Хакеры научились похищать личность человека с помощью слитых персональных данных

В 2023 году более чем половина (57%) успешных кибератак закончилась утечкой конфиденциальной информации. По данным "Роскомнадзора" было зафиксировано 168 утечек персональных данных, в результате которых в открытый доступ попало более 300 млн записей. Эксперты считают, что главная опасность в случае утечки персональных данных - это фальсификация личности с целью хищения денег.

"Самым опасным для обычного пользователя при утечке его данных, особенно персональных, является возможность их использования для мошеннических целей. Персональные данные могут быть использованы для кражи идентичности, при которой мошенники могут открыть банковские счета, получить кредиты или даже совершить преступления от имени пользователя, - говорит руководитель продуктового направления компании Innostage Евгений Федоров.

Эксперт также отмечает, что мошенники могут использовать украденные личные данные для доступа к банковским счетам и кредитным картам. По его данным, ущерб от такого рода мошенничества в 2023 году составил порядка 19 млрд рублей.

Утечки пользовательских данных не являются исключительно российской проблемой, а носят глобальный характер. Так в конце января специалисты компаний Security Discovery и Cybernews смогли обнаружить в даркнете базу данных размером более 12 Тб. Информация из слитой базы включила в себя порядка 26 млрд записей о профилях пользователей со всего мира на таких платформах, как Telegram (41 млн), VK (101 млн), Dropbox (69 млн), Canva (143 млн), Weibo (504 млн), Adobe (153 млн), LinkedIn (251 млн) и пр.

Это сделало утечку одной из крупнейших за всю историю, из-за чего она получила неофициальное название Mother Of All Breaches (Мать всех утечек).

"Мошенники используют слитую информацию о жертвах для того, чтобы войти к ним в доверие. Одним из самых распространенных примеров здесь являются звонки от якобы служб безопасности банков. Если злоумышленники знают такие данные клиента, как ФИО, телефон, паспорт, номер банковской карты, то им легче выдать себя за легитимных сотрудников. Мы видим, что в 2023 году социальная инженерия применялась в 90% успешных кибератак на частных лиц", - отмечает руководитель исследовательской группы Positive Technologies. Ирина Зиновкина.

"Ключевая задача, которую должен решить мошенник для хищения денежных средств, - выдать себя за другого человека. С этой целью используется масса современных технологий и, в частности, последние достижения искусственного интеллекта, - говорит доктор технических наук, генеральный директор Smart Engines Владимир Арлазаров, - и продолжает. - Если рассматривать идентификацию в цифровых, дистанционных каналах связи, то одним из новых способов прохождения проверок стали дипфейки. В этом случае мошенники, использовав украденные данные, в процессе идентификации пытаются выдать себя за другого человека. С помощью "взлома" браузера или мобильного телефона они подменяют видеопоток, идущий с камеры мобильного телефона, и накладывают маску нужного туда лица в реальном времени".

Недистанционные атаки с целью хищения средств можно разделить на две группы. Первая группа - так называемые "недорогие" мошенничества, когда злоумышленники, не вкладывая серьезные деньги в подделку и изготавливая ее с использованием обыкновенного принтера, стремятся оказать психологическое воздействие на оператора, чтобы банковский сотрудник потерял концентрацию и не провел проверку документа, или провел ее невнимательно.

Другой уровень подделок - это те, которые создаются профессионально, мошенническими группировками и используются в более изощренных схемах. Здесь одна из самых опасных технологий, придуманных для фальсификации биометрии, - морфинг.

"Мошенники с помощью данных из соцсетей и утечек, используя технологии искусственного интеллекта, создают фотографию лица, одновременно похожую на вас и на мошенника. После этого берутся утекшие персональные данные, создается подделка паспорта и вклеивается фотография. Оператор, глядя на фотографию и ваше лицо, скажет, что это один человек. Но, глядя на эту же фотографию и мошенника, он точно также думает и про него: похожи", - рассказывает Арлазаров. По его словам, существует уже несколько реально работающих схем хищения денежных средств с использованием морфинга.

Специалисты по безопасности, работающие в российских банках, также знакомы с новыми технологиями подделки документов и фальсификации личности, и в свою очередь принимают ответные меры по защите клиентов и средств банка. Арлазаров отметил, что в 2023 году 50% роста выручки Smart Engines обеспечили доходы от антифрод-систем на базе ИИ для проверки подлинности документов банками и финтехом.

Дополнительным мотивом, из-за которого финансовые организации стали более тщательно проверять подлинность документов и использовать новые технологии для идентификации клиентов, стали поправки к закону № 161-ФЗ "О национальной платежной системе". Теперь банки обязаны проверять все денежные переводы и не допускать мошеннических операций. Если перевод прошел на счет мошенника, банки должны компенсировать клиентам утерянную сумму за свой счет. Закон вступает в силу летом 2024 года.