К новостям

Мошенники стали в семь раз чаще использовать дипфейки в секторе финансовых технологий

10.04.2024

Мошенники стали в семь раз чаще использовать дипфейки в секторе финансовых технологий. В результате банкам приходится внедрять новые методы борьбы со злоумышленниками, а пользователям - быть внимательнее, получая голосовые или видеосообщения от знакомых или руководства. "Известия" выяснили, какие схемы с дипфейками сейчас распространяются в России и как защититься от них.

Дипфейки в финансовой сфере

Мошенники стали активнее использовать дипфейки в секторе финансовых технологий. За год число таких инцидентов в мире выросло на 700%, пишет Wall Street Journal со ссылкой на подсчеты платформы Sumsub.

Одними из первых, кто стал подвергаться атакам, оказались банки и другие финансовые организации. Теперь им приходится заниматься внедрением нового программного обеспечения для лучшей идентификации клиентов. А для совершения транзакций - запрашивать у пользователей дополнительную информацию.

"Людям всегда поступали мошеннические звонки. Но способность ИИ имитировать реальный голос человека, дающего указания что-то сделать, - это совершенно новые риски", - отметил директор по информационным технологиям New York Life Билл Кэссиди.

По словам эксперта, больше всего в банках опасаются, что мошенники смогут использовать дипфейки для прохождения голосовой аутентификации, применяемой для проверки клиентов и предоставления им доступа к их учетным записям. Именно поэтому сотрудники стали задавать клиентам больше вопросов, чтобы убедиться, что звонят именно они.

Одновременно IT-компании занимаются разработкой технологий, предназначенных для борьбы с дипфейками. "Во многих случаях лучшей защитой от этой угрозы генеративного ИИ становится тот же ИИ - но примененный на другой стороне", - подчеркнул специалист.

Директор по цифровым технологиям Simmons Bank Алекс Каррилес отметил, что банки уже научились бороться с мошенниками, которые отправляли поддельные водительские удостоверения для создания онлайн-аккаунтов. По его словам, раньше одним из этапов создания учетной записи в банке была загрузка клиентами фотографий их водительских прав. Теперь, когда изображения легко сделать с помощью нейросетей, схему пришлось поменять.

"И теперь вместо того, чтобы загружать уже существующее фото, клиентам нужно снимать свои права через приложение банка, а затем делать селфи. Чтобы избежать ситуации, когда мошенники подносят камеры к экрану с изображением чужого лица, приложение инструктирует пользователей смотреть влево, вправо, вверх или вниз. С этим не справится ни один дипфейк - по крайней мере пока", - заключил Каррилес.

Что такое дипфейки

Дипфейки (deepfakes) - это вид синтетического медиаконтента, созданного с использованием искусственного интеллекта для замены лиц и голосов людей в видео- и аудиозаписях. Сам термин появился еще несколько лет назад от сочетания слов "deep learning" (глубокое обучение) и "fake" (фальшивый).

Технологии генерации изображения и голоса в мире разрабатываются уже более 20 лет. Изначально они были очень дорогими и применялись только в узких сферах - например, в кинематографе, объясняет "Известиям" главный эксперт "Лаборатории Касперского" Сергей Голованов. Сейчас, благодаря появлению нейросетей, такие технологии используются повсеместно, и ими активно пользуются мошенники.

- Они выбирают дипфейки, потому что те могут быть эффективным инструментом для обмана и манипуляции людьми. Подделанные голоса можно использовать для убеждения жертв в выполнении определенных действий, например, передачи денег или конфиденциальной информации, - говорит директор по развитию направления "Кибербезопасность для населения" ГК "Солар" Олег Седов.

По его словам, ИИ способен правдоподобно смоделировать даже не самого популярного персонажа. В результате цифровая копия, похожая внешним сходством, голосом и жестами, становится легко доступна и для злоумышленников. А если добавить к этому утечки персональных данных и информацию о жертве, можно получить готовый сценарий для мошенничества.

- Дипфейками можно подделать голоса практически любых людей, если у мошенников есть аудиозаписи для обучения алгоритмов. Это касается в том числе голосов банковских работников, финансовых консультантов, руководителей компаний и других лиц, чьи голоса могут быть узнаны клиентами, - отмечает Седов.

Сегодня для создания подделки достаточно иметь всего несколько образцов голоса человека или записей его выступления, добавляет Сергей Голованов. С помощью нейросетей на их базе можно создать аудио и даже видеозапись с содержанием, имитирующую голос и мимику этого человека. Причем запись может быть с достаточно высокой детализацией, невооруженным глазом будет сложно отличить ее от оригинала.

