Рост на 700%: мошенники стали чаще использовать дипфейки в сфере финансов

Эксперты рассказали, как защитить себя и свои данные
Мария Фролова
Фото: ИЗВЕСТИЯ/Александр Полегенько

Мошенники стали в семь раз чаще использовать дипфейки в секторе финансовых технологий. В результате банкам приходится внедрять новые методы борьбы со злоумышленниками, а пользователям — быть внимательнее, получая голосовые или видеосообщения от знакомых или руководства. «Известия» выяснили, какие схемы с дипфейками сейчас распространяются в России и как защититься от них.

Дипфейки в финансовой сфере

Мошенники стали активнее использовать дипфейки в секторе финансовых технологий. За год число таких инцидентов в мире выросло на 700%, пишет Wall Street Journal со ссылкой на подсчеты платформы Sumsub.

Одними из первых, кто стал подвергаться атакам, оказались банки и другие финансовые организации. Теперь им приходится заниматься внедрением нового программного обеспечения для лучшей идентификации клиентов. А для совершения транзакций — запрашивать у пользователей дополнительную информацию.

«Людям всегда поступали мошеннические звонки. Но способность ИИ имитировать реальный голос человека, дающего указания что-то сделать, — это совершенно новые риски», — отметил директор по информационным технологиям New York Life Билл Кэссиди.

Фото: ИЗВЕСТИЯ/Павел Волков

По словам эксперта, больше всего в банках опасаются, что мошенники смогут использовать дипфейки для прохождения голосовой аутентификации, применяемой для проверки клиентов и предоставления им доступа к их учетным записям. Именно поэтому сотрудники стали задавать клиентам больше вопросов, чтобы убедиться, что звонят именно они.

Одновременно IT-компании занимаются разработкой технологий, предназначенных для борьбы с дипфейками. «Во многих случаях лучшей защитой от этой угрозы генеративного ИИ становится тот же ИИ — но примененный на другой стороне», — подчеркнул специалист.

Директор по цифровым технологиям Simmons Bank Алекс Каррилес отметил, что банки уже научились бороться с мошенниками,

Фото: РИА Новости/Максим Богодвид

которые отправляли поддельные водительские удостоверения для создания онлайн-аккаунтов. По его словам, раньше одним из этапов создания учетной записи в банке была загрузка клиентами фотографий их водительских прав. Теперь, когда изображения легко сделать с помощью нейросетей, схему пришлось поменять.

«И теперь вместо того, чтобы загружать уже существующее фото, клиентам нужно снимать свои права через приложение банка, а затем делать селфи. Чтобы избежать ситуации, когда мошенники подносят камеры к экрану с изображением чужого лица, приложение инструктирует пользователей смотреть влево, вправо, вверх или вниз. С этим не справится ни один дипфейк — по крайней мере пока», — заключил Каррилес.

Что такое дипфейки

Дипфейки (deepfakes) — это вид синтетического медиаконтента, созданного с использованием искусственного интеллекта для замены лиц и голосов людей в видео- и аудиозаписях. Сам термин появился еще несколько лет назад от сочетания слов «deep learning» (глубокое обучение) и «fake» (фальшивый).

Технологии генерации изображения и голоса в мире разрабатываются уже более 20 лет. Изначально они были очень дорогими и применялись только в узких сферах — например, в кинематографе, объясняет «Известиям» главный эксперт «Лаборатории Касперского» Сергей Голованов. Сейчас, благодаря появлению нейросетей, такие технологии используются повсеместно, и ими активно пользуются мошенники.

— Они выбирают дипфейки, потому что те могут быть эффективным инструментом для обмана и манипуляции людьми. Подделанные голоса можно использовать для убеждения жертв в выполнении определенных действий, например, передачи денег или конфиденциальной информации, — говорит директор по развитию направления «Кибербезопасность для населения» ГК «Солар» Олег Седов.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

По его словам, ИИ способен правдоподобно смоделировать даже не самого популярного персонажа. В результате цифровая копия, похожая внешним сходством, голосом и жестами, становится легко доступна и для злоумышленников. А если добавить к этому утечки персональных данных и информацию о жертве, можно получить готовый сценарий для мошенничества.

— Дипфейками можно подделать голоса практически любых людей, если у мошенников есть аудиозаписи для обучения алгоритмов. Это касается в том числе голосов банковских работников, финансовых консультантов, руководителей компаний и других лиц, чьи голоса могут быть узнаны клиентами, — отмечает Седов.

Сегодня для создания подделки достаточно иметь всего несколько образцов голоса человека или записей его выступления, добавляет Сергей Голованов. С помощью нейросетей на их базе можно создать аудио и даже видеозапись с содержанием, имитирующую голос и мимику этого человека. Причем запись может быть с достаточно высокой детализацией, невооруженным глазом будет сложно отличить ее от оригинала.

