Злоумышленники научились с помощью нейросети распознавать PIN-коды карт. Они обучают программу по видео, на котором люди пользуются банкоматом, прикрывая руку при вводе цифр. Об этом «Известиям» рассказали в IT-компании T1, информацию подтвердили в ЦБ и эксперты на рынке кибербезопасности. Впрочем, они полагают, что реализовать подобную атаку слишком сложно — для этого нужно украсть данные карты и получить доступ к съемкам человека у банкомата. Поэтому вряд ли схема мошенничества станет массовой.
Попасть в нейросеть
В нейросеть загрузили видео людей, которые вводят PIN-код карты таким образом, что цифр не видно, — съемка ведется, когда человек прикрывает пальцы второй рукой, рассказал «Известиям» заместитель генерального директора по технологическому развитию Группы Т1 Антон Якимов. По его словам, для обучения нейросетей необходимо загрузить в них много таких видео, и со временем программа сможет сама давать правильный ответ.
Хотя на рынке стало известно о такой нейросети, по словам эксперта, чтобы обмануть человека этим способом, злоумышленнику нужно получить доступ к карте. Антон Якимов уточнил, что существуют специальные мошеннические устройства, которые устанавливают в банкомат и те считывают данные «пластика». Другой вариант — приспособления, не позволяющие АТМ выдать карту после использования. Впоследствии ее забирает злоумышленник.
В Банке России заявили «Известиям», что знают об этом способе обмана. Впрочем, в регуляторе не фиксируют его массового распространения. Даже если злоумышленнику удалось заполучить PIN-код с помощью нейросетей, то маловероятно, что он сможет воспользоваться им для хищения денег без доступа к карте или телефону гражданина, подчеркнули в ЦБ.
— Чтобы не стать жертвой мошенников, никогда и ни в коем случае не сообщайте личные данные, данные банковской карты, коды из SMS, секретные слова. Банк России постоянно мониторит и анализирует ситуацию по распространению в различных каналах мошеннических сценариев, в том числе с применением новых технологий, — напомнили в регуляторе.
По данным «Лаборатории Касперского», пока технология подбора PIN-кода карты с помощью нейросетей применялась только в «кабинетных» условиях, при этом реальных инцидентов не фиксировалось.
— Такой подход потенциально мог бы применяться в скимминге (мошенничествах, позволяющих считывать данные о банковской карте по магнитной ленте. — «Известия»), но в России этот вид угроз неактуален уже несколько лет. Это связано с тем, что транcакции по магнитной ленте практически не проводятся, а также с тем, что карты отечественных банков больше нельзя использовать в большинстве других стран, — отметил главный эксперт «Лаборатории Касперского» Сергей Голованов.
Теоретическая опасность
Благодаря современным технологиям выпуска банковских карт с микропроцессором схема мошенничества в виде скимминга практически исчезла, подтвердил руководитель департамента по противодействию мошенничеству «Инфосистемы Джет» Алексей Сизов. Он пояснил: это связано с невозможностью копирования карты с микропроцессором. Таким образом, хищение PIN-кода даже самыми современными инструментами всё равно требует физического наличия карты.
— Упомянутая нейронная сеть может давать высокий уровень ошибок. Люди обладают разной моторикой, и нечасто движения для набора PIN-кода можно зафиксировать со спины, а значит, с похищенной карты деньги снять не удастся. После кражи кошелька или сумки мошенник предпочтет более совершенный способ получения PIN-кода, чем нейронная сеть, — добавил Алексей Сизов.
Любые схемы обмана, в том числе с потенциальным распознаванием PIN-кода по видео, представляют риски для пользователей, считает руководитель направлений «Комплаенс» и «Аудит» управления информационной безопасности ГК Softline Илья Тихонов. Он подчеркнул: уже сейчас существует практика использования нейросетей для разблокировки телефонов.
— Нейросети также способны подделывать голос, такие случаи уже известны. Важно понимать, что технологическое развитие не стоит на месте, в том числе постоянно совершенствуются и инструменты мошенников. К примеру, если нейросеть умеет синтезировать голос, то при подмене номера телефона можно легко убедить человека, что звонящий — его близкий друг или знакомый. А это, в свою очередь, открывает мошенникам новые возможности и схемы для обмана, — рассказал Илья Тихонов.
«Известия» направили запрос в крупнейшие российские кредитные организации. В Росбанке сообщили, что подобных случаев не фиксировали.
По наиболее свежим данным ЦБ, в III квартале 2022 года количество операций без согласия клиентов составило почти 230 тыс., а объем похищенных денег достиг практически 4 млрд рублей. Порядка 40 тыс. неправомерных транcакций совершалось с помощью банкоматов или терминалов. Это в два раза больше, чем в предыдущем году. При этом доля обманов с помощью социальной инженерии в этой категории небольшая — 14%.