Искусственно сгенерированный голос обманул систему безопасности и открыл доступ к банковскому счёту.
Эксперт издания Motherboard позвонил в колл-центр банка и с помощью искусственно сгенерированного голоса попросил проверить баланс. Затем робот попросил ввести или сказать дату рождения в качестве первой части аутентификации.
После этого нужно было сказать фразу для входа: «Мой голос — мой пароль». Эксперт снова воспроизвел звуковой файл с компьютера. Система безопасности идентифицировала голос и открыла доступ к информации о банковском счёте, включая остаток и список последних транзакций и переводов. Стоит отметить, что в некоторых банках по телефону также можно осуществлять перевод средств.
В данном случае специалист использовал бесплатный сервис генерации голоса от ElevenLabs. Чтобы создать голос, автор эксперимента записал около 5 минут своей речи и загрузил ее в ElevenLabs. Синтетический голос произносил любой введённый текст.
Этот тест был проведён в британском банке Lloyds Bank, но несколько раз терпел неудачу – система Lloyd Bank не могла аутентифицировать голос. После внесения некоторых изменений в настройки ElevenLabs, таких как чтение более длинного текста, чтобы окончания фраз звучали более естественно, сгенерированный звук успешно обошел систему безопасности банка.
Для этой конкретной атаки мошенник должен знать дату рождения жертвы, которую легко найти во множестве утечек данных в Интернете, у брокеров доступа или людей, которые показывают свою дату рождения в соцсетях.
Lloyds Bank заявил, что знает об угрозе синтетических голосов, но не видел случаев, когда такой голос использовался для мошенничества в отношении его клиентов. По словам Lloyds Bank, синтетические голоса не так привлекательны для мошенников, как другие гораздо более распространенные методы, а голосовая идентификация привела к значительному снижению мошенничества с телефонным банкингом.
Некоторые эксперты теперь призывают банки полностью отказаться от голосовой аутентификации, хотя в настоящее время злоупотребления в реальном мире могут быть редкостью.
Банки в США и Европе используют голосовую проверку для доступа к счёту по телефону. Но этот эксперимент разрушает представление о том, что биометрическая безопасность на основе голоса обеспечивает надежную защиту в мире, где теперь любой может генерировать синтетические голоса дешево, а иногда и бесплатно.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках