Pull to refresh

Comments 45

Естественно, если он обнаружен в базе фродстеров, меняется сценарий обслуживания такого клиента.

Меняется на что? Происходит попытка сбора доказательств для уголовного преследования или просто сбрасывается звонок?
Конечно, ни о каких попытках собрать «доказательства для уголовного преследования» речь не идет, впрочем, так же, как и о сбрасывании разговора.В зависимости от сигналов системы, оператор может подстроится под ситуацию и повести разговор в правильном направлении, чтобы и клиент был доволен (ведь не исключена ситуация, что система просто ошиблась) и банк не попал на возможном мошенничестве.

Например, система показывает, что клиент «не тот», в таком случае, оператор может задать дополнительные вопросы клиенту, чтобы убедиться, что ему можно оказать услугу или может отказать в предоставлении услуги, которая требует авторизации клиента.
ни о каких попытках собрать «доказательства для уголовного преследования» речь не идет

Ну прямо рай для аферистов: не получилось в этот раз — можно пробовать до бесконечности. Милиции они не интересны, банку они тоже неинтересны. Защищайте, милые клиенты, себя сами!:(
Нет, не так. Система в таком случае как раз защищает от посягательств. А привлекать к административной или тем более уголовной ответственности нет никакого повода. И самое главное, отсутствие биометрической проверки сейчас вообще никак не ограничивает мошенников.
Сейчас заранее неизвестно мошенник он или нет, а при наличии «черного» списка уже с первых секунд ясно кто он и зачем звонит — бери да работай с ним.

Система в таком случае как раз защищает от посягательств.

Типичное «моя хата с краю». У меня за железной дверью тихо и спокойно, а то кто-то на лестничной площадке орет «помогите» — это его проблемы.
Если мошенник уже раздобыл данные пользователя то, вполне вероятно, он получит доступ к аккаунту клиента — не к этому, так к другому.
Так и в следующий раз тоже «не получится»…
И разница со случаем отсутствия подобной системы здесь в том…
Ну почему?
могут просто предложить явится в офис с документами.
как в истории https://www.banki.ru/services/responses/bank/response/7042794/ где в итоге кончилось предложением владельцу с документами в офис явится (у ТКС есть офис, просто он один на всю Россию) а до этого — все дистанционные каналы отключены.
Ни про какое уголовное преследование речи там не было.

Если не впадать в паранойю, то круто. Очень круто, что такие технологии уже входят в нашу жизнь прозрачно для нас самих и позволяют сэкономить не только 60 секунд работы оператора, но и 60 секунд жизни каждого звонящего. Итого экономится 120 секунд жизни на каждый звонок!
Один из крупнейших коммерческих банков Беларуси Приорбанк, входящий в австрийскую группу «Райффайзен»


Грустно, что даже в РБ.
В Тинькофф есть подобная система, по-крайне мере так сказал оператор, что они меня опознали по голосу.
Пранкеру Вовану скоро пора будет на пенсию!
Больное горло или плохая связь с фоновым шумом для этой системы не труднее пародиста или близнецов?
Больное горло и низкое качество связи может повлиять на качество верификации. Но чтобы ответить насколько нужно рассматривать конкретный случай. Алгоритмы работы системы позволяют «вытягивать» биометрические параметры даже в сложных ситуациях. Биометрия может быть применена не только на телефонных сетях но и для доступа к мобильным приложениям или веб сайтам. Это разные с точки зрения акустических условий ситуации. Однако, система работает и справляется

Помимо базы данных голосовых эталонов обычных клиентов создаётся чёрный список фродстеров, куда заносятся голосовые эталоны негодяев.

Давали ли негодяи письменное согласие на хранение эталонов их голосов в базе данных?

В случае с Приорбанком это не было проблемой. Там и законодательство другое, и согласие было получено у всех клиентов.
Тут был комментарий, отклонённый модератором.
«… но Wells Fargo активно использует системы NICE Systems а не «Центр речевых технологий». Разве что где-то в ограниченном количестве поставили «на пробу».

