eng
TS_pub
technospheramag
technospheramag
ТЕХНОСФЕРА_РИЦ
Выпуск #6/2016
Д.Костров
Бимодальная верификация по голосу/лицу с помощью мобильного приложения
Бимодальная верификация по голосу/лицу с помощью мобильного приложения
Просмотры: 3868
Одно из перспективных направлений верификации клиентов в мобильном банке – бимодальная верификация по голосу и/или лицу с помощью мобильного приложения.
Теги: bimodal verification information security verification of customers бимодальная верификация верификация клиентов информационная безопасность
Некоторые аналитические издания, подводя итоги 2015 года по вопросам информационной безопасности, отмечают, что в Российской Федерации через системы интернет-банкинга было похищено свыше 2,6 млрд. руб. При этом применение "троянов" под операционную систему Android позволило "умыкнуть" у физических лиц 61 млн. руб. Всего у физических лиц было украдено более 100 млн. руб. Конечно, самый большой ущерб понесли юридические лица – 2 млрд. руб. Также была новость об успешной атаке на биржевого брокера, нанесенный ущерб которому превысил 5 млн. долл. Курс в тот день колебался от 55 до 66 руб. за доллар. Взломы происходят не только в России, но и во всем мире (можно вспомнить про SWIFT).
Уже разрабатываются архитектуры для систем противодействия вредоносному программному обеспечению (рис.1). Типовой сценарий атаки на абонентские устройства предполагает два этапа: сперва заражение абонентского устройства (например, с применением массовой SMS-рассылки), затем инфицирование с возможностью удаленного управления. Одним из элементов защиты (можно реализовать на стороне оператора связи) – с учетом, что сам абонент не ставит защиту – может быть (проактивные действия) блокировка доступа к источнику распространения вредоносного программного обеспечения (предупреждение распространения заражения) и блокировка доступа к центрам управления (нарушение работоспособности вируса, разрыв мошеннической схемы).
К основным причинам появления атак относятся проблемы с аутентификацией клиента и мониторингом действий. Вряд ли имеет смысл описывать принципы аутентификации клиентов банков в мобильном и клиент-банке (все, кто пользуется этими услугами, знакомы с соответствующими принципами). Ни для кого не секрет, что классический механизм верификации клиентов в мобильном банке – SMS-верификация. Данный метод имеет существенные недостатки – дорого, неудобно и небезопасно. Уязвимость ОКС-7 позволяет реализовать перехват как внутри оператора связи, так и третьими лицами (широко обсуждался взлом Telegram и WhatsApp путем восстановления доступа по SMS с использованием уязвимостей протокола сигнализации ОКС-7).
Хотелось бы отметить, что одним из перспективных направлений является бимодальная верификация по голосу и/или лицу с помощью мобильного приложения. Также ведутся разработки по использованию мимики человека в качестве третьего эшелона защиты. Здесь и применяется подход к реальному использованию "больших данных". Клиент осуществляет вход в мобильный или клиент-банк с помощью бимодальной аутентификации, состоящей из проверки лица, голоса и / или по артикуляции и мимике (рис.2). Такой подход позволяет банкам и их клиентам:
упростить аутентификацию в мобильном банке;
проводить верификацию при совершении финансовых транзакций;
упростить дистанционное обслуживание;
предотвратить мошеннические действия;
значительно повысить лояльность клиентов, упрощая для них множество процедур и укрепляя общую безопасность;
проводить аутентификацию в информационных системах и обеспечивать дополнительную степень защиты при совершении критических операций.
На рис.3 показан принцип работы "черных списков", а рис.4 позволяет понять принцип работы верификации документа по считыванию и распознаванию паспорта.
Интересным направлением считается дистанционное обслуживание клиента с записью факта регистрации событий в blockchain (от англ. block – блок, chain – цепочка: выстроенная по определенным правилам цепочка из формируемых блоков транзакций), что дает возможность организовать дистанционное обслуживание посредством мобильного или веб-приложения, позволяющего создавать цифровой контент (фото, видео, аудио) и подписывать его при помощи технологии blockchain для подтверждения авторства и времени создания контента. В результате можно, например, распознать паспорт клиента через камеру мобильного устройства с автоматическим занесением распознанных данных в договор, сверить фото клиента и фото в паспорте. Кроме того, система позволит при зачитывании текста договора клиентом проводить сверку речи с текстом. Blockchain в данном случае подразумевает собой децентрализацию, тем самым исключая какие-либо дальнейшие правки или редактирования видеоинтервью. Таким обра-
зом гарантируется его подлинность (рис.5). Плюсы такого подхода:
сервис значительно упрощает регистрационный процесс и помогает предотвратить мошеннические действия;
обеспечивается надежная система верификации человека;
увеличивается приток клиентов для бизнеса;
значительно повышается лояльность клиентов, упрощается для них множество процедур и укрепляется общая безопасность.
