Специалист иностранного профильного издания Motherboard позвонил в колл-центр своего финансового учреждения и применением предварительно искусственно сгенерированного голоса попросил систему о предоставлении информации о своём балансе.
После получения запроса робот попросил пользователя ввести или назвать дату его рождения, что является первой частью идентификации. Специалист с помощью сервиса подделки голоса назвал дату рождения. На второй стадии проверки надо было сказать фразу для авторизации «Мой голос — мой пароль». Экспериментатор снова воспроизвёл звуковой файл с компьютера, после чего система защиты финансового учреждения смогла идентифицировать голос и предоставила полный доступ к данным о банковском счёте человека, в том числе к балансу, перечню последних совершённых транзакций и переводов.
Отдельно отмечается, что в ряде случаев некоторые финансовые организации при звонке по телефону и последующей идентификации также позволяют выполнить перевод денежных средств другим.
Для создания имитации своего голоса специалист издания Motherboard воспользовался полностью бесплатным сервисом генерации голоса ElevenLabs. Автор эксперимента записал примерно несколько минут своей речи, после чего загрузил её в сервис. Искусственный голос в дальнейшем произносил любые введённые пользователем фразы.
Уточняется, что тестирование проведено в отношении колл-центра крупного банка Великобритании Lloyds Bank. Несколько раз подряд во время попыток система не пропускала специалиста, не позволяла ему авторизоваться, потому что не могла аутентифицировать голос. После того как в настройки сервиса ElevenLabs экспериментатор внёс некоторые изменения (в частности, он прочитал более длинные тексты и создал более естественное окончание фраз), сгенерированный голос с успехом смог обойти систему кибербезопасности банк.
Подчеркивается, что для проведения подобной кибератаки на внутренние системы банка для получения доступа к информации о счёте клиента злоумышленникам необходимо знать точную дату рождения жертвы, с поиском который у киберпреступников вряд ли возникнут какие-то проблемы в современных условиях.
Представители Lloyds Bank заявили, что знакомы с проблемой использования искусственных голосов для получения доступа к информации о счёте клиентов, но не регистрировали на данный момент случаев, когда такие атаки применялись для мошенничества в отношении клиентов финучреждения.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