Вот ответ:
Вполне вероятно, что nice широко применяется в велсфарго. Найс, безусловно, один из лидеров рынка, и тоже имеет технологию голосовой биометрии.Однако, у Найс нет продукта, который можно было бы использовать для бимодальной верификации пользователей в мобильном приложении.
Поэтому этот проект реализован на базе биометрической платформы ЦРТ
http://www.comnews.ru/node/97151
http://www.speechpro.ru/media/news/04-04-2016
а зачем єто нужно в мобильном приложении? если звонок попал в коллцентр он уже запишется на стороне коллцентра, я даже не представляю сейчас зачем бы мне понадобился анализ голоса в самом мобильном приложении на стороне клиента. С другой стороны мошенник может отреверсить мобильное приложение и в результате выдавать какой угодно результат анализа.
В мобильном приложении биометрия используется для доступа к самому приложению и банковским сервисам через него.
Работает это так: при входе в приложение система присылает одноразовый пароль (несколько цифр), который пользователь должен произнести в микрофон смартфона и при этом камера снимает его лицо. Система анализирует голос человека и его лицо, причем не статический портрет, а видео с учетом мимики, которая должна быть при произнесении пароля.Таким образом, за счет применения двухфакторной верификации клиента (голос + лицо) достигается высокий уровень достоверности проверки владельца.

Украсть нечего, пароль динамический (заранее украсть и записать не получится), лицо должно двигаться не абы как, а под «музыку» пароля.
Обмануть проблематично.

Кстати, такой вариант защиты можно применять не только для входа в приложения, но и для подтверждения каких-либо критических операций. Например, негодяи украли кредитную карту, знают от нее пин и пытаются снять с нее все средства.
Т.е. совершают нетипичную для владельца активность (за этим следят банковские системы безопасности), для ее подтверждения можно было бы воспользоваться дополнительной авторизацией через смартфон с приложением и биометрической верификацией.
Нет подтверждения, нет денег у мошенников.А если клиент снимает для себя, то нет проблем подтвердить свою личность описанным выше способом.
о, спасибо что открыли глаза. Если так, то это крутая технология.
Работает это так. Помимо базы данных голосовых эталонов обычных клиентов создаётся чёрный список фродстеров, куда заносятся голосовые эталоны негодяев. При звонке в контакт-центр голос клиента сравнивается с одним из его эталонов в клиентской базе (верификация) и со всеми эталонами в базе фродстеров (идентификация). Естественно, если он обнаружен в базе фродстеров, меняется сценарий обслуживания такого клиента.

Давал ли фродер согласие на внесение своего голоса в базу и обработку своих персональных данных? Я чую сложную юридическую ситуацию.
голос и результат его анализа разве относится к «персональным данным»? охраняется ли голос человека, его уникальность, законом?
Голос не относится к персональным данным согласно ФЗ. И скорее всего играет стандартное предупреждение, что «Все разговоры записываются». Так что скорее всего все чисто.
Получается, можно нарезать из фраз медийного человека стандартный ответ на 13 секунд, склеить по фонемам:
Здравствуйте
<ФИО>
<дата рождения>

Так можно пройти голосовую авторизацию даже не зная паспортных данных.
А дальше слегка пародируя голос (человек уже плохо различает голос незнакомого человека) совершить злодеяния.
А как быть с повторной проверкой, которую оператор может запустить вручную в любой момент времени?
Без понятия. В шаблоне который описан в статье, голосовая авторизация проводится один раз в начале разговора.
Я хочу сказать, что в некоторых случаях голосовая авторизация ухудшает безопасность системы.
Ну так в статье же написано:
Если необходимо, оператор может вручную перезапустить процедуру биометрической проверки клиента
Я думаю, что каким бы талантливым не был пародист, его голос будет отличаться от реального голоса жертвы, но воспроизведённого с записи — даже на слух оператора.
В случае вопроса «сколько мне платить по кредиту в этом месяце» я не могу углядеть способа воспользоваться этой информацией для обогащения мошенника.
А в случае совсем уж критичных вопросов дополнительные вопросы для идентификации всё же задаются, как мне кажется.
Неверно.
Применение биометрической проверки не приводит к ухудшению безопасности.
Сценарии могут быть различными.Например, проверку по голосу можно проводить в течение всего разговора периодически, показывая индикатор оператору. Но это приведет к большей утилизации ресурсов, а в реальности даст не очень большой прирост качества с точки зрения безопасности.