Фото: ИЗВЕСТИЯ/Эдуард Корниенко

— И самое главное, для этого совсем необязательно быть специалистом в сфере ИИ. Есть множество приложений, позволяющих, например, сгенерировать видео по фотографии или аудиосообщение по нескольким записанным словам. Хотя понятно, что чем больше будет контента, тем точнее получится итоговый результат, — добавляет ведущий эксперт по сетевым угрозам, web-разработчик компании «Код безопасности» Константин Горбунов.

Схемы с дипфейками

В России, как и во всем мире, дипфейки чаще всего используются именно в финансовой сфере — в атаках на клиентов банков и других организаций, говорит Сергей Голованов. Поддельные записи дополняют социальную инженерию, помогают заставить жертву поверить в легенду злоумышленников.

— При атаках на обычных пользователей злоумышленники подделывают голосовые сообщения или видео знакомых жертвы. В таких сообщениях могут, например, просить человека срочно перевести деньги, — отмечает главный эксперт «Лаборатории Касперского».

По его словам, в последние несколько месяцев активно распространяется схема, когда мошенники создают в Telegram поддельные аккаунты руководителей различных компаний и пытаются с их помощью обмануть сотрудников, чтобы вынудить их перевести деньги на счета атакующих, часто вынуждают взять кредит. Для этого преступники могут заранее собирать информацию о компании и персонале, в том числе из слитых баз данных.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

— В подобных аудиосообщениях голос, похожий на голос руководителя, может предупреждать о скором звонке от регулятора или правоохранительных органов, требовать срочно перевести средства на определенный счет. После чего следует уже стандартная схема со звонком якобы от представителей банка, — рассказывает Голованов.

Кроме того, добавляет он, фиксируются единичные случаи, когда сотрудников крупных организаций убеждали сделать перевод во время конференц-звонка в режиме реального времени. Однако создавать подобную запись всё еще крайне сложно и дорого — это требует от атакующих высокого уровня подготовки.

В случае с банками применение дипфейков концентрируется на подтверждении входа в ДБО (дистанционное банковское обслуживание), а также на подтверждении операций, которые были заблокированы системой антифрода, говорит в беседе с «Известиями» директор департамента предотвращения транзакционного мошенничества МТС Банка Игорь Шульга.

Фото: ИЗВЕСТИЯ/Сергей Лантюхов

— В некоторых случаях вероятно также подтверждение на снятие ранее установленных блокировок клиентом, например, на кредиты — всё зависит от того, какие сервисы «завяжет» на биометрии та или иная организация финансовых услуг, — поясняет Шульга.

По его словам, такие схемы появились совсем недавно — в 2023-2024 годах. И теперь мошенники пытаются с их помощью выдавать себя за реальных клиентов банка, что может приводить к серьезным последствиям.

— Например, подделав голос банковского клиента, мошенники могут с его помощью подтвердить и осуществить финансовую транзакцию, что, в свою очередь, может привести к потере денег и нарушению конфиденциальности личных данных, — заключает Константин Горбунов.

Способы защиты

Для того чтобы защититься от мошенников, использующих дипфейки, эксперты «Известий» рекомендуют критически относиться к любым сообщениям в мессенджерах. Важно проверять информацию, даже если она пришла от знакомых.

— Стоит обращать внимание на качество видео- или аудиоконтента, возможные дефекты в изображении или помехи в голосе, а также на полную тишину на фоне, отсутствие междометий или очень стройную речь. Если вы говорите в реальном времени (и вас смущает суть разговора), попросите собеседника покрутить головой из стороны в сторону, поднести руки к лицу, задайте внезапный вопрос, на который ответ будет не самым очевидным, — говорит Сергей Голованов.

Фото: ИЗВЕСТИЯ/Константин Кокошкин

В самом разговоре, по его словам, важно обратить внимание на тон собеседника и его просьбы — если он просит сделать что-то в срочном порядке, пугает возможной ответственностью или последствиями — это всегда повод насторожиться. Тогда лучше перезвонить ему по обычному телефону или в другом мессенджере.

В свою очередь, Константин Горбунов советует для защиты от дипфейков внедрять более надежные методы аутентификации, которые не могут быть подделаны при помощи данной технологии. Это может включать в себя биометрическую идентификацию, многофакторную аутентификацию, а также необходимость очного присутствия на сделках.

Фото: РИА Новости/Максим Блинов

— Для пользователей важно быть осведомленными об угрозе дипфейков и вести себя осторожно при осуществлении финансовых операций или предоставлении конфиденциальной информации по телефону или в мессенджерах. В случае сомнений стоит уточнять подлинность запросов и проводить всестороннюю проверку, прежде чем предоставлять какую-либо информацию или осуществлять транзакции, — заключает эксперт «Кода безопасности».