Костянтин Кривопуст: як дипфейки впливають на фінтех в Україні та чи можна захиститися від зростаючої загрози

Зростання шахрайства з дипфейками становить собою серйозний виклик для різних галузей, у тому числі FinTech. Відповідно до нещодавнього звіту платформи перевірки особи Sumsub, у 2023 році кількість інцидентів deepfake у секторі фінансових технологій зросла на 700% порівняно з попереднім роком.

В матеріалі представлено дослідження впливу технології deepfake на фінтех сектор України від експерта в області міжнародного фінансового права Костянтина Кривопуста.

Дипфейки та їх вплив на фінансові установи

Deepfake – це методика синтезу автентичної інформації щодо людини, яка базується на штучному інтелекті. Найчастіше вона використовується зловмисниками для поєднання і накладення одних зображень та відео на інші зображення або відеоролики. У результаті створюється контент, який виглядає абсолютно реальним.

Оскільки deepfake стає більш вдосконаленим та доступним, фінансові установи стикаються з новими загрозами шахрайства, які ставлять під сумнів основи довіри, безпеки та конфіденційності даних у секторі, від онлайн-банкінгу до комунікацій. Потенціал deepfake для імітації клієнтів, чиновників чи будь-якої ключової особи у фінансових транзакціях відкриває «скриньку Пандори» з можливостями шахрайства.

Довіра є дуже важливим елементом відносин фінансової установи та клієнта, адже клієнти довіряють свої особисті та фінансові дані установам з очікуванням максимальної конфіденційності та безпеки. Дипфейки вносять розлад у цей зв’язок. Якщо клієнт не може бути впевненим, що працівник фінустанови, з яким він спілкується по відеодзвінку, є справжнім, або якщо установа не може довіряти автентичності інструкцій, отриманих від людини, яка є високопоставленим керівником, то сама основа довіри починає руйнуватися. Зниження довіри може мати довготривалі наслідки та стримувати клієнтів від співпраці з цифровими банківськими та фінансовими послугами або підривати довіру інвесторів.

Технології deepfakes можуть негативно впливати на індустрію FinTech таким чином:

1. Крадіжка ідентичності та шахрайські транзакції. Технологія deepfake дозволяє зловмисникам створювати дуже переконливі фальшиві відео або аудіозаписи осіб. У контексті FinTech це може бути використано для підробки клієнтів або навіть вищих керівників у фінансових установах. За допомогою цих відео зловмисники можуть потенційно отримати доступ до конфіденційної інформації, маніпулювати фінансовими транзакціями або авторизовувати шахрайські платежі.
2. Атаки з використанням соціальної інженерії. Технологія deepfakes використовується для підвищення