Комментарии 7
Мне кажется, надо различать два сценария:
Создание виртуальной личности. Когда и удостоверение личности отрисованное, и лицо на камере сгенерированное.
Кражу личности. Когда берут документы реального человека и по ним создают учётную запись неподконтрольную человеку.
Вот второй сценарий гораздо более неприятный.
Поэтому я разворачиваюсь и ухожу из банков, которые требуют сдать биометрию.
Причём вполне возможно идентификация через распознавание лица будет и дальше внедряться и навязываться: с одной стороны, это выглядит прогрессивно и удобно, с другой --- в разработку соответствующих технологий уже вложены большие деньги, и если просто свернуть такие проекты как изначально ошибочные, то, понятно, возникнут вопросы.
Хотя оплата по распознаванию лица конечно в ряде случаев была бы полезна, но использовать её можно только если мошенническую оплату можно легко отменить (простым заявлением, что это был не я, дальше моментальный возврат средств, и это уже проблема банка, найти свои деньги), и с ограничением по сумме (я бы наверное поставил ограничение на такие оплаты в 300 рублей в месяц — на случай, если вдруг когда-нибудь забуду карточку, когда пойду в магазин за хлебом и т.д.).
Вот только в статье описан ровно один кейс - собственно сдача "биометрии". Если Ваша биометрия уже сдана в банке, то этот же банк таким способом точно не взломают. А вот как раз если Вы в банк биометрию НЕ сдали, то туда можно отправить чужую биометрию (паспортные данные еще нужны, но их добыть вообще не проблема).
На всякий случай, в чем именно заключается взлом из статьи:
Когда кто-то (условный банк) просит подтвердить личность, не имея на руках биометрию, то могут либо потребовать лично явиться в офис, либо сэкономить время и попросить снять себя на видео с паспортом в руках. Как раз при съемке видео с паспортом можно использовать дипфейк (паспорт изначально берется идентичный реальному, но с наложенным чужим фото).
Настоящая биометрия, естественно, сдается при личном присутствии, а потом уже позволяет авторизоваться удаленно.
Тут проблема в том, что от вставки чужого лица в паспорт и в голову в живом видеопотоке, до генерации этого самого лица по заданным параметрам, остался один совсем небольшой шаг.
1) подделка настоящих документов, удостоверяющих личность
2) подделка цифровой личности через deepfake
и там, и там цель — получить доступ к счету в банке.
и там, и там — преследуется по закону
Документ подделать сложно, плюс можно сделать подделку практически невозможной (например, используя стойкие криптографические алгоритмы и не используя авторизацию через SMS - присылаемый код можно не только перехватить, но и банально угадать: вероятность угадывания кода из 4 цифр с первой попытки составляет 0.01%, что недопустимо много если говорить о доступе к банковским данным, почте, к которой привязаны множество других аккаунтов и т.д.). А в случае с deepfake защита является или легко может стать эквивалентной переписке в текстовом чате: "Банк: ИмяКлиента, это точно вы? Взломщик: Да, это точно я", ну только при этом будет задействовано больше вычислительных ресурсов, на отрисовку и анализ изображения.
Тесты банков для проверки личности «чрезвычайно уязвимы» для deepfake атак