Могут ли мошенники записать голос и создать дипфейк для звонка в банк?

52
Аватар автора

Андрей

спросил в Сообществе

От знакомых узнал о мошенничестве по телефону: мошенник провоцирует человека сказать «да», записывает его голос, а потом использует запись, чтобы снять средства со счета.

Так правда бывает? Что делают банки, чтобы обезопасить от такого клиентов? Как еще могут использовать запись моего голоса?

Аватар автора

Алексей Малахов 🦣

специалист по информационной безопасности

Страница автора

Если коротко, то нет, так не бывает. Для перевода денег по телефону необходимо пройти несколько уровней идентификации. Одной записи голоса будет недостаточно.

Но мошенники и правда могут использовать запись вашего голоса против вас. К счастью, этому обычно легко противостоять.

Спасите свои деньги!
Узнайте, как обезопасить квартиру от грабителей, спасти карту от мошенников и защитить компьютер от хакеров. Подборка лютых разводов

Могут ли мошенники украсть деньги с помощью записи голоса

В колцентрах банков действительно есть системы, которые определяют людей по голосу. А еще клиентов узнают по кодовому слову, уникальному идентификатору симкарты и даже лицу.

Автоматическое распознавание помогает быстрее узнать клиента и решить его проблему, но решения принимает оператор. Скажем, если клиент звонит узнать адрес ближайшего банкомата, оператор ответит без лишних вопросов. А если звонящий хочет перевести деньги туда, куда раньше их никогда не переводил, оператор запросит дополнительные сведения.

Диалог с операторами всегда вариативен. Мошенник не сможет предугадать, какие вопросы ему зададут. Даже если он запишет, как вы говорите «да», «нет», «добрый день» и «переведите деньги по номеру карты», то этого будет недостаточно для полноценного диалога. Оператор заметит, что речь и интонация неестественны. У мошенника не получится снять ваши деньги, даже если он запишет вашу просьбу это сделать.

Могут ли обмануть банк с помощью дипфейка голоса

С помощью нейросетей кто угодно может сделать виртуальную копию человека — ее еще называют дипфейком. Но часто этим термином называют и часть скопированного образа — изображение или голос.

Для начала разберемся с голосовыми дипфейками. Работают они так: нейросети выдают запись или видео, на котором человек что-то говорит. Программа анализирует речевые особенности и учится имитировать их в мельчайших подробностях — может даже заикаться или делать те же оговорки, что и оригинал.

Лучше всего это срабатывает с известными личностями — в открытом доступе гигабайты видео с их участием. В итоге получается, что в микрофон говорит мошенник, а его собеседник слышит Арнольда Шварценеггера, да еще и по-русски.

Сделать дипфейк обычного человека сложнее, но все же реально. Особенно если мошенникам удалось взломать мессенджер, скачать голосовые сообщения и обучить на них нейросеть — такое уже случалось.

Но подделанный голос не поможет мошеннику обмануть банк. Там смотрят и на другие факторы, например с какого устройства и номера телефона пришел звонок. Если с незнакомого, оператор может отказать в переводе или задаст уточняющие вопросы, ответы на которые знает только настоящий клиент.

Могут ли обмануть банк с помощью видеодипфейка

Нет. Даже если аферист узнает все детали личной жизни клиента, каким-то образом похитит его смартфон и позвонит в банк, у него не получится украсть деньги. Помимо обычных вопросов оператор потребует пройти проверку по видеосвязи через приложение банка.

Оно принимает только прямую трансляцию с камеры смартфона: если попытаться подсунуть видеопоток с дипфейком, приложение обнаружит подмену и передаст оператору сигнал, что его пытаются обмануть. Показать на камеру нейросетевой дипфейк с экрана другого устройства тоже не выйдет: это обнаружит другая нейросеть с технологией liveness.

А вот обмануть обычных людей вполне реально: в подкасте «Схема» мы рассказывали, как мошенники похитили личность известного предпринимателя и от его имени предлагали вложиться в криптовалюту. Рекомендую послушать этот выпуск: в том числе специалисты Тинькофф рассказали в нем о методах борьбы с дипфейками.

Аватар автора

Павел Храмкин

работает в банке

Страница автора

Что такое liveness и как вычисляют подделки мошенников

Чтобы выдать себя за другого человека, мошенники подделывают не только голос. Например, используют фото и видео жертвы, чтобы пройти проверку по селфи в банке и украсть деньги.

