"При использовании биометрии мошенники не смогут подделать взгляд человека"
В мире зафиксирован рост киберпреступности и онлайн-мошенничеств. Не лучше с этим обстоит дело и в России. Количество киберпреступлений в первом квартале 2020 года выросло на 83,9%, а удельный вес таких деяний достиг 19,9% от общего числа. К концу 2020 года число зарегистрированных киберпреступлений в России составило около полумиллиона.
Корреспондент Накануне.RU пообщался с экспертом по кибербезопасности Дмитрием Галовым на Cyber Security Weekend, организованном "Лабораторией Касперского" в Казани. О том, почему интернет нам предлагает сайты на тему, о которой мы написали в конфиденциальной переписке, и стоит ли бояться говорить при звонке с незнакомого номера "да", читайте в нашем интервью.
– Дмитрий, зачастую мы не размещаем нигде никакой информации о том, что нам нужно, но почему-то, если мы обсудим какую-либо тему в закрытой переписке, то она выскакивает в предложенной рекламе. Почему так случается?
– Представим, что на столе лежат три телефона, и каждый из них подслушивает нас, а камеры записывают. Для того чтобы рекламные агентства могли использовать эти данные, им нужно весь голосовой массив проанализировать. Это достаточно трудоемкая задача. Во-первых, все эти операции нужно делать на самом устройстве (с постоянным распознаванием речи, чтобы выделять какие-то темы и векторы данных). Все это очень сложно и тяжело, потому что телефон сразу разрядится. Но есть и второй подход. Можно и на сервере проводить обработку данных, но это тоже сделать тяжело, потому что идет постоянная передача данных.
При этом в современных телефонах есть голосовые помощники, которые, как правило, активируются во время произнесения вслух определенной фразы. Распознавание этих фраз – более узкая технология, потому что, по сути, за небольшую цену вычислительных мощностей ваш телефон может среагировать только на пару конкретных ключевых слов. Но в целом распознавание речи – это самая трудозатраная часть, и использовать ее для таргетированной рекламы в больших масштабах не очень эффективно. Так бы я ответил на ваш вопрос.
– Как работают рекламные вещи и почему люди обсуждают батареи и обои, а им в поисковике потом они выскакивают?
– Современные технологии очень хорошо работают в составлении вашей цифровой личности как покупателя. При использовании социальных сетей вы даете разрешение на обработку тех или иных данных. Даже если вы обратитесь к индустрии защитных решений, то вы увидите, что у некоторых вендеров есть бесплатная защита и если она действительно полностью бесплатная, то здесь может собираться больше данных для показа рекламы, и так работает рынок. Но в описанном случае с "обоями" вас, скорее всего, никто конкретно не таргетировал. Здесь просто очень хорошо настроен алгоритм целой индустрии. Люди живут тем, что им нужно предугадать то, что вам нужно.
Например, если вы заметили "Ладу" кузова "седан" и цвета "баклажан" на улице и дальше видите ее везде, то вам начинает казаться, что она действительно везде. То есть активизируется некий эффект наблюдателя, и в интернете – то же самое. Если вы смотрите год рекламу, и релевантная тема вам нигде не попадается, а потом бац и попалась, то вы начинаете думать, что все это теория заговора.
Если серьезно, то работает все иначе. Это массовая индустрия и нет никакой теории заговора. И даже если бы такое существовало, то это бы быстро все вскрылось. Кстати, насчет социальной сети Facebook: некоторое время назад у них был скандал с сервисом распознавания голосовых сообщений и перевода их в текст. То есть вам присылают голосовые сообщения и вам неудобно их слушать, вы просто нажимаете на кнопку, и у вас появляется сообщение в виде текста. Для того чтобы подобные алгоритмы работали, их нужно обучить. Для того чтобы их обучить, нужен учитель. В качестве учителя выступал человек, который прослушал разговор и написал его. Был скандал с тем, что Facebook передает подрядчикам слушать приватные разговоры. При работе с данными всегда есть такие скользкие моменты. Все намного прозаичнее.
– Во время пандемии в теневом сегменте интернета (даркнете) возникало множество предложений по покупке вакцины от Covid – стоимость была установлена от 250 до 1200 долларов. Какова статистика обманутых людей киберпреступниками таким образом?
– Даже на обычном рынке бывает тяжело оценить доходность индустрии в целом. Когда мы говорим про теневой сегмент интернета, то это все равно, что зайти на рынок, где каждая бабушка продает семечки по своей цене. В целом в "Лаборатории Касперского" мы исследуем darknet больше со стороны угроз, например, изучаем, как ведут себя шифровальщики, изучаем новые техники обхода детектирования, которые предлагаются на форумах. У нас нет задачи анализировать объемы продаж вакцин и чего-то иного.
На самом деле, все исследование появилось не из-за препарата и таких предложений, а потому что мы весь год мониторили различную активность в сети, связанную с коронавирусом, и когда мы увидели эту, мы тоже на нее обратили внимание. Мы видим только верхушку айсберга. Я уверен, что тут есть гораздо более узкоспециализированные вещи, которые мы не видим и даже не можем оценить. Когда же мы переходим непосредственно к оценке того, что видим, то тут я могу привести пример: на подпольной торговой площадке видим объявление: "можем прислать вам вакцину от коронавируса любого производителя за такую-то сумму". И это все, что мы видим.
