Мошенники стали в семь раз чаще использовать дипфейки в секторе финансовых технологий.
В результате банкам приходится внедрять новые методы борьбы со злоумышленниками, а пользователям — быть внимательнее, получая голосовые или видеосообщения от знакомых или руководства. «Известия» выяснили, какие схемы с дипфейками сейчас распространяются в России и как защититься от них.
Одними из первых, кто стал подвергаться атакам, оказались банки и другие финансовые организации. Теперь им приходится заниматься внедрением нового программного обеспечения для лучшей идентификации клиентов. А для совершения транзакций — запрашивать у пользователей дополнительную информацию.
Больше всего в банках опасаются, что мошенники смогут использовать дипфейки для прохождения голосовой аутентификации, применяемой для проверки клиентов и предоставления им доступа к их учетным записям. Именно поэтому сотрудники стали задавать клиентам больше вопросов, чтобы убедиться, что звонят именно они.
Одновременно IT-компании занимаются разработкой технологий, предназначенных для борьбы с дипфейками. «Во многих случаях лучшей защитой от этой угрозы генеративного ИИ становится тот же ИИ — но примененный на другой стороне».
Банки уже научились бороться с мошенниками, которые отправляли поддельные водительские удостоверения для создания онлайн-аккаунтов. По его словам, раньше одним из этапов создания учетной записи в банке была загрузка клиентами фотографий их водительских прав. Теперь, когда изображения легко сделать с помощью нейросетей, схему пришлось поменять.
«И теперь вместо того, чтобы загружать уже существующее фото, клиентам нужно снимать свои права через приложение банка, а затем делать селфи. Чтобы избежать ситуации, когда мошенники подносят камеры к экрану с изображением чужого лица, приложение инструктирует пользователей смотреть влево, вправо, вверх или вниз. С этим не справится ни один дипфейк — по крайней мере пока».
Технологии генерации изображения и голоса в мире разрабатываются уже более 20 лет. Изначально они были очень дорогими и применялись только в узких сферах — например, в кинематографе. Сейчас, благодаря появлению нейросетей, такие технологии используются повсеместно, и ими активно пользуются мошенники.
— Они выбирают дипфейки, потому что те могут быть эффективным инструментом для обмана и манипуляции людьми. Подделанные голоса можно использовать для убеждения жертв в выполнении определенных действий, например, передачи денег или конфиденциальной информации.
— Дипфейками можно подделать голоса практически любых людей, если у мошенников есть аудиозаписи для обучения алгоритмов. Это касается в том числе голосов банковских работников, финансовых консультантов, руководителей компаний и других лиц, чьи голоса могут быть узнаны клиентами.
Сегодня для создания подделки достаточно иметь всего несколько образцов голоса человека или записей его выступления. С помощью нейросетей на их базе можно создать аудио и даже видеозапись с содержанием, имитирующую голос и мимику этого человека. Причем запись может быть с достаточно высокой детализацией, невооруженным глазом будет сложно отличить ее от оригинала.
— И самое главное, для этого совсем необязательно быть специалистом в сфере ИИ. Есть множество приложений, позволяющих, например, сгенерировать видео по фотографии или аудиосообщение по нескольким записанным словам. Хотя понятно, что чем больше будет контента, тем точнее получится итоговый результат.
— При атаках на обычных пользователей злоумышленники подделывают голосовые сообщения или видео знакомых жертвы. В таких сообщениях могут, например, просить человека срочно перевести деньги.
В последние несколько месяцев активно распространяется схема, когда мошенники создают в Telegram поддельные аккаунты руководителей различных компаний и пытаются с их помощью обмануть сотрудников, чтобы вынудить их перевести деньги на счета атакующих, часто вынуждают взять кредит. Для этого преступники могут заранее собирать информацию о компании и персонале, в том числе из слитых баз данных.
Кроме того, добавляет он, фиксируются единичные случаи, когда сотрудников крупных организаций убеждали сделать перевод во время конференц-звонка в режиме реального времени. Однако создавать подобную запись всё еще крайне сложно и дорого — это требует от атакующих высокого уровня подготовки.
В случае с банками применение дипфейков концентрируется на подтверждении входа в ДБО (дистанционное банковское обслуживание), а также на подтверждении операций, которые были заблокированы системой антифрода. — В некоторых случаях вероятно также подтверждение на снятие ранее установленных блокировок клиентом, например, на кредиты — всё зависит от того, какие сервисы «завяжет» на биометрии та или иная организация финансовых услуг.