Распознать обман помогает технология liveness. Это нейросеть, которая в режиме реального времени проверяет человека в кадре по тысячи параметров и сравнивает с оригиналом, которые есть в системе. Например, пока пользователь смотрит в камеру, система анализирует скорость реакции, движение мимических мышц и дефекты изображения: блики, рябь, размытие лица.

В некоторых системах защиты кроме внешних данных алгоритмы еще оценивают действия человека: как он улыбается, поворачивает голову, щурит глаза, жестикулирует. Все это помогает понять, кто находится по ту сторону камеры: реальный пользователей или мошенник, который показывает в камеру фотографию.

Если подозрительных паттернов много, система отказывает в доступе или отклоняет операцию. Например, не дает перевести деньги на сторонний счет без дополнительной проверки.

Liveness применяют в банковских приложениях, мобильный сервисах, системах управления доступом, во время оплаты покупок и проезда в метро — везде, где используется биометрия.

Часто в liveness комбинируют сразу несколько способов проверки — например, по лицу и голосу. Это позволяет повысить точность идентификации и вычислить мошенника.

Могут ли хакеры украсть у банка биометрию, чтобы подделать голос или лицо клиента

Раньше биометрию действительно хранили в банке. Каждый банк разрабатывал собственные алгоритмы по защите данных, а их надежность зависела от используемых технологий и квалификации программистов.

Теперь все банки хранят биометрию в одном максимально защищенном месте — государственной Единой биометрической системе. Это сложная система, которая не позволит мошенникам получить доступ к счетам, используя только записанный голос.

К тому же то, что банки или ЕБС хранят запись голоса, — распространенное заблуждение. На самом деле биометрия — это особый массив чисел, которые алгоритм вычисляет на основе голоса клиента. Когда клиент звонит в банк, алгоритм заново преобразовывает голос в числа и сравнивает, насколько сильно они похожи с теми, что хранятся в базе. В зависимости от настроек конкретного банка степень схожести должна быть от 80 до 99%. Но даже нижнего порога достаточно, чтобы выделить голос клиента среди сотен миллионов других голосов.

А вот превратить биометрический массив чисел обратно в голос нереально: так устроен алгоритм преобразования. По крайней мере с текущими технологиями мошенникам в миллион раз проще сделать дипфейк, чем взламывать ЕБС и расшифровывать украденные данные.

Законы и правила обработки биометрии постоянно меняются и совершенствуются. О том, как работает биометрия в Тинькофф, лучше почитать в справке на сайте Тинькофф Помощи — там всегда актуальная информация.

Как еще мошенники могут использовать ваш голос

Кроме схем с дипфейками я знаю несколько схем развода с помощью записи голоса.

Как-то моему другу позвонили мошенники под видом соцопроса. В ходе разговора он несколько раз ответил «да, конечно» и «разумеется». Через некоторое время ему пришло письмо с аудиозаписью: мошенники нарезали ответы так, что все выглядело как разговор, в котором друг соглашается на сексуальные услуги другого мужчины. Мошенник потребовал перевести 50 тысяч рублей на кошелек «Киви», а иначе грозил разослать запись друзьям в соцсетях. Он даже заранее подготовил их список.

У этой схемы могут быть другие варианты. Например, ваши слова монтируют в разговор так, что вы якобы соглашаетесь на какую-то покупку, и требуют ее оплатить.

Как защититься

Если вас шантажируют, действовать можно по-разному. Худший вариант — заплатить шантажисту: нет никакой гарантии, что он не попросит еще или не разошлет запись друзьям. С шантажистом нельзя договориться. Смиритесь с тем, что он исполнит угрозу в любом случае и вы ничего с этим не сможете поделать. Подробнее о том, как противостоять вымогателям, мы рассказали в отдельном уроке бесплатного курса «Как защититься от мошенников».

В случае фальшивой аудиозаписи неплохой вариант — рассказать обо всем друзьям, чтобы лишить шантажиста рычага давления. Мой друг разместил у себя на странице такую запись: «Друзья, недавно прошел соцопрос по телефону, а сегодня мне прислали на почту вот такую аудиозапись. Мой голос смонтировали так, что я несу всякую фигню. Забавно же». Шантажиста он проигнорировал, и тот так никому ничего и не разослал.

