Многие российские банки оказывают услуги без личного присутствия клиента, и, например, "узнают" его по голосу. Могут ли воспользоваться этим мошенники и, заполучив голосовой образец гражданина, украсть у него средства, выяснило РИА Новости, опросив экспертов в сфере информационной безопасности.
В последнее время корреспонденты агентства сталкивались со звонками неизвестных, представлявшихся сотрудниками Сбербанка. При этом незнакомцы несколько раз переспрашивали имя и отчество собеседника, так чтобы получить ответ "да".
Охотники за голосами?
"Похоже на то, что мошенники собирают образцы голоса клиента для обращения в банк через голосовой помощник", - считает начальник отдела информационной безопасности SearchInform Алексей Дрозд. По его словам, некоторые операции можно подтвердить через звонок на голосовой помощник и, вероятно, злоумышленники обнаружили какой-то сценарий, для которого им нужна запись голоса.
Старший преподаватель в университете "Синергия" Наталия Пшеничникова также уверена, что целью телефонных мошенников становятся биометрические данные. Чтобы удаленно пользоваться финансовыми услугами, гражданин в своем банке должен подключить возможность аутентификации по голосу и передать биометрическую информацию - произнести несколько фраз. Это нужно для процедуры подтверждения личности, пояснила эксперт.
"Мошенники, помимо простого "да", как правило, пытаются добиться, чтобы жертва также произнесла фразу "я подтверждаю" или "это я", или даже кодовое слово. Выпытывая такую информацию, мошенники получают голосовой слепок голоса жертвы и могут попробовать обмануть систему безопасности банка, например, подтвердить перевод денежных средств. Также голосовые данные могут быть перепроданы третьим лицам", - говорит Пшеничникова.
Простая маскировка
В некоторых финансовых организациях голосовая биометрия может использоваться как один из нескольких факторов для идентификации клиента, говорит ведущий эксперт "Лаборатории Касперского" Сергей Голованов. "Но этого недостаточно для проведения операций по счету. Это связано с ошибками первого и второго рода в системах распознавания биометрических данных, которые неприемлемы при финансовых операциях", - поясняет эксперт.
Кроме того, по его словам, злоумышленники крайне редко заинтересованы в том, чтобы записать определенные фразы клиентов банка. "Располагая такой записью и подделав номер телефона, с которого звонят в банк, можно узнать только баланс или иногда информацию о последних операциях. Для получения конфиденциальной информации или совершения операции этого будет недостаточно", - уверен Голованов.
Комментируя звонки, с которыми сталкивались корреспонденты РИА Новости, эксперт предположил, что злоумышленники просто пытались произвести впечатление, что они действительно из банка и должны удостовериться в личности абонента.
С Головановым согласен и тренер по компьютерной криминалистике Group-IB Сергей Золотухин. По его словам, мошенники стараются придать разговору более официальный вид, маскируясь под сотрудника колл-центра, который ведет его по строго прописанному "скрипту" (сценарию) и должен убедиться, что разговаривает именно с клиентом. Таким образом, такое поведение звонящего – лишь часть обычной схемы "социального инженера", вынуждающего жертву выдать секретные данные или перевести деньги.
"Что касается возможных мошенничеств с использованием записанного голоса, напомним, что недавно "Ростелеком" официально заявлял, что снять деньги со счета или воспользоваться любой другой финансовой услугой по одному слову, например, "да" или "я подтверждаю" через Единую биометрическую систему (ЕБС) невозможно", - заключил Золотухин.
А если клиента нет и не было в природе никогда?...
Бредятина.