Такие схемы появились совсем недавно — в 2023-2024 годах. И теперь мошенники пытаются с их помощью выдавать себя за реальных клиентов банка, что может приводить к серьезным последствиям. — Например, подделав голос банковского клиента, мошенники могут с его помощью подтвердить и осуществить финансовую транзакцию, что, в свою очередь, может привести к потере денег и нарушению конфиденциальности личных данных.
— Стоит обращать внимание на качество видео- или аудиоконтента, возможные дефекты в изображении или помехи в голосе, а также на полную тишину на фоне, отсутствие междометий или очень стройную речь. Если вы говорите в реальном времени (и вас смущает суть разговора), попросите собеседника покрутить головой из стороны в сторону, поднести руки к лицу, задайте внезапный вопрос, на который ответ будет не самым очевидным.
В самом разговоре, по его словам, важно обратить внимание на тон собеседника и его просьбы — если он просит сделать что-то в срочном порядке, пугает возможной ответственностью или последствиями — это всегда повод насторожиться. Тогда лучше перезвонить ему по обычному телефону или в другом мессенджере.
В свою очередь, Константин Горбунов советует для защиты от дипфейков внедрять более надежные методы аутентификации, которые не могут быть подделаны при помощи данной технологии. Это может включать в себя биометрическую идентификацию, многофакторную аутентификацию, а также необходимость очного присутствия на сделках.
— Для пользователей важно быть осведомленными об угрозе дипфейков и вести себя осторожно при осуществлении финансовых операций или предоставлении конфиденциальной информации по телефону или в мессенджерах. В случае сомнений стоит уточнять подлинность запросов и проводить всестороннюю проверку, прежде чем предоставлять какую-либо информацию или осуществлять транзакции.
В результате банкам приходится внедрять новые методы борьбы со злоумышленниками, а пользователям — быть внимательнее, получая голосовые или видеосообщения от знакомых или руководства. «Известия» выяснили, какие схемы с дипфейками сейчас распространяются в России и как защититься от них.
Дипфейки в финансовой сфере
Мошенники стали активнее использовать дипфейки в секторе финансовых технологий. За год число таких инцидентов в мире на 700%, по подсчётам платформы Sumsub.Одними из первых, кто стал подвергаться атакам, оказались банки и другие финансовые организации. Теперь им приходится заниматься внедрением нового программного обеспечения для лучшей идентификации клиентов. А для совершения транзакций — запрашивать у пользователей дополнительную информацию.
Больше всего в банках опасаются, что мошенники смогут использовать дипфейки для прохождения голосовой аутентификации, применяемой для проверки клиентов и предоставления им доступа к их учетным записям. Именно поэтому сотрудники стали задавать клиентам больше вопросов, чтобы убедиться, что звонят именно они.
Одновременно IT-компании занимаются разработкой технологий, предназначенных для борьбы с дипфейками. «Во многих случаях лучшей защитой от этой угрозы генеративного ИИ становится тот же ИИ — но примененный на другой стороне».
Банки уже научились бороться с мошенниками, которые отправляли поддельные водительские удостоверения для создания онлайн-аккаунтов. По его словам, раньше одним из этапов создания учетной записи в банке была загрузка клиентами фотографий их водительских прав. Теперь, когда изображения легко сделать с помощью нейросетей, схему пришлось поменять.
«И теперь вместо того, чтобы загружать уже существующее фото, клиентам нужно снимать свои права через приложение банка, а затем делать селфи. Чтобы избежать ситуации, когда мошенники подносят камеры к экрану с изображением чужого лица, приложение инструктирует пользователей смотреть влево, вправо, вверх или вниз. С этим не справится ни один дипфейк — по крайней мере пока».
Что такое дипфейки
Дипфейки (deepfakes) — это вид синтетического медиаконтента, созданного с использованием искусственного интеллекта для замены лиц и голосов людей в видео- и аудиозаписях. Сам термин появился еще несколько лет назад от сочетания слов «deep learning» (глубокое обучение) и «fake» (фальшивый).Технологии генерации изображения и голоса в мире разрабатываются уже более 20 лет. Изначально они были очень дорогими и применялись только в узких сферах — например, в кинематографе. Сейчас, благодаря появлению нейросетей, такие технологии используются повсеместно, и ими активно пользуются мошенники.
— Они выбирают дипфейки, потому что те могут быть эффективным инструментом для обмана и манипуляции людьми. Подделанные голоса можно использовать для убеждения жертв в выполнении определенных действий, например, передачи денег или конфиденциальной информации.
