Биометрическое мошенничество: как мошенники клонируют голос и лицо

Ещё пять лет назад клонирование голоса или лица требовало голливудского бюджета и недель работы. Сегодня это доступно любому с ноутбуком и интернет-соединением. Инструменты на основе искусственного интеллекта позволяют воссоздать голос человека по 30 секундам записи, а его лицо — по нескольким фотографиям из социальных сетей. Это открывает новые горизонты для мошенников — и новые угрозы для граждан и бизнеса Казахстана.

Как работает клонирование голоса

Клонирование голоса (voice cloning) — технология на основе нейронных сетей, которая анализирует образцы речи конкретного человека и создаёт синтетический голос, неотличимый от оригинала. Для создания убедительной копии достаточно 30–60 секунд аудио.

Где мошенники берут образцы:

• Публичные видео в YouTube, TikTok, Instagram
• Голосовые сообщения, переосланные или опубликованные
• Записи вебинаров, интервью, подкастов
• Голосовые сообщения в мессенджерах (если доступ к аккаунту скомпрометирован)
• Телефонные разговоры, записанные мошенником под предлогом «маркетингового исследования»

Схема «звонок от директора»

В корпоративной среде наиболее опасна атака «звонок от директора» (CEO fraud с голосовым клоном). Мошенник клонирует голос руководителя компании и звонит финансовому директору или бухгалтеру с просьбой срочно перевести деньги на «партнёрский счёт» или «временный счёт для сделки».

Детали, делающие атаку убедительной:

• Голос идентичен оригиналу по тембру, акценту и речевым паттернам
• Мошенник заранее изучает имена сотрудников, текущие проекты и корпоративный жаргон компании
• Создаётся ощущение срочности: «я на переговорах, некогда писать, просто переведи»
• Звонок поступает с поддельного номера (спуфинг) или через мессенджер

По данным ФБР США, потери от BEC-мошенничества (компрометация деловой переписки и коммуникаций) с использованием голосовых технологий в 2023 году превысили 2,9 миллиарда долларов. Казахстанские компании всё чаще фиксируют аналогичные попытки.

Схема «родственник в беде»

В схеме, направленной на частных лиц, мошенник клонирует голос сына, дочери или внука жертвы и звонит пожилому родителю: «Мама/папа, я попал в аварию / задержан полицией / срочно нужны деньги, только не говори никому». Атака работает потому, что голос действительно звучит как родной человек, а эмоциональный стресс отключает критическое мышление.

Как работает клонирование лица (deepfake)

Дипфейк (deepfake) в контексте мошенничества — это синтетическое видео, на котором лицо реального человека наложено на тело актёра. Технология развивается стремительно: современные инструменты создают видео в реальном времени, позволяя «стать» другим человеком прямо во время видеозвонка.

Обход биометрической верификации

Казахстанские банки и финтех-сервисы активно внедряют биометрическую верификацию — проверку личности через видео с поворотом головы, миганием или произнесением кода. Злоумышленники разработали методы обхода:

• Статичный дипфейк — подмена видеопотока заранее подготовленным видео с нужными движениями
• Реал-тайм дипфейк — наложение чужого лица в прямом эфире через виртуальную камеру
• 3D-модель лица — создание трёхмерной модели из фотографий для прохождения liveness-тестов

Читайте также: Дипфейки и AI-мошенничество: полный разбор.

Как мошенники собирают биометрические данные

Казахстанцы активно ведут социальные сети — ВКонтакте, Instagram, TikTok, Facebook. Каждое опубликованное видео и каждая фотография с лицом — это потенциальный обучающий материал для нейросети.

Дополнительные методы сбора:

• Поддельные приложения с функцией «изменения голоса» или «аниме-фильтра» — собирают биометрию пользователей
• Звонки с просьбой «продиктовать текст» для «проверки связи»
• Поддельные кастинги и конкурсы, где участники присылают видео

Как банки должны противодействовать биометрическим атакам

Финансовые организации, работающие под надзором АРРФР, внедряют многоуровневые системы защиты:

• Liveness detection — алгоритмы, определяющие живого человека перед камерой, а не запись или дипфейк (анализ микродвижений, отражения, артефактов сжатия видео)
• Поведенческая биометрия — анализ паттернов ввода, движений мыши, ритма нажатия клавиш для выявления аномалий
• Кросс-канальная верификация — при крупных операциях требуется подтверждение через второй канал (письмо + звонок + физическое посещение)
• Анализ метаданных — определение признаков виртуальной камеры или подменённого видеопотока

Как защититься: советы для физических лиц

1. Ограничьте публичные голосовые и видеозаписи — закройте аккаунты в социальных сетях или ограничьте круг людей, видящих ваши видео.
2. Установите «кодовое слово» с близкими — договоритесь о секретном слове, которое использует настоящий родственник при экстренном звонке. Если слово не названо — это не он.
3. При срочном звонке «от родственника» перезвоните на его реальный номер — мошенники рассчитывают, что вы этого не сделаете из-за паники.
4. Не скачивайте приложения с голосовыми или видеофильтрами из неизвестных источников.
5. Для финансовых операций требуйте письменного подтверждения — ни один реальный директор не обидится на просьбу прислать задание в письменном виде.

Как защититься: советы для бизнеса

1. Внедрите многоуровневую авторизацию платежей — ни один перевод не проходит по звонку без письменного подтверждения от двух уполномоченных лиц.
2. Проводите регулярное обучение сотрудников — особенно финансовых и бухгалтерских служб — по распознаванию голосовых атак.
3. Установите лимиты и задержки для необычных транзакций — это даёт время на верификацию.
4. Используйте защищённые корпоративные каналы коммуникации с шифрованием.

Читайте также: ЭЦП и биометрия: как защитить свою цифровую личность.

Биометрическое мошенничество — это не фантастика, а реальная угроза, которая уже затрагивает казахстанских граждан и бизнес. Технологии клонирования становятся доступнее с каждым месяцем, а защита требует сочетания технических мер и простых поведенческих привычек: проверяй, сомневайся и никогда не спеши при финансовых решениях.