Развитие технологий неминуемо приводит к возникновению новых мошеннических схем. Например, подмена номера – удобное решение для тех же банков, чтобы клиенты не добавляли номера в блэклист при звонках. Но пользуются этим в основном телефонные мошенники. И так происходит с большинством новых технологических явлений. В этой статье мы поговорим про две современные технологии, которые уже начали деструктивно использоваться злоумышленниками. Особенно это касается банковского сектора. «Deepfake» — это технология подмены лица на видео. Используется синтез нескольких фото одного человека, который потом накладывается на видео с другим человеком. Чем больше фото с разными ракурсами и выражениями лица загружено в систему, тем более правдоподобный эффект получится в итоге. Со временем алгоритм учится тому, как двигается человек, чтобы лучше синхронизировать фейковое лицо с реальным на видео. Изначально deepfake использовался для простого развлечения. Всем было интересно наложить лица своих друзей на видео с известными личностями. Со временем, когда алгоритмы начали развиваться, и качество подмены лица возросло, начали появляться новости о том, что deepfake стал использоваться мошенниками для обхода биометрии. Первое, что приходит в голову, – фото с паспортом в руке для подтверждения личности в платежных сервисах. Для создания идеального фейка злоумышленнику нужно сфотографировать себя со своим паспортом, заменить свое лицо на лицо жертвы (для этого достаточно иметь хотя бы одно качественное фото). Паспортные сведения мошенник легко может найти из сотен утечек данных, и с базовыми навыками фотошопа наложить их на фото своего паспорта. К сожалению, эта схема будет довольно часто срабатывать, так как у большинства банков нет возможности проверить фото на подлинность. Второй вектор атак – это подмена лица в режиме реального времени. В некоторых банках используется метод визуального подтверждения личности клиента при совершении различных финансовых операций при помощи видеосвязи. Массово этот прием пока не используется в силу технической сложности. Но в перспективе мошенничество через подмену лица может сильно подорвать доверие к любой видеоинформации в целом. Лучшим вступлением будет история, которая случилась в 2019 году. Злоумышленник захотел выдать себя за собственника одной британской компании. Используя технологию подмены голоса, он позвонил гендиректору и попросил его перевести на «счет поставщика» (конечно, мошеннический) 243 000 $. Гендиректор, узнав голос и акцент своего руководителя, конечно, выполнил указание. Естественно, для совершения такой атаки злоумышленникам нужно было заполучить образец голоса руководителя. Сделать это было не так уж сложно. Далее образец был загружен в программу, которая заменила голос в режиме реального времени, и обман удался. Сегодня многие банки предлагают своим клиентам оставить свои биометрические данные (в частности, образец голоса) для повышения уровня безопасности. Проблема заключается в том, что на сегодняшний день у нас есть больше информации о том, как обходить биометрическую защиту, а не о том, как с таким «обходом» бороться. Для примера вот доклад одной из ведущих американских конференций по информационной безопасности «Black Hat» о том, как обходить голосовую аутентификацию: Остается полагаться на адекватность служб безопасности банков при выстраивании общего периметра защиты. Обход биометрии и deepfake необходимо выделять в отдельную категорию угроз и закупать соответствующие решения для организации противодействия. Автор — Никита Артемов, основатель Artemov Security Consulting, эксперт-профайлер НИЦКБ, специалист в области частных и корпоративных расследованийDeepfake и подмена голоса
Появился даже отдельный тренд – подставлять лицо Николаса Кейджа везде, где можно
Теперь поговорим про подмену голоса.
Что со всем этим делать?