В некоторых случаях в darknet есть система гарантов, есть те или иные рейтинги и отзывы покупателей. Но когда мы изучаем объявления злоумышленников, никто не проверяет, накрученные там данные или нет. Точно оценить объем транзакций тоже невозможно. Нельзя также везде сделать контрольную закупку. И в своих исследованиях мы оставляем высокую вероятность того, что большинство таких объявлений – мошеннические. Правда, не исключено при этом, что кто-то из людей действительно продает вакцину, которая у него есть, или какие-то ее остатки.
– Какие новые уловки появляются для того, чтобы обмануть людей в сети и получить персональные данные граждан?
– В интернете идет постоянный сбор данных. Зачастую эти данные вы передаете сами, заполняя различные регистрационные формы. Именно поэтому, например, вы получаете звонок оператора, работающего в фирме, на сайт, которой вы только вошли. Социальные сети, кстати, тоже передают те или иные данные рекламодателям. Когда вы заходите на тот или иной сайт, это может стать релевантной информацией для рекламодателей. Если мы говорим, в частности, про телефонный спам, какая-то теневая активность в плане покупки баз у конкурентов и ведения ее обзвона существует, и существует достаточно давно, но кибербезопасность к этому мало относится. Такими путями обычно пытались переманить друг у друга клиентов. Просто раньше все это делали вручную.
У телефонных и онлайн-мошенников большой упор сейчас делается на то, чтобы притворяться силовиками или чиновниками, госорганизациями. В "службу безопасности банка" постепенно перестают верить. Если же те или иные представители объявляют, что будут выплачиваться пособия из-за какого-нибудь локдауна и на почту приходят уведомления, что вы зарегистрированы в этой программе, то люди на такое ведутся и их обманывают. В целом на людей давят психологически и заставляют сделать что-либо быстро, либо приманивают финансовой выгодой. Как ни грустно, но люди, до сих пор видя где-либо предложение мгновенного выигрыша, верят в него.
– Биометрические данные людей до сих пор плохо защищены. Электронные системы проверки личности по изображению лица человека все еще не могут надежно работать без участия операторов. Как можно улучшить защиту собираемых биометрических персональных данных?
– Вопрос распадается сразу на две составляющих: на безопасность и надежность этих систем. Задача распознавания лица всегда была сложной в плане реализации. Системы, которая бы работала в 100 процентах случаях, не будет. Всегда есть какие-то ложные срабатывания. Но этот процент настолько мал, что его можно свести к нулю, потому что человеческий фактор более критичен.
Если один человек будет сидеть и сверять лица, то он сделает гораздо больше ошибок, чем современный алгоритм распознавания. Но зачастую огласке предаются отдельные ситуации, например, когда где-либо вводится Face ID, то все сразу начинают пытаться его взломать и если это удалось (например, если люди были близнецами), то все это раздувается в ту или иную историю.
Другой вопрос про безопасность биометрии. Это гораздо более серьезно, потому что пароль можно поменять, а глаза поменять не особо получится. Система распознавания биометрии основана на концепте того, что отпечаток пальца в виде отпечатка пальца нигде не хранится. Он хранится в виде хешей – числовых кодов. Вы этот отпечаток один раз обрабатываете (по нему считываются математические модели пальца) и все это, в конечном счете, позволяет сделать одну вещь: когда вы прикладываете второй палец, система должна ответить на один вопрос – такой же этот отпечаток или нет. При этом сама база с биометрическими данными должна храниться в зашифрованном виде, а при сравнении изображений необходимо использовать те самые хеши. Все это защищает от неправомерного использования тех или иных данных даже при получении полного доступа к системе. Тем не менее, бывают редкие случаи, когда все эти данные хранятся в открытом виде.
В плане распознавания голоса есть много баек, например, никогда не говорить по телефону "да". Все это не так. Можно такое делать. Понимаете, есть системы распознавания голоса, и они работают нормально, и есть системы подделки голоса. Но до сих пор в финансовых организациях все это используется лишь в качестве второго фактора (работает скорее на пользу антифрод-системам, где собирается большое число данных о вас, например, какие операции вы выполняете, что это за операции, какую сумму вы при этом переводите). Если вы все это подтверждаете по телефону и голос будет непохожим, то транзакции автоматически будет выставлен минус и монетка в копилочку того, что это мошенники. Организации не будут действовать по принципу "услышали голос и все нормально", а про все остальное забудем. Это все равно, что злоумышленник узнает только, каким браузером вы пользуетесь. В принципе это один из десятков факторов.
– С 15 мая политика конфиденциальности WhatsApp обновилась. В частности это касается взаимодействия с Facebook. У многих пользователей возникли сомнения, что их данные будут по-прежнему надежно защищены. Как новая политика WhatsApp может отразиться на приватности?
– Здесь идет речь в первую очередь о социальном "контракте". Передавая данные любому вендеру, вы ему доверяете или не доверяете. Если у человека появляются конкретные вопросы, то это значит, что он подумал и это хорошо. Если кто-то сомневается в WhatsApp, то он и будет сомневаться. Политика защиты данных часто меняется и за этим нужно следить.
Летать в России станет еще дороже
Креатив Госдумы так и прет: про букмекеров и депутатов
Вот это "Вызов"
