно сложная система для взлома, потому что комбинируются разные способы авторизации. Более того, нормально реализованная биометрия оценивает, что перед ней — живой человек или попытка его имитировать», — отметил он.
Слово поставщикам услуг
Записав голос человека и сняв его лицо на видео, невозможно взять кредит на человека, подтвердили «Известиям» в пресс-службе «Ростелекома».
— Учитывая необходимость предварительной проверки по логину и паролю от портала госуслуг, система определяет человека гораздо точнее, чем другие существующие методы. При этом биометрия — не единственный фактор, по которому банки принимают решение об открытии счета тому или иному клиенту. Единая биометрическая система отправляет банку процент схожести между биометрией обращающегося за услугой человека с его шаблоном. Помимо биометрии банк использует процедуры скоринга, KYC и другие, принимая решение на основе совокупности всех факторов. Таким образом, ответственность за принятие решения ложится на плечи банка, — сообщили в компании.
Более того, в ЕБС используется система Liveness detection — технология, которая отличает живого человека от его имитации в цифровом канале. Таким образом, попытка взять кредит на чужое имя с использованием видеозаписи не сработает.
«Мы не выдаем кредиты на основании одной лишь биометрии. При рассмотрении заявок на кредиты банк проводит идентификацию личности по многим критериям: паспортные данные, биометрическое фото, подтверждение личности через авторизацию на портале «Госуслуги» и пр.», — отметили в пресс-службе Почта Банка в ответ на запрос «Известий».
— Биометрия может эффективно защитить от мошенников. Для этого Почта Банк с момента основания применяет собственную внутреннюю биометрическую идентификацию клиентов по изображению лица. Она предназначена для защиты от мошеннических действий и неправомерного доступа к счету как в отделениях, так в ДБО. Образец изображения лица каждого клиента записывается при первом визите в банк, и в дальнейшем этот слепок используется для его идентификации как дополнительный фактор наряду с предъявлением паспорта.
Впрочем, как сообщили «Известиям» в пресс-службе банка «Хоум Кредит», число клиентов, которые готовы воспользоваться услугами Единой биометрической системы, пока невелико. По словам представителя банка, это может быть связано с еще недостаточной информированностью россиян о такой возможности. Подключение к новой системе удаленной идентификации клиентам предлагается исключительно на добровольной основе — если клиент захочет, то все операции можно будет по-прежнему провести традиционным способом.
Страх утечки
Нежелание предоставлять третьим лицам свою биометрию связано с нередкими утечками персональных данных пользователей самых разных услуг — будь то абоненты операторов сотовой связи или клиенты страховых компаний, отмечает Константин Новиков. Однако, подчеркивает эксперт, даже такая вероятность не сможет позволить мошенникам воспользоваться чьими-то биометрическими данными, которые хранятся в системе.
— Шаблон в качественных биометрических системах должен быть не в виде звукового MP3-файла или JPG-изображения, а зашифрованным. То есть кража биометрического шаблона ни к чему не приведет, потому что расшифровать его практически невозможно, — объясняет он. — И тут уже неважно, что утекло, это никоим образом не влияет на повышение риска использования этой биометрической системы, потому что она сама себя должна защитить.