Технологичное телефонное мошенничество

Новости Угрозы

Мы уже рассказывали про телефонное мошенничество, да что уж там, вы, с большой вероятностью, и сами с ними сталкивались. Но если не соглашаться на предложения незнакомых вам людей и не рассказывать им лишнего, все будет нормально, да?

Оказывается, нет. Не так давно американская Федеральная комиссия по связи (FCC) предупредила об очень необычном методе телефонного мошенничества. Злоумышленники звонят по телефону и задают невинный вопрос: «Слышите меня?». Ответ «да» – это все, что им нужно. Имея запись утвердительного ответа, они подписывают жертву на платные услуги, которые будут включены в счет за связь.

Тип мошенничества, при котором в счет абонента без его согласия вносятся дополнительные услуги (например, рассылка гороскопов или новостей), носит название крэмминг (от англ. «cram» — «впихивать»).

В этой новости настораживают несколько моментов. Как вообще возможен крэмминг? Почему правоохранители ничего не могут с этим сделать? Неужели действительно можно использовать запись голоса, чтобы подписать абонента на дополнительные услуги?

Технически крэмминг возможен, поскольку телефонные компании позволяют включать в основной счет абонента услуги третьих лиц.

Сама эта уловка не нова — еще в 2008 году о ней сообщал сайт 800Notes.com, ведущий реестр сомнительных телефонных номеров. В то время прием использовался в первую очередь для навязывания услуг организациям. По свидетельству попавшихся на удочку, злоумышленники монтируют аудиозапись, на которой жертва собственным голосом соглашается на получение платных услуг.

Власти пытаются бороться с крэммингом: так, в 2015 году FCC обязала телекоммуникационных гигантов Verizon и Sprint выплатить 158 миллионов долларов для урегулирования претензий потребителей, которым таким образом впарили ненужные услуги. Но подобные крэммингу способы мошенничества с развитием современных технологий могут стать очень масштабными.

Голос в банке

В ближайшем будущем что-то вроде крэмминга угрожает банковской сфере, в которой все большее распространение получает голосовая идентификация. К примеру, в 2016 году один из крупнейших банков Великобритании, Barclays, ввел возможность голосовой аутентификации для всех своих частных клиентов.

Использовать идентификацию по голосу вместо пароля предлагает своим клиентам и международная финансовая организация HSBC. Клиент должен позвонить в банк, пройти классическую аутентификацию по кодовому слову и произнести несколько раз предложение «Мой голос — мой пароль» (My voice is my password). В следующий раз для доступа к счетам ему будет достаточно произнести эту фразу.

HSBC утверждает, что система защищена от попыток злоумышленников подсунуть ей запись голоса клиента. Дескать, технология Voice Biometrics создает «отпечаток голоса», который распознает физические и поведенческие нюансы речи.

К тому же телефонным мошенникам придется как-то заставить клиента банка произнести сокровенную фразу целиком. Вряд ли у них это получится, однако они могут попытаться разговорить его и выудить слова по отдельности, если потребуется, за несколько звонков.

Если кто-то пытается придумать способ обмануть людей, наверняка найдется кто-то другой, кто будет придумывать, как этого можно избежать. Например, технология компании Pindrop для оценки «подлинности» удаленного клиента учитывает множество факторов. Среди прочего — географические координаты звонящего. Если звонок от клиента вдруг поступил с другого конца Земли относительно его обычного местоположения, система насторожится. Собственно, такие технологии нередко включены в уже существующие антифрод-системы, используемые во многих банках.

Другой косвенный признак — выбранный канал связи. По статистике компании, мошенники используют VoIP-телефонию в 53% случаев, в то время как настоящие клиенты — лишь в 7 % всех звонков. Поэтому поступивший по интернет-телефонии звонок система Pindrop сразу берет на карандаш.

В свою очередь, злоумышленники применяют контрмеры, например имитацию плохой связи, которая теоретически может усложнить системе идентификацию звонящего. Скоро же арсенал телефонных преступников, судя по всему, пополнится новыми мощными орудиями.

Все скажут за вас

В 2016 году на конференции Adobe MAX был представлен проект VoCo, который тут же окрестили «фотошопом для звука».

На основе анализа фрагмента речи человека система может сгенерировать его голос, в том числе со словами, которых не было в исходной записи. Разработка, как сообщает Би-Би-Си, вызвала беспокойство среди экспертов по информационной безопасности. VoCo, как и его графический прародитель, может стать инструментом для компрометации людей или способом обхода систем голосовой идентификации, используемых в банках.

Подобные системы создает не только Adobe. Собственную разработку по генерации реалистичной речи в 2016 году анонсировала компания Google, а в апреле свою технологию генерации голоса представил канадский стартап Lyrebird. Системе достаточно минутной записи речи человека, чтобы научиться произносить его голосом произвольные фразы (здесь можно послушать пример синтезированной дискуссии между американскими политиками). Разработчики признают, что возможность сгенерировать речь любого человека потенциально опасна, в частности, для игроков политической сцены. К тому же такой софт может стать инструментом мошенников.

«Мы надеемся, что вскоре каждый человек будет знать, что такие технологии существуют и что копирование чужого голоса возможно», — так основатели Lyrebird решили для себя этическую проблему своего детища. Сервис генерации голоса будет доступен разработчикам приложений, сейчас идет набор бета-тестеров.

И что со всем этим делать?

  1. Специфика атаки, в которой у жертвы выманивают слово «да», предполагает радикальный метод решения. FCC рекомендует вовсе не отвечать на звонки с неизвестных номеров. Если с вами действительно хотят связаться, оставят сообщение в голосовой почте.
  2. Не сообщайте никаких личных данных о себе — они могут быть использованы злоумышленниками против вас как сразу, так и в будущем.
  3. Проверяйте выставляемые счета на предмет неожиданных позиций.
  4. Отдельный способ защиты от телефонного спама — внести свои контактные данные в государственный реестр номеров, которые телемаркетологи обязаны исключать из своих списков. Если он, конечно, есть в вашей стране. Такой реестр действует в США, в Европе единой базы нет, но есть отдельные национальные, а в России законодательная инициатива о создании реестра была выдвинута в 2013 году, но так и не была реализована.
  5. Бороться с телефонными спамерами и мошенниками может помочь приложение Kaspersky Who Calls, которое уже можно найти в Google Play и Apple AppStore. Оно содержит постоянно пополняемую базу номеров телефонов, в том числе и принадлежащих спамерам. Who Calls поможет распознать, кто вам звонит, и на основании этого вы сможете понять – стоит ли брать трубку.