МОСКВА, 11 окт — ПРАЙМ. Многие российские банки оказывают услуги без собственного присутствия клиента, и, например, «узнают» его по голосу. Могут ли воспользоваться этим мошенники и, заполучив голосовой образец гражданина, украсть у него средства, выяснило РИА Новости, опросив экспертов в сфере информационной безопасности.
Мошенники чаще всего основывают фишинговые сайты под видом онлайн-сервисов
В последнее время корреспонденты агентства сталкивались со звонками неизвестных, представлявшихся сотрудниками Сбербанка. При этом незнакомцы несколько раз переспрашивали имя и отчество собеседника, так чтобы получить ответ «да».
ОХОТНИКИ ЗА ГОЛОСАМИ?
«Вылито на то, что мошенники собирают образцы голоса клиента для обращения в банк через голосовой помощник», — считает начальство отдела информационной безопасности SearchInform Алексей Дрозд. По его словам, некоторые операции можно подтвердить через звучен на голосовой помощник и, вероятно, злоумышленники обнаружили какой-то сценарий, для которого им нужна запись голоса.
Старший преподаватель в университете «Синергия» Наталия Пшеничникова также уверена, что мишенью телефонных мошенников становятся биометрические данные. Чтобы удаленно пользоваться финансовыми услугами, гражданин в своем банке должен подключить возможность аутентификации по голосу и передать биометрическую информацию — произнести несколько фраз. Это необходимо для процедуры подтверждения личности, пояснила эксперт.
Эксперт объяснил, по каким признакам мошенники выбирают своих жертв
«Плуты, помимо простого «да», как правило, пытаются добиться, чтобы жертва также произнесла фразу «я подтверждаю» или «это я», или даже кодовое слово. Выпытывая такую информацию, плуты получают голосовой слепок голоса жертвы и могут попробовать обмануть систему безопасности банка, например, подтвердить перевод денежных оружий. Также голосовые данные могут быть перепроданы третьим лицам», — говорит Пшеничникова.
ПРОСТАЯ МАСКИРОВКА
В кое-каких финансовых организациях голосовая биометрия может использоваться как один из нескольких факторов для идентификации клиента, говорит ведущий эксперт «Лаборатории Касперского» Сергей Голованов. «Но этого недостаточно для проведения операций по счёту. Это связано с промахами первого и второго рода в системах распознавания биометрических данных, которые неприемлемы при финансовых операциях», — поясняет эксперт.
Кроме того, по его словам, злоумышленники крайне негусто заинтересованы в том, чтобы записать определённые фразы клиентов банка. «Располагая такой записью и подделав номер телефона, с какого звонят в банк, можно узнать только баланс или иногда информацию о последних операциях. Для получения конфиденциальной информации или совершения операции этого будет недостаточно», — уверен Голованов.
Комментируя звучны, с которыми сталкивались корреспонденты РИА Новости, эксперт предположил, что злоумышленники просто пытались произвести впечатление, что они действительно из банка и должны удостовериться в личности абонента.
С Головановым согласен и тренер по компьютерной криминалистике Group-IB Сергей Золотухин. По его словам, плуты стараются придать разговору более официальный вид, маскируясь под сотрудника колл-центра, который ведёт его по строго прописанному «скрипту» (сценарию) и должен увериться, что разговаривает именно с клиентом. Таким образом, такое поведение звонящего – лишь часть обычной схемы «социального инженера», вынуждающего жертву выдать негласные данные или перевести деньги.
«Что касается возможных мошенничеств с использованием записанного голоса, напомним, что недавно «Ростелеком» официально заявлял, что сбросить деньги со счета или воспользоваться любой другой финансовой услугой по одному слову, например, «да» или «я подтверждаю» через Целую биометрическую систему (ЕБС) невозможно», — заключил Золотухин.
