20/01/2023

Благодаря новым технологиям мы уже живём в мире будущего. Сегодня можно не только разблокировать смартфон по отпечатку пальца, но и «лицом» оплатить проезд в метро или рассчитаться за продукты на кассах крупных супермаркетов.

Вместе с тем мир будущего готовит нам новые вызовы, которые прежде было даже сложно представить: мошенники уже используют похищенные данные для создания виртуальных двойников. Распространение биометрических технологий, которые обеспечивают наиболее «удобное» и быстрое подтверждение личности, открывает новый простор для противоправных схем в ущерб рядовым пользователям.

Идентификация пользователей с помощью биометрических данных — это одна из наиболее перспективных и готовых к распространению технологий. Активнее всего её внедрением занялись банки: для них это не только способ показать свою технологическую прогрессивность и упростить пользование финансовыми услугами. Это также и возможность привлечь новых клиентов, которые не готовы тратить время на посещение отделений банков. В феврале этого года один из крупнейших банков предложил разрешить клиентам самостоятельно сдавать биометрические данные через мобильные приложения. Такой шаг позволит оформлять кредиты и ипотеку полностью в дистанционном формате, без посещения банковских отделений.

Наряду с собственными разработками крупнейших банков развивается и Единая биометрическая система (ЕБС) — биометрические «слепки» внешности и голоса можно сдать в отделениях более 200 российских банков. Этого будет достаточно для дистанционного взаимодействия с финансовыми учреждениями — например, открытия счёта, перевода денег на вклад.

 

Угрозы хищения биометрических данных

Применение биометрии для подтверждения личности при совершении финансовых операций на значительные суммы и при получении госуслуг внимательно изучают и злоумышленники. Мошенники уже охотятся за фотографиями, видео- и аудиозаписями пользователей, чтобы с их помощью пытаться обмануть биометрические системы. Похищенные биометрические данные граждан используются для обхода систем аутентификации и хищения денежных средств через подложные операции.

Некоторые технологически «продвинутые» банки уже ввели системы распознавания клиентов по голосу, и собирают собственные базы «голосовых профилей» пользователей. Ещё в 2021 году СМИ сообщали о участившихся случаях подозрительных звонков. Неизвестные звонили клиентам банков и под разными предлогами добивались того, чтобы те громко и отчётливо произнесли такие фразы, как «да», «нет», «я согласен / я согласна», «я подтверждаю», а также назвали полностью свои фамилию, имя, отчество. Полученные аудиозаписи мошенники пытались использовать для подтверждения переводов через колл-центры банков.

Минцифры России в этом году планирует интегрировать портал Госуслуг и ЕБС, чтобы реализовать получение некоторых государственных услуг удаленно — с подтверждением личности с помощью биометрии. Для этого планируется добавить возможность отправлять через мобильное приложение портала Госуслуг свои данные в систему ЕБС — в частности, фотографии и запись своего голоса.

Однако специалисты по информационной безопасности настороженно относятся к этим нововведениям. Поскольку невозможно гарантировать полную защищённость смартфона, через который будут отправляться биометрические данные, высока вероятность хищения таких данных злоумышленниками. Для этого им не потребуется даже устанавливать на смартфон вредоносное программное обеспечение: похитить и перехватить данные можно при их передаче по незащищенным каналам — например, при использовании открытой незащищенной Wi-Fi-сети в общественном транспорте или в кафе.

Кроме того, контроль за содержанием смартфонов есть у производителей гаджетов и разработчиков программного обеспечения. Неоднократно исследователи обнаруживали в официальных магазинах приложений вредоносные «фальшивки», которые маскируются под популярные приложения, а на деле могут дать злоумышленникам полный доступ к файлам, камерам и микрофону устройства. Помимо этого, встроенные камеры во многих мобильных устройствах передают видеоизображение в очень низком качестве, что может позволить злоумышленникам обмануть систему. Все эти факторы создают серьёзные риски утечки информации при осуществлении биометрической аутентификации через личный смартфон.

 

Рекомендации

Таким образом, мошенники следуют по пятам за распространением биометрической аутентификации. И каждую новую функцию, вводимую разработчиками для упрощения доступа и пользования услугами, злоумышленники пытаются использовать в противоправных схемах для хищения средств и личных данных граждан. Однако предотвратить хищение ваших биометрических данных и избежать негативных последствий, связанных с злоупотреблением ими, помогут следующие принципы.

Биометрия не должна использоваться как основной метод идентификации пользователя. Помните, что внешность человека, его голос и другие характеристики, используемые для биометрической аутентификации, публично доступны и не могут быть произвольно изменены. Это отличает их от паролей, которые при возникновении подозрений в компрометации можно немедленно заменить.

Если вы включаете в приложении подтверждение по биометрии, постарайтесь минимизировать возникающие при этом риски и используйте многофакторную аутентификацию. Прежде всего, это касается взаимодействия с банками, которые наиболее активно внедряют биометрическое подтверждение.

Следуйте нескольким правилам:

  1. Для полноценной защиты в приложение и личный кабинет клиента банка установите уникальный и надёжный пароль, а также регулярно меняйте его.
  2. Используйте дополнительные методы аутентификации, такие как вход по СМС или Push-уведомлению.
  3. Сохраняйте бдительность при подозрительных звонках. Не ведите переговоры с неизвестными лицами по телефону – особенно, если собеседник настойчиво добивается, чтобы вы произнесли определённые слова или фразы.
  4. Если мошенники представляются сотрудниками банка и просят сдать биометрические данные по телефону, прервите разговор и обратитесь в колл-центр вашего банка по номеру, указанному на обратной стороне кредитной или дебетовой карты.
  5. Чтобы сохранить свои денежные средства в безопасности, дополнительно установите ограничение на сумму переводов и снятия денег.
  6. Используйте для подтверждения финансовых операций несколько видов защиты — с помощью одноразового пароля или кодового слова.

 

Что делать в случае кражи биометрических данных

Что делать, если вы подозреваете, что ваши биометрические данные уже украдены?

Первым делом отключите подтверждение личности с помощью биометрии в тех системах, где она была включена, и перейдите на другие методы аутентификации.

Если вы использовали биометрию в разных приложениях и сервисах, то необходимо проверить все основные аккаунты — и убедиться, что биометрия не была в них основным методом аутентификации. После этого необходимо обратиться в службу поддержки биометрической системы и быть готовым подтвердить, что вы не совершали в момент инцидента никаких действий. В случаях, когда преступники уже успели нанести ущерб, например, сняли денежные средства с карты, нужно написать заявление в ближайшем отделении полиции. К заявлению прикрепите отражающую нелегальные операции выписку со счёта карты или другие документальные свидетельства действий злоумышленников.

Биометрия может быть очень удобным и достаточно надёжным способом аутентификации пользователя, если соблюдать простые правила и не терять бдительность. Главное, о чём необходимо помнить — биометрия не должна быть единственным методом защиты ваших учётных записей, особенно в ситуациях, когда речь идёт о важных данных, финансовых или юридических операциях.

 

Источник