- И самое главное, для этого совсем необязательно быть специалистом в сфере ИИ. Есть множество приложений, позволяющих, например, сгенерировать видео по фотографии или аудиосообщение по нескольким записанным словам. Хотя понятно, что чем больше будет контента, тем точнее получится итоговый результат, - добавляет ведущий эксперт по сетевым угрозам, web-разработчик компании "Код безопасности" Константин Горбунов.

Схемы с дипфейками

В России, как и во всем мире, дипфейки чаще всего используются именно в финансовой сфере - в атаках на клиентов банков и других организаций, говорит Сергей Голованов. Поддельные записи дополняют социальную инженерию, помогают заставить жертву поверить в легенду злоумышленников.

- При атаках на обычных пользователей злоумышленники подделывают голосовые сообщения или видео знакомых жертвы. В таких сообщениях могут, например, просить человека срочно перевести деньги, - отмечает главный эксперт "Лаборатории Касперского".

По его словам, в последние несколько месяцев активно распространяется схема, когда мошенники создают в Telegram поддельные аккаунты руководителей различных компаний и пытаются с их помощью обмануть сотрудников, чтобы вынудить их перевести деньги на счета атакующих, часто вынуждают взять кредит. Для этого преступники могут заранее собирать информацию о компании и персонале, в том числе из слитых баз данных.

- В подобных аудиосообщениях голос, похожий на голос руководителя, может предупреждать о скором звонке от регулятора или правоохранительных органов, требовать срочно перевести средства на определенный счет. После чего следует уже стандартная схема со звонком якобы от представителей банка, - рассказывает Голованов.

Кроме того, добавляет он, фиксируются единичные случаи, когда сотрудников крупных организаций убеждали сделать перевод во время конференц-звонка в режиме реального времени. Однако создавать подобную запись все еще крайне сложно и дорого - это требует от атакующих высокого уровня подготовки.

В случае с банками применение дипфейков концентрируется на подтверждении входа в ДБО (дистанционное банковское обслуживание), а также на подтверждении операций, которые были заблокированы системой антифрода, говорит в беседе с "Известиями" директор департамента предотвращения транзакционного мошенничества МТС Банка Игорь Шульга.

- В некоторых случаях вероятно также подтверждение на снятие ранее установленных блокировок клиентом, например, на кредиты - все зависит от того, какие сервисы "завяжет" на биометрии та или иная организация финансовых услуг, - поясняет Шульга.

По его словам, такие схемы появились совсем недавно - в 2023-2024 годах. И теперь мошенники пытаются с их помощью выдавать себя за реальных клиентов банка, что может приводить к серьезным последствиям.

- Например, подделав голос банковского клиента, мошенники могут с его помощью подтвердить и осуществить финансовую транзакцию, что, в свою очередь, может привести к потере денег и нарушению конфиденциальности личных данных, - заключает Константин Горбунов.

Способы защиты

Для того чтобы защититься от мошенников, использующих дипфейки, эксперты "Известий" рекомендуют критически относиться к любым сообщениям в мессенджерах. Важно проверять информацию, даже если она пришла от знакомых.

- Стоит обращать внимание на качество видео- или аудиоконтента, возможные дефекты в изображении или помехи в голосе, а также на полную тишину на фоне, отсутствие междометий или очень стройную речь. Если вы говорите в реальном времени (и вас смущает суть разговора), попросите собеседника покрутить головой из стороны в сторону, поднести руки к лицу, задайте внезапный вопрос, на который ответ будет не самым очевидным, - говорит Сергей Голованов.

В самом разговоре, по его словам, важно обратить внимание на тон собеседника и его просьбы - если он просит сделать что-то в срочном порядке, пугает возможной ответственностью или последствиями - это всегда повод насторожиться. Тогда лучше перезвонить ему по обычному телефону или в другом мессенджере.

В свою очередь, Константин Горбунов советует для защиты от дипфейков внедрять более надежные методы аутентификации, которые не могут быть подделаны при помощи данной технологии. Это может включать в себя биометрическую идентификацию, многофакторную аутентификацию, а также необходимость очного присутствия на сделках.

- Для пользователей важно быть осведомленными об угрозе дипфейков и вести себя осторожно при осуществлении финансовых операций или предоставлении конфиденциальной информации по телефону или в мессенджерах. В случае сомнений стоит уточнять подлинность запросов и проводить всестороннюю проверку, прежде чем предоставлять какую-либо информацию или осуществлять транзакции, - заключает эксперт "Кода безопасности".

Мошенники стали в семь раз чаще использовать дипфейки в секторе финансовых технологий

10.04.2024