— Дипфейками можно подделать голоса практически любых людей, если у мошенников есть аудиозаписи для обучения алгоритмов. Это касается в том числе голосов банковских работников, финансовых консультантов, руководителей компаний и других лиц, чьи голоса могут быть узнаны клиентами.
Сегодня для создания подделки достаточно иметь всего несколько образцов голоса человека или записей его выступления. С помощью нейросетей на их базе можно создать аудио и даже видеозапись с содержанием, имитирующую голос и мимику этого человека. Причем запись может быть с достаточно высокой детализацией, невооруженным глазом будет сложно отличить ее от оригинала.
— И самое главное, для этого совсем необязательно быть специалистом в сфере ИИ. Есть множество приложений, позволяющих, например, сгенерировать видео по фотографии или аудиосообщение по нескольким записанным словам. Хотя понятно, что чем больше будет контента, тем точнее получится итоговый результат.
Схемы с дипфейками
В России, как и во всем мире, дипфейки чаще всего используются именно в финансовой сфере — в атаках на клиентов банков и других организаций. Поддельные записи дополняют социальную инженерию, помогают заставить жертву поверить в легенду злоумышленников.— При атаках на обычных пользователей злоумышленники подделывают голосовые сообщения или видео знакомых жертвы. В таких сообщениях могут, например, просить человека срочно перевести деньги.
В последние несколько месяцев активно распространяется схема, когда мошенники создают в Telegram поддельные аккаунты руководителей различных компаний и пытаются с их помощью обмануть сотрудников, чтобы вынудить их перевести деньги на счета атакующих, часто вынуждают взять кредит. Для этого преступники могут заранее собирать информацию о компании и персонале, в том числе из слитых баз данных.
Кроме того, добавляет он, фиксируются единичные случаи, когда сотрудников крупных организаций убеждали сделать перевод во время конференц-звонка в режиме реального времени. Однако создавать подобную запись всё еще крайне сложно и дорого — это требует от атакующих высокого уровня подготовки.
В случае с банками применение дипфейков концентрируется на подтверждении входа в ДБО (дистанционное банковское обслуживание), а также на подтверждении операций, которые были заблокированы системой антифрода. — В некоторых случаях вероятно также подтверждение на снятие ранее установленных блокировок клиентом, например, на кредиты — всё зависит от того, какие сервисы «завяжет» на биометрии та или иная организация финансовых услуг.
Такие схемы появились совсем недавно — в 2023-2024 годах. И теперь мошенники пытаются с их помощью выдавать себя за реальных клиентов банка, что может приводить к серьезным последствиям. — Например, подделав голос банковского клиента, мошенники могут с его помощью подтвердить и осуществить финансовую транзакцию, что, в свою очередь, может привести к потере денег и нарушению конфиденциальности личных данных.
Способы защиты
Для того чтобы защититься от мошенников, использующих дипфейки, эксперты «Известий» рекомендуют критически относиться к любым сообщениям в мессенджерах. Важно проверять информацию, даже если она пришла от знакомых.— Стоит обращать внимание на качество видео- или аудиоконтента, возможные дефекты в изображении или помехи в голосе, а также на полную тишину на фоне, отсутствие междометий или очень стройную речь. Если вы говорите в реальном времени (и вас смущает суть разговора), попросите собеседника покрутить головой из стороны в сторону, поднести руки к лицу, задайте внезапный вопрос, на который ответ будет не самым очевидным.
В самом разговоре, по его словам, важно обратить внимание на тон собеседника и его просьбы — если он просит сделать что-то в срочном порядке, пугает возможной ответственностью или последствиями — это всегда повод насторожиться. Тогда лучше перезвонить ему по обычному телефону или в другом мессенджере.
В свою очередь, Константин Горбунов советует для защиты от дипфейков внедрять более надежные методы аутентификации, которые не могут быть подделаны при помощи данной технологии. Это может включать в себя биометрическую идентификацию, многофакторную аутентификацию, а также необходимость очного присутствия на сделках.
— Для пользователей важно быть осведомленными об угрозе дипфейков и вести себя осторожно при осуществлении финансовых операций или предоставлении конфиденциальной информации по телефону или в мессенджерах. В случае сомнений стоит уточнять подлинность запросов и проводить всестороннюю проверку, прежде чем предоставлять какую-либо информацию или осуществлять транзакции.