Перспектива, что друзья прослушают порочащую вас аудиозапись, не из приятных. Но сейчас очень просто записать чей-то голос и как угодно его смонтировать. Все это понимают. Существует даже отдельный жанр видео, RYTP, в котором известных людей с помощью монтажа заставляют нести всякую чушь.

Если получится — напишите заявление в полицию о вымогательстве. В заявлении укажите все, что знаете о вымогателе: номер телефона, электронную почту, реквизиты счета, идентификатор электронного кошелька. Это поможет его вычислить.

Когда мошенник требует оплатить товар, который вы якобы согласились купить, тут все проще. До оплаты от покупки можно отказаться в любом магазине. Если мошенник будет настаивать, что вы уже заключили договор купли-продажи, попросите его показать. С ним тоже можно идти в полицию — и писать заявление о мошенничестве.

Если вам звонит незнакомый человек и звонок кажется подозрительным, сразу вешайте трубку. Не извиняйтесь и не прощайтесь. Так у мошенника будет меньше шансов что-то записать.

Например, соцопросы проводят с городских или федеральных номеров: начинаются на 8 800. Если определился мобильный номер, здесь что-то не так. А еще можно установить приложение Яндекса, которое знает телефоны пяти миллионов организаций и показывает, откуда вам звонят. Если приложение не определило номер, а вам говорят, что звонят из Росстата, это повод насторожиться.

