Banki na całym świecie zapewniają, że identyfikacja głosowa jest całkowicie bezpiecznym sposobem logowania się na konto. Weryfikacja polegająca na możliwości zalogowania się przez telefon przy użyciu głosu jest coraz bardziej powszechna. Niektóre banki reklamują ją jako coś porównywalnego do logowania się przy pomocy odcisku palca. Okazuje się jednak, że przechytrzyć system nie jest wcale tak trudno. Dowodem na to jest przypadek dziennikarza portalu „Vice”, który dokonał tego przy pomocy darmowych oraz tanich generatorów głosu SI.
Czytaj więcej
71 proc. Polaków czuje się bezpiecznie korzystając z bankowości elektronicznej. Ale tylko 51 proc. deklaruje, że posiada zainstalowane i aktualne oprogramowanie antywirusowe na telefonie komórkowym, a 44 proc. stosuje kod PIN.
Zabezpieczenia oparte na weryfikacji głosu nie są niezawodne
Dziennikarz „Vice’a” w pierwszej kolejności zadzwonił na automatyczną linię obsługi swojego banku. Poproszono go wówczas, by własnymi słowami opisał, w jakim celu się skontaktował. Do słuchawki puścił on wówczas ściągnięty plik dźwiękowy o treści: "Sprawdź moje saldo”. Głos został wcześniej wygenerowany przy użyciu łatwo dostępnej technologii sztucznej inteligencji.
Bank poprosił następnie o wpisanie lub wypowiedzenie daty urodzenia użytkownika – był to pierwszy element uwierzytelnienia. Po jej podaniu automatyczny konsultant poprosił o wypowiedzenie słów „mój głos jest moim hasłem'". Mężczyzna odtworzył wcześniej ściągnięty plik audio o tej właśnie treści. Choć system bezpieczeństwa spędził dobrych kilka sekund na uwierzytelnianiu głosu, to ostatecznie zaakceptował go, udostępniając dostęp do konta, a tym samym do sald, listy ostatnich transakcji czy przelewów.
Choć w tym przypadku do oszustwa potrzebna była także data urodzenia, to zdobycie tego rodzaju danych także nie jest dziś czymś trudnym.
„Bank myślał, że rozmawia ze mną. Głos wygenerowany przez SI z pewnością brzmiał tak samo jak mój” – czytamy w artykule.
Czytaj więcej
Oszuści wysyłają fałszywe wiadomości, które wyglądają podobnie do maili z wyciągami okresowymi. Nie otwieraj załączników - to złośliwe oprogramowanie! Możesz stracić pieniądze i kontrolę nad kontem – przestrzega bank PKO BP.
Eksperyment, który przeprowadził dziennikarz „Vice’a” całkowicie burzy koncepcję mówiącą o tym, że biometryczne zabezpieczenia oparte na weryfikacji głosu zapewniają niezawodną ochronę. Tym bardziej, że obecnie właściwie każdy może wygenerować syntetyczny głos. W niektórych przypadkach nawet bezkosztowo.
Eksperci, z którymi rozmawiał magazyn, apelują do banków o całkowite wycofanie uwierzytelniania głosowego, mimo że nadużycia prawdopodobnie nie będą aż tak częste. - Polecam wszystkim organizacjom wykorzystującym uwierzytelnianie głosowe przejście na bezpieczną metodę weryfikacji tożsamości, jak wieloczynnikowe uwierzytelnianie. I to jak najszybciej. Tego rodzaju replikacja głosu może zostać przeprowadzona nawet bez wchodzenia w interakcję z daną osobą w prawdziwym życiu - podkreśliła Rachel Tobac, dyrektor generalna firmy SocialProof Security.
ElevenLabs, darmowa usługa generowania głosów, z której korzystał dziennikarz, wcześniej używana była między innymi w celu nękania konkretnych osób. Wykorzystując klipy opublikowane w sieci, program stworzył kopie głosów ludzi bez ich zgody. Potencjalnie więc każdy, kto upublicznił choć krótkie nagranie swojego głosu w Internecie, może stać się ofiarą tego rodzaju ataków.
„Twój głos jest unikalny”? Jednak nie
Co ciekawe, dziennikarz przeprowadził eksperyment na brytyjskim banku Lloyds Bank, który na swojej stronie internetowej twierdzi, że jego program "Voice ID" jest całkowicie bezpieczny. "Twój głos jest jak twój odcisk palca i jest dla ciebie unikalny. Voice ID analizuje ponad 100 różnych cech twojego głosu, podobnie jak w przypadku twojego odcisku palca. Dotyczy to na przykład sposobu, w jaki używasz ust i strun głosowych, twojego akcentu i szybkości mówienia. Rozpoznaje cię nawet wtedy, gdy jesteś przeziębiony lub boli cię gardło" - czytamy.
Czytaj więcej
Nigdy nie otwieraj żadnych linków, które rzekomo wysyła bank, nawet jeśli wiadomość wygląda na bardzo wiarygodną.
Podobne sposoby weryfikacji ma co najmniej kilka innych banków w Stanach Zjednoczonych.
Rzecznik Lloyds Bank w odpowiedzi na artykuł opublikowany przez „Vice’a” stwierdził, że "Voice ID jest opcjonalnym środkiem bezpieczeństwa”. „Jesteśmy pewni, że zapewnia wyższy poziom bezpieczeństwa niż tradycyjne metody uwierzytelniania, a nasze warstwowe podejście do bezpieczeństwa i zapobiegania oszustwom zapewnia odpowiedni poziom ochrony kont klientów, jednocześnie ułatwiając dostęp do nich w razie potrzeby” – zaznaczył.
