В конце июня российские банки стали рассылать клиентам "письма счастья" — уведомления о том, что их биометрические данные передают в государственную систему. Объём персональной информации — 75 миллионов образцов. И даже если речь о разных форматах данных - голос, антропометрия лица и отпечатки пальцев — все равно в госбазе будет храниться цифровой образ не менее чем 20 млн человек.
Врод как от передачи данных можно отказаться, написав заявление. Но правда ли из единой базы МВД, например, удалят ваши данные — даже если скажут, что удалили?
Чем грозит наличие вашего цифрового портрета базах? Стоит ли этого удобства, которые несёт с собой сбор биометрических данных? И как мошенники всего мира уже успели навредить людям, сдавшим отпечатки или оставившим образец голоса банковскому менеджеру?
Полную версию слушайте в BRIF:
В чем риски биометрии?
Конечно, у нее есть и плюсы: например, взаимодействие с госорганами и банками проще. Однако уже есть и многомиллиардный рынок торговли персональными данными и цифровые пираты. Соревнование между разработчиками и хакерами началось сразу, как только стартовал сбор биометрии в России в 2018 году. Пока первые думают над системами защиты, вторые их ломают.
Однако главная проблема биометрических данных в том, что они, в общем-то, никогда не и были защищены, поскольку публичны. Кто угодно может смонтировать из телефонного разговора с вами любую фразу, якобы сказанную вашим голосом, а то и вовсе попросить нейросеть смоделировать ваш тембр.
Далее с помощью этого можно инициировать перевод денег с вашего счета, пока вы спите. Даже если служба безопасности банка что-то заподозрит и потребует верификации, обойти её не проблема: модулятор голоса позволяет общаться с поддержкой банков в реальном времени.
Если же потребуется дополнительная верификация, то "к услугам мошенников" дипфейки, клонирование телефонных номеров, слитые в сеть сканы паспортов и договоров с банками с кодовыми словами в них. Так что риски очень большие. Поэтому вместо двухфакторной идентификации у нас, возможно, скоро будет трехфакторная:
- карточка или телефон, которые есть только у вас;
- способность ввести пин-код или назвать кодовое слово;
- биометрические данные.
Но что если нейросеть будет беседовать вашим голосом с сотрудником банка по украденному у вас телефону?
Конечно, у большинства из нас не так много денег, чтобы создавать дорогие дипфейки. Но технологии дешевеют: может, выручка от обмана небогатого студента скоро будет сильно превышать траты на такую операцию?
Кстати, биометрические данные не только публичны, но их ещё и не поменяешь, как пароль или привязанный к аккаунту номер телефона.
Громкие истории обмана с помощью биометрии
Урсула фон дер Ляйен, ныне глава Еврокомиссии, 7 лет назад была министром обороны Германии и пострадала от действий хакера. Он сумел воспроизвести отпечаток её пальца, который создал на основе публичных фотографий. Только вдумайтесь: у кого-то был отпечаток пальца министра обороны Германии! Этим отпечатком можно не только разблокировать личный смартфон, но даже оставить его на месте преступления!
А вот ещё история. 4 года назад мошенники позвонили гендиректору одной британской энергетической компании. Весь разговор он думал, что беседует со своим начальником – преступники прекрасно смоделировали голос. Якобы руководитель материнской компании попросил перевести $234 тысячи на счёт поставщика. Перевод таких сумм – обычное дело в рабочей жизни. Конечно, аферисты получили деньги. Следователи страховой компании уверены, что мошенники использовали искусственный интеллект для подделки голоса.
И это еще не все. Цифровые двойники мёртвых и живых звёзд рекламируют сомнительные бизнесы, приложения тайно собирают данные о наших лицах во всех ракурсах, а смартфон круглосуточно слушает ваши разговоры. Вроде как только "в целях изучения рекламного поведения и для улучшения функционала приложений". Однако на пути в обрабатывающие центры "караваны личной информации с устройств пользователей" легко могут быть ограблены "цифровыми пиратами". Ведь мы никогда не знаем, не подключился ли к сканеру в МФЦ кто-то посторонний. Поэтому не имеем права доверять офисным компьютерам, а также должны быть осторожны с копировальными салонами.
Звучит как паранойя, но в наше время только такой подход может на 99% защитить нашу личную информацию и не даст оказаться жертвой цифрового шантажа или сетевого ограбления.
Разработчики не помогут?
Надеяться на антивирус и "добрых киберизобретателей" не стоит: они, конечно, работают, но за хакерами не всегда успевают.
В биометрических системах, например, есть технология выявления “живости”. То есть, показать сканеру фото человека нельзя, нужен живой, здоровый, румяный индивид. Однако этот барьер уже можно обойти. 4 года назад "кибербезопасники" констатировали, что в анализаторную сеть вполне реально загнать фальшивые аудио- и видеопотоки, и верификация будет пройдена.
В айфоновском Face ID это тоже срабатывает. Например, разработчики позаботились о любителях солнцезащитных очков: если поднести смартфон к спящему — не разблокируешь. Но если надеть спящему на лицо очки, то всё получится.
Кстати, наших гаджетов напрямую влияет на то, как быстро нас смогут обмануть. Дешёвый смартфон с плохими камерой и микрофоном запишет ваш голос и запомнит ваше лицо, как человек с очень плохими слухом и зрением. А значит, он будет принимать за вас кучу других людей и давать доступ к вашим данным каждому встречному. Если вы сдавали биометрию в банке, то должны помнить, насколько шумно и темно было в отделении. Если качество цифровых образцов не на высоте, то среднего уровня пародист при желании сможет подать за вас декларацию или подключить мобильный банк.
В итоге сейчас несколько банков, в которых вы сдавали биометрию, будут отправлять ваши данные в единую базу. А чем больше таких "потоков", тем больше риск, что хакеры перехватят. И ещё непонятно, как эти разные образцы потом сольют в один. Кстати, менеджер банка может целенаправленно отправить ваши данные "кому не надо".
Значит, от биометрии надо отказаться?
Опасность, конечно, есть, но не все так плохо. Ведь каждая верификационная система использует собственные алгоритмы сверки лиц, голоса и прочего. Например, изучает позицию кончика носа по отношению к левой мочке уха, или соотношение толщины губ с шириной правой ноздри. И таких точек, которые считывает система, должно быть от 70, а в большинстве систем их в три раза больше, причем в каждой свой набор. И этот уникальный набор черт лица не учитывает причёску, раны, татуировки и макияж, причем хранится это добро в виде старых добрых цифр, а не фото. Так что, когда вы в очередной раз оказываетесь перед банкоматом и крутите головой, система довольно точно может определить, что это именно вы. И даже если кто-то украдёт ваши биометрические данные из одного банка, они окажутся бесполезны в другом.
Кроме того, от банков требуют многоступенчатой аутентификации для удалённых транзакций. Это значит, что в банкомате деньги можно будет снять при помощи только лица, а вот для перевода по сети с нового устройства придётся пройти как минимум ввести код подтверждения.
Так или иначе, но если вы хотите защитить деньги, не стоит торопиться со сдачей биометрических данных.