  • tasteofthefloor .Юлия, просто «Яндекс»1
  • Симёня так и не понял при взятие трубке ответил "да" в этом случае могут навешать кридит МФО??? правда пришла смс, но я не критин по ней переходить. после похода в ВТБ подключив 3д секьюр через 30 минут стали названивать МФО, скорее всего совпадение?0
  • Светлана ЛюбимцеваЯ сегодня ответила на незнакомый номер телефона словом "согласна" - что может произойти, если у меня нет банковских карт и могут ли без меня оформить кредит на крупную сумму? Номер высветился в моем телефоне.0
  • The Priestess|神剣女|возможно, хорошая жрицаПровоцируют сказать "да", чтобы ответить "балда"16
  • Алексей ВертолетовСветлана, Поздравляю, Вы уже замужем!60
  • Alexander SedoyМожет ли СБ банка перезвонить клиенту, если тот по рассеянности зашел в онлайн-банк, забыв вырубить VPN?0
  • YuliaЮлия, я пользуюсь приложением WhoCalls1
  • ДНапример, мне звонит незнакомый номер, голос называет меня по имени-отчеству (спрашивая, я ли это), а потом оказывается, что это не важный звонок (деловой, из школы детей, из поликлиники или по поводу заказа), а реклама или соцопрос (а может и мошенники). Вопросы: 1. Что мне отвечать, подтверждая свою личность, пока я не знаю, важен ли мне этот звонок, и не опасно ли говорить "да"? 2. Откуда у рекламщиков, мошенников и прочих нежелательных "звонарей" мои данные (помимо номера)? 3. Или всё-таки, если они знают моё ФИО, это уже точно не мошенники и бояться нечего? (Рекламу я могу просто не слушать и положить трубку, от соцопроса вежливо отказаться.)3
  • Mike SobТолько что позвонили мошенники и просили ответить, менял ли я номер телефона в личном кабинете. Я ответил нет, и потом на том конце мошенник спросил, чтобы я вошёл в личный кабинет и проверил личные данные и ещё спросил, разъединить ли разговор? Насколько я помню, я ответил да, и разговор прервался. Тут у меня возникло подозрение, что мне звонят не с банка, а мошенники. При звонке в банк мои подозрения оправдались. Не знаю, что они смогут сделать с моими голосовыми данными, думаю ничего им не светит.0
  • moiraЗвонил несколько раз робот. Голос практически человеческий, но слишком ровный. Задавал много разных вопросов, на которые предполагался ответ "да". Например "подтвердите, что это вы" "это точно вы?" и в таком духе. Я , на всякий случай решила отвечать , чтобы не было слова да. "Не знаю" , "трудно сказать" и тд Если это банк собирает биометрические данные, то это очень странно. Например , может к телефону подойти посторонний человек, или родственник и пошутить, сказать "да". Фильм "Мимино" и Ларису Ивановну с ее сестрой , наверно, все помнят.6
  • АнастасияMike, ситуация точь в точь. Что-то было после этого?1
  • ilnaztatar5Есть еще такой инструмент, как подмена номеров.. Обычно высвечивается какой-нибудь федеральный номер (аля 8800...) А в детализации сотовый номер. Тут уже приложения яндекса не помогут.8
  • Вячеслав РодкинAlexander, Зачем СБ Банку звонить, если Вы заходили с VPN ? В этом во первых нет ничего не законного (может Вы сейчас не в России) а во вторых всем на самом деле пофигу.5
  • Вячеслав РодкинСимён, Вы можете хоть 1000 раз ответить мошенника ДА, никто не сможет взять кредит на Вас.7
  • БоняMike, только что это произошло, что в итоге?1
  • Павел ЕлагинД, можно сказать "Что Вы хотите"4
  • Александр КомаровГде на вашем сайте могу сообщить вашему боту Олегу номер, с которого был мошеннический звонок?1
  • Людмила ИвановнаПозвонили с номера 9896805039 вынудили сказать " да" ,могут что-то мошенники мне сделать0
  • Светлана КрекнинаОтвечаю "слушаю" если они снова говорят "Это вы?" я отвечаю "говорите, говорите"11
  • Дарья СмитД, мне как то позвонил "майор по эконом безопасности". У него были все мои данные - паспорт, адрес прописки, ФИО". Кроме гос контор, сотового оператора и двух банков (Тинькофф и сбер) эти данные никто не может знать. Сначала испугалась, потом начала давить на то что пойду сейчас к участковому и с ним поговорю на момент"защиты моих данных". Мошенник отстал. А я до сих пор в недоумении5
  • Т—ЖВпервые мы опубликовали этот материал в сентябре 2018 года. В марте 2024 мы его обновили и опубликовали повторно.3
  • You know whoНикогда по звонку не говорите да...бред1
  • Александра_ЯД, когда спрашивают "ФИО - это вы?", отвечаю "допустим" или "предположим")4
  • Стас Зверянов>Мошенники нарезали ответы так, что все выглядело как разговор, в котором друг соглашается на сексуальные услуги другого мужчины. Мошенник потребовал перевести 50 тысяч рублей на кошелек «Киви», а иначе грозил разослать запись друзьям в соцсетях. Он даже заранее подготовил их список. Очень жду, когда что-то подобное провернут со мной — хоть посмеемся с друзьями5
  • Стас ЗверяновАндрей74, вокруг вообще враги. Покупайте мои индивидуальные бункеры под ключ — в них связь не ловит, и от мошенников можно не отбиваться.6
  • ИльяСветлана, Осечек не было?1
  • ИльяAlexander, Сейчас может быть что угодно, к сожалению0
  • Светлана КрекнинаИлья, если осечка это попадос на деньги то не было. А вот матом однажды обложили5
  • Анатолий Приходьковряд ли кому то настолько нужны мои 200р на карте3
  • dagiva1Отвечаю так: А вы кто? Для начала неплохо представиться. Если не представляются, не подтверждаю себя, прекращаю разговор. Если представляются, то, тогда смотрю, насколько мне важно продолжать разговор. Изначально исхожу из самоощущения, что я никого не жду. Так же отношусь ко всяким "стакачам-звонарям" в дверь. Если не жду никого - не открою. Звонят незнакомые и не представляются - отбой звонка сразу.2
