Duży bank wycofuje popularną usługę. Przestała być bezpieczna - klienci muszą to wiedzieć
Konfrontacja kreatywności cyberprzestępców i skuteczności zabezpieczeń to pole nieustannych potyczek - obie strony prześcigają się w pomysłach, a cyberbezpieczeństwo, jak to cyberbezpieczeństwo, nigdy nie jest stuprocentowe. Część mechanizmów uważanych dotąd za bezpieczne przestaje takimi być. Przekonają się o tym klienci banku Santander.
Santander Bank Polska kończy z biometrią. Na razie głosową
Jeszcze w czasach, gdy Santander Polska działał pod marką BZ WBK, na bankowej infolinii wprowadzono mechanizm uwierzytelniania wykorzystujący biometrię głosową . Klienci mogli pozostawiać swoje próbki głosu, bank je przetwarzał, a przy kontakcie telefonicznym możliwe było potwierdzenie swojej tożsamości dzięki weryfikacji zgodności mowy dzwoniącego z przechowywaną przez bank próbką. Było, bo Santander Bank Polska zdecydował się na porzucenie obsługi biometrii głosowej.
Decyzję tę podjęto oczywiście za sprawą rozwoju oprogramowania umożliwiającego wierne fałszowanie głosu. Takie oprogramowanie jak VALL-E umożliwia dziś kradzież czyjegoś głosu i możliwość generowania mowy z jego użyciem na podstawie zaledwie kilkusekundowego nagrania. Wystarczy więc, że cyberprzestępca zadzwoni do nas i nagra rozmowę lub znajdzie nagranie w mediach społecznościowych, by móc sklonować głos . Następnie może próbować uwierzytelnić się podczas rozmowy z infolinią Santandera. Wielokrotnie dowiedziono już, że sposób ten jest skuteczny i kradzież głosu jest możliwa z użyciem niedrogich lub wręcz darmowych, ogólnodostępnych narzędzi SI.
Santander całkowicie porzuci uwierzytelnianie z użyciem głosu. Zbyt łatwo je oszukać
Jak informuje cashless.pl, w odpowiedzi na rozwój deep fake’ów Santander Bank Polska zdecydował się, aby całkowicie wyłączyć możliwość uwierzytelniania się z użyciem głosu na infolinii. Informację tę potwierdziło już biuro prasowe banku:
Bank stale dostosowuje metody identyfikacji do współczesnych standardów bezpieczeństwa, monitoruje trendy rynkowe oraz poprawia doświadczenia klienta. Wkrótce zaoferujemy klientom nowe metody identyfikacji oparte o aplikację mobilną, które zastąpią używaną obecnie metodę opartą o biometryczną weryfikację próbki głosu.
Jak nowa metoda uwierzytelniania z użyciem aplikacji mobilnej podczas kontaktu z infolinią będzie działać w praktyce? Można spodziewać, że się, że skopiowane zostaną mechanizmy stosowane przez konkurencję. Po zalogowaniu się w aplikacji - loginem i hasłem, PIN-em czy odciskiem palca - możliwe będzie zadzwonienie do banku już po uwierzytelnieniu. Konsultant już w trakcie łączenia będzie dysponował informacjami, kto dzwoni i czy jego tożsamość została potwierdzona. Cały proces uwierzytelniania będzie się więc dokonywał lokalnie , jeszcze na urządzeniu klienta.
Gdy deep fake rozwija się w zastraszającym tempie, biometria trafi do kosza?
Można się spodziewać, że wkrótce banki zaczną porzucać kolejne metody biometrycznej weryfikacji tożsamości, które w związku z rozwojem mechanizmów deep fake przestaną stanowić jakiekolwiek zabezpieczenie . Prędzej czy później wypadną one także z innego rodzaju aplikacji. Zastanowić należy się zwłaszcza nad biometrią twarzy, która tylko w nielicznych przypadkach weryfikuje obraz z użyciem podczerwieni, by sprawdzać, czy ma do czynienia z obiektem trójwymiarowym. We wszystkich smartfonach, które tego nie robią, skanowanie twarzy trudno dziś już traktować poważnie jako środek ochrony informacji.