Кража личности: как преступники охотятся за биометрическими данными

Словосочетание «кража личности» — это не совсем корректная калька с английского identity theft. На самом деле это означает кражу «удостоверительных» признаков человека, ведь личность — это характер, эмоции и переживания. Здесь же речь идет о том, что преступник может выдать себя за вас. 

Когда заходит речь о биометрии, первое, что приходит на ум, — это отпечатки пальцев. Их сейчас активно используют даже в бюджетных смартфонах.

Другие данные скопировать сложнее: это и рисунок радужной оболочки глаза, и характеристики голоса, электромагнитные волны, которые генерирует мозг, и даже то, как человек набирает текст на клавиатуре компьютера (какие пальцы использует и с какой силой нажимает на какие клавиши с каким интервалом) — в комбинации они позволяют почти безошибочно идентифицировать человека.

CTBC Bank (Тайвань) тестирует, например, новый банкомат, который работает вообще без карт. Вместо этого система использует сканирование черт лица и рисунка вен.

TD Bank (Канада) совместно с Mastercard разработал NFC-браслет, который позволяет совершать бесконтактные платежи на любую сумму, идентифицируя пользователя по его сердечному ритму: вводить PIN-код не надо, браслет работает только тогда, когда его носит владелец.

Уязвимее всего голос: современные технологии позволяют имитировать тембр любого голоса, просто записав исходный образец речи. Причем компьютер может даже синтезировать ее: попробуйте, например, Bush-o-Matic — любые введенные предложения можно воспроизвести голосом Джорджа Буша.

Позвонив кому-то с подставного номера, можно успешно выдать себя за другого человека. Преступники охотно используют этот метод, чтобы требовать выкуп.

По данным полиции, популярен следующий способ: в квартиру пенсионеров на домашний телефон (чтобы было сложнее отследить номер) поступает звонок. Преступники представляются сотрудниками полиции или ГИБДД, и затем говорят: «Ваш сын попал в ДТП и сбил человека, сейчас он задержан, но, чтобы не возбуждать дело, нужен выкуп (далее сообщается сумма 20-100 тысяч рублей)». Самое главное: после этого трубку передают «задержанному», а тот действительно говорит: «Мама, помоги, это на самом деле так», причем своим голосом. 

Голос делают похожим на голос сына или дочери с помощью компьютерной программы, а телефонная связь «съедает» мелкие огрехи, которые могли бы выдать легкое несоответствие. Исходный голос «сына» записывают заранее, позвонив ему на мобильный телефон.

Узнать, кто чей сын, очень легко с помощью старых (2000-2003 годы) телефонных баз, опубликованных в интернете. Как правило, в них человек 30-40 лет от роду и старше еще прописан в одной квартире с родителями. Переезжают пенсионеры редко, а стационарный телефон предпочитают мобильному. За выкупом преступник приезжает прямо в квартиру.

Отпечатки успешно копировали еще полвека назад: силиконовые подушечки с таким же рисунком, как и у вас, помогали преступникам оставаться на свободе, «подставляя» совершенно невиновных людей.

Сегодня отпечатки легко «снять» с помощью камеры высокого разрешения на расстоянии до 6 метров, что успешно было продемонстрировано еще в 2008 году немецкими хакерами: они распечатали отпечаток пальца министра внутренних дел ФРГ, переснятый со стакана, из которого он пил на пресс-конференции. Перенести их с помощью лазера на силиконовые подушечки и совершить какое-то действие «от имени» чиновника (скажем, ограбить ювелирный магазин) — уже проще простого.

Взломать смартфон с помощью бумажных отпечатков пальцев удалось в августе 2016 года американским специалистам по кибербезопасности. Полицейские попросили их помочь разблокировать телефон погибшего мужчины. Его отпечатки были в полицейском досье, и на их основе сделали «искусственный» палец.

Хакерам же даже не нужен физический доступ. Специалисты в области компьютерной безопасности из FireEye весной 2015 года обнаружили опасную брешь безопасности, которая связана с биометрическими сенсорами Android-смартфонов HTC One Max, Samsung Galaxy Note 4, Samsung Galaxy S5 и Galaxy S6.

Созданный на смартфоне образ отпечатка может быть похищен хакерами и впоследствии использован для получения доступа от имени его владельца. 

Впрочем, поскольку на смартфонах при несоответствии отпечатка пальца сохраненному образу в конечном итоге все равно приходится вводить пароль, надежность защиты здесь ровно такая же низкая, как у обычного пароля, и датчик нужен лишь для того, чтобы не вводить пароль вручную каждый раз.

А вот случаев массового взлома систем на основе сканирования радужной оболочки глаза, как в новом Samsung Galaxy Note 7, пока не известно.

Однако эксперты предсказывают, что в недалеком будущем это будут делать с помощью камер сверхвысокого разрешения (уже сейчас существуют модули в несколько гигапикселей), установленных на дронах. Пролетев над толпой, такой дрон сфотографирует в достаточном для авторизации качестве глаза сразу нескольких сотен и тысяч человек.