  • Вася Фроловау нас же основная часть мошенников это те, кто сидит в тюрьме, не думаю, что им это надо1
  • Gfdyuu D.Alexander, к меня так карту заблоктровали когда вошла через впн в онлайн банк с целью оплаты покупки.1
  • Д. Карасевнужно просто не отвечать на незнакомые номера0
  • Ник ЗавадскиThe, надо в ответ спровоцировать их сказать "крот"4
  • JohnDoeДарья, "эти данные никто не может знать". Как же вы заблуждаетесь) Где вы только не оставляете свои паспортные данные в течение жизни, и никто толком за ними не следит.6
  • Г ХКакой длинный пост, с каким заумием. А как на самом деле? А на самом деле везде - телефонное право. Блокируют карту, например, по "подозрительной операции", ты такой находишься прямо в отделении Сбера, прямо с паспортом. Ждешь полчаса в очереди - вот он я, вот мои документы, разблокируйте. В ответ - фиг, идите на телефон, звоните роботу. Ну а робот как "определяет"? Просто вопросом - это точно вы? Можно ли обмануть такое? Ответ очевиден... а вы можете дальше про дипфейки.2
  • A TД, На первый же вопрос отвечать: "Представьтесь пожалуйста" или "С кем я говорю"? Я иногда говорю: "Извините у меня что-то номер ваш не записан, не узнал"...7
  • Vita G.Д, когда ко мне обращаются по имени-отчеству, а я без понятия, кто по ту сторону звонка, говорю: "допустим". Пусть собеседник дальше сам думает, с нужным человеком он говорит или нет. В большинстве случаев продолжают диалог так, будто уверены, что говорят с тем, кому звонили, как правило, там же становится ясна и цель звонка и уже можно что-то более-менее внятное отвечать (или нет). Не прокатило, кажется, один раз, по-моему, сотрудник какого-то банка звонил с "супер" предложением и на моё "допустим" сказал, мол, мне надо точно знать, что это вы. Ну а мне это было не интересно, просто положила трубку и добавила номер в ЧС.1
  • evgvasiThe, а если провоцируют сказать «нет», то?0
  • Александр ЛистенгортИногда просто стрёмно от того, в какую жопу движется человечество, когда читаешь такое. Туда, где в диване будет унитаз встроенный, а оформить заказ на ВБ можно будет морганием3
  • rusa4ekТем не менее банки всеми правдами и неправдами пытаются собирать как можно больше биометрии, и даже без спроса (особенно банк, имени которого данный ресурс)1
  • Владимир ГончаровИнформация для размышления для клиентов Банков, сдавших биометрические данные (запись голоса и др.). Предлагаю Вам проанализировать ситуацию, при которой звонящий Вам неизвестный человек под любым предлогом пытается получить от Вас ответ "Да" или "Нет". В России есть известные Банки, в которых при Вашем звонке на всем известный номер Банка, Вам отвечает голосовой помощник, допустим: "Герра", "которая" приветствует по имени и отчеству звонящего абонента и сразу же предлагает сообщить Вам баланс по Вашей карте, затем "она" может сообщить и последние Ваши операции по счёту. При Вашем ответе "Герре": "Да" Вашим голосом, записанным в базе Банка при сдаче биометрических данных, она идентифицирует "Вас" и без дополнительной проверки подлинности клиента Банка выполняет Ваши команды (словом "Да") по предоставлению баланса на счёте и сведений о последних 5 операций по счёту. По информации от специалистов по защите информации, существует техническая возможность сгенерировать звонок с любого незащищённого номера телефона (у принимающего звонок абонента проявится известный ему номер телефона исходящего звонка (фактически - сгенерированный мошенниками). В этом случае возможна следующая схема действий мошенников: мошенник со сгенерированного, якобы, "вашего" номера телефона, звонит по известному всем клиентам Банка номеру, и, в случае, если ответ "Герре" дан мошенниками "вашим" голосом, загодя записанным ими при общении с Вами, то "Герра" примет ("распознает") мошенника как клиента Банка и предоставит мошеннику только по слову "Да" информацию о балансе Вашего счёта и о совершённых Вами 5 последних операциях по счёту. Таким образом может быть создана база клиентов, имеющих достаточные средства на счёте, и собрана информация о последних операциях этих клиентов по счёту. Этап №2, спрогнозированный мной, исходя из информации в Интернете от потерпевших граждан: клиенту Банка, имеющему значительную денежную сумму на счёте (из базы, сформированной мошенниками с помощью "Герры"), который заинтересовал мошенников, звонит, якобы, сотрудник Банка, который подтверждает клиенту Банка ("жертве") свою принадлежность к Банку информированностью о балансе его счёта и о последних 5 операций по счёту, а затем шокирует "жертву" информацией о том, что денежным средствам клиента Банка ("жертвы") угрожает опасность хищения, и их надо срочно перевести на "безопасный" счёт. Дальше всё зависит в основном от клиента Банка, которого мошенники выбрали в качестве "жертвы"... Выводы: 1. Мошенники пытаются записать Ваш голос, в том числе слова "Да" и "Нет" со злым умыслом. 2. Голосовой помощник "Герра" - невольный соучастник преступления. Вопрос: Кто и зачем навязал "Герру" клиентам Банка с её "медвежьими услугами" и почему от её "услуг" нельзя отказаться при обращении (звонке) за поддержкой в Банк? Владимир.0
  • Ilia PetrovАлександр, "Идиократия".0
  • Ilia PetrovH - водород. О - кислород. С - углерод. Я... Ассистент Олег. Что передать?0
  • Александр ЛистенгортIlia, или 19841

Сообщество