Данное направление развивается в мире достаточно активно. Ждем соответствующих отечественных решений.
Уже разрабатываются архитектуры для систем противодействия вредоносному программному обеспечению (рис.1). Типовой сценарий атаки на абонентские устройства предполагает два этапа: сперва заражение абонентского устройства (например, с применением массовой SMS-рассылки), затем инфицирование с возможностью удаленного управления. Одним из элементов защиты (можно реализовать на стороне оператора связи) – с учетом, что сам абонент не ставит защиту – может быть (проактивные действия) блокировка доступа к источнику распространения вредоносного программного обеспечения (предупреждение распространения заражения) и блокировка доступа к центрам управления (нарушение работоспособности вируса, разрыв мошеннической схемы).
К основным причинам появления атак относятся проблемы с аутентификацией клиента и мониторингом действий. Вряд ли имеет смысл описывать принципы аутентификации клиентов банков в мобильном и клиент-банке (все, кто пользуется этими услугами, знакомы с соответствующими принципами). Ни для кого не секрет, что классический механизм верификации клиентов в мобильном банке – SMS-верификация. Данный метод имеет существенные недостатки – дорого, неудобно и небезопасно. Уязвимость ОКС-7 позволяет реализовать перехват как внутри оператора связи, так и третьими лицами (широко обсуждался взлом Telegram и WhatsApp путем восстановления доступа по SMS с использованием уязвимостей протокола сигнализации ОКС-7).
Хотелось бы отметить, что одним из перспективных направлений является бимодальная верификация по голосу и/или лицу с помощью мобильного приложения. Также ведутся разработки по использованию мимики человека в качестве третьего эшелона защиты. Здесь и применяется подход к реальному использованию "больших данных". Клиент осуществляет вход в мобильный или клиент-банк с помощью бимодальной аутентификации, состоящей из проверки лица, голоса и / или по артикуляции и мимике (рис.2). Такой подход позволяет банкам и их клиентам:
упростить аутентификацию в мобильном банке;
проводить верификацию при совершении финансовых транзакций;
упростить дистанционное обслуживание;
предотвратить мошеннические действия;
значительно повысить лояльность клиентов, упрощая для них множество процедур и укрепляя общую безопасность;
проводить аутентификацию в информационных системах и обеспечивать дополнительную степень защиты при совершении критических операций.
На рис.3 показан принцип работы "черных списков", а рис.4 позволяет понять принцип работы верификации документа по считыванию и распознаванию паспорта.
Интересным направлением считается дистанционное обслуживание клиента с записью факта регистрации событий в blockchain (от англ. block – блок, chain – цепочка: выстроенная по определенным правилам цепочка из формируемых блоков транзакций), что дает возможность организовать дистанционное обслуживание посредством мобильного или веб-приложения, позволяющего создавать цифровой контент (фото, видео, аудио) и подписывать его при помощи технологии blockchain для подтверждения авторства и времени создания контента. В результате можно, например, распознать паспорт клиента через камеру мобильного устройства с автоматическим занесением распознанных данных в договор, сверить фото клиента и фото в паспорте. Кроме того, система позволит при зачитывании текста договора клиентом проводить сверку речи с текстом. Blockchain в данном случае подразумевает собой децентрализацию, тем самым исключая какие-либо дальнейшие правки или редактирования видеоинтервью. Таким обра-
зом гарантируется его подлинность (рис.5). Плюсы такого подхода:
сервис значительно упрощает регистрационный процесс и помогает предотвратить мошеннические действия;
обеспечивается надежная система верификации человека;
увеличивается приток клиентов для бизнеса;
значительно повышается лояльность клиентов, упрощается для них множество процедур и укрепляется общая безопасность.
Данное направление развивается в мире достаточно активно. Ждем соответствующих отечественных решений.
Отзывы читателей