Повторюсь, проверка, описанная в статье, действительно проводится в начале диалога, поскольку так составлен сценарий беседы оператора с клиентом. Но это вполне живой естественный разговор, а не ответы на вопросы робота.
Возможности записать заранее ответы и таким образом обойти систему нет.
Нет, так не получится. Потому, что система текстонезависима и не привязана к конкретным фразам. К тому же биометрическая проверка осуществляется параллельно с разговором с оператором КЦ.
Оператор вряд ли будет слушать какой-то записанный бред со стороны клиента.
Вообще надо говорить о комплексе средств защиты, среди которых и человек выполняет определенную немаловажную функцию.
Речь про кастомные фразы полученные с помощью: Phoneme based text-to-speech synthesis
Так что разговор с оператором получается осмысленным.
Здесь я говорю только про уязвимость биометрической проверки клиента, без учета других средств защиты.
Ещё у ЦРТ давно такие штуки были. Сейчас их разработки наверное ещё более космические, чем раньше.
Помню они внедрили голосовую биометрию в мексиканские тюрьмы и поставили на учёт всех тамошних зеков…
Зная работу колл центров — там всегда есть фоновый шум от других операторов. Это не влияет на запись и сверку голоса?
Нет. Потому что анализируется канал, в котором говорит клиент. На качество может повлиять окружающий клиента шум. Но качество шумоподавления всего тракта достаточно высокое, чтобы в большинстве жизненных ситуаций точно определять биометрические параметры человека.

По моему банки с жиру бесятся с разного рода технологиями верификации клиентов.
Вот скажите: За каким чертом я придумываю «секретное слово» при заказе пластиковой карты, и при звонке в банк на просьбу, а заблокируйте мою карту т.к. меня тут стукнули по башке и отобрали карту, с меня спрашивают Номер карты (ээээ простите, дак где я возьму этот номер), ФИО, год рождения, паспортные данные и прочую лабуду, а про «секретное слово» даже и не вспоминают? Это мараз чистой воды. Должны спросить ФИО и «секретное слово» и все, этого достаточно для выполнения действия блокировки карты.
Должны спросить ФИО и «секретное слово» и все, этого достаточно для выполнения действия блокировки карты.


В стране, где 150 млн. человек-то? Совпадения реальны.
Уже не говоря про то, что могут быть и злоумышленники, которые решили испортить Вам жизнь.

P.S.:
Ох уж эта ваша вера в непогрешимость секретного слова, которое в заявление на выдачу карты пишется прямым текстом в анкете на бумаге (звездочками не прикрывается).

Вы и в то, что пароль нельзя узнать, тоже верите?

Наберите в Яндексе или Гугле: «кружка пароль».

/>



Полных тёзок с совпадающими ФИО и местами рождения — полно, сколь помню с совпадающими датами рождения при этом тоже есть некоторое количество. РБ, конечно, поменьше, но «одного залетевшего дятла» достаточно, чтобы разрушить стройную систему. А вот номер паспорта — вещь (почти) уникальная.

>> про «секретное слово» даже и не вспоминают
Зависит от банка, у некоторых — назовите 3ю и 5ю букву секретного слова (никогда не просят целиком), потому как система не доверяет оператору и у него есть запрос только на эту пару букв. Вам, видимо, не очень повезло с банком.
Да, мне не повезло с Альфа-Банком… или не повезло с конкретным оператором.

По поводу паспорта, то его номер и серию тоже достаточно легко узнать в интернет, ну а если на чистоту, то Вы сами помните наизусть данные паспорта: серия, номер, кем и когда выдан, номер подразделения? Не все знают наизусть эти данные, далеко не все.

Просто лично я сомневаюсь, что в небольших банках найдется 2 клиента с одинаковым ФИО, да даже если и найдется, то оператор это увидит и тогда будет повод спросить доп.данные, например дату рождения, к чему сразу то спрашивать полный набор данных, причем таких (паспортные данные) которые зачастую люди не запоминают?

Кстате, а как эта система отнесется если человек будет находиться «под давлением», то есть банально с приставленным к виску пистолетом и диктовать свои данные, например: Здравствуйте, я Владимир Владимирович, вот пожалуйте все мои явки, пароли, а давайте вы переведете 1 млрд. с моего счета на счет Васи Пупкина, я тут ему задолжал с прошлого веку, вот должок возвращаю… Думаю такого поворота ни система ни банк не ожидал и все будет нормально пройдено, а между тем, такая операция будет оспорена и суд встанет на сторону ВВ.
Система не отличит, что человек под давлением. Так же как и оператор не сможет этого сделать в обычной ситуации, когда человека заставят сказать все свои явки/пароли без биометрии. Но некоторое снижение оценки будет наблюдаться. Когда человек нервничает, параметры голоса несколько меняются.
>> Вы сами помните наизусть данные паспорта: серия, номер, кем и когда выдан, номер подразделения
И последнего и паспорта СССР.

>>, то его номер и серию тоже достаточно легко узнать в интернет
А имя-фамилию? Тем более если захотят кому-то навредить (блокировкой карты).

>> 1 млрд
перевод всё равно попадёт под финмонитоинг, даже если не под давлением.

>> вот пожалуйте все мои явки, пароли,
и в чём отличие от вопроса про фамилию-имя? То, что меньше вопросов в случае только ФИО и меньше данных на записи и потому доказать что-то сложнее?
Я не совсем понял, на картинке «Архитектура решения» — частный случай, или вот таким комплектом оно продаётся? Если мне не хочется покупать Оракл и Алкател, а хочется библиотечку с функцией, которую можно дёргать хоть из Asterisk, хоть из самописной CRM?
Это частная реализация для данного проекта. В качестве АТС может быть использована любая станция, имеющая возможность сквозного прослушивания канала или возможность организации SPAN порта для передачи RTP и сигнализации на API платформы. В качестве СУБД может быть использована Oracle, PostgreSQL, MariaDB, MSSQL. Просто библиотеки на передаются. Интегрировать можно с любой CRM (или любым другим ПО) через REST API.
Скажите, а как так получается, что на графике при повышении с 90 до 100 вероятности аутентификации столь резко повышается вероятность принять клиента за злоумышленника?
За все приходится платить.
Смысл такой, настройками системы можно регулировать чувствительность к ошибкам первого и второго рода (FAR и FRR).
Но нужно понимать, что между ними есть обратная зависимость. Т.е. мы можем настроить систему, которая никогда не откажет «своему» клиенту, но в этом случае возрастет вероятность «пропустить» чужого. Или наоборот, можно настроить так, что «чужого» не пропускать, но тогда придется пожертвовать более частыми отказами «своему».

На графике показано, как меняется поведение системы после калибровки.
Например, системы была настроена таким образом, что до калибровки вероятность пропуска «чужого» была не более 2%, при этом система правильно авторизовала «своих» в ~92% разговоров (откажет в 8% случаев), а после калибровки при тех же значениях пропуска «чужого» система узнает «своего» почти в 96% случаев, т.е. «обидит» отказом «своего» только в 4% случаев.
Sign up to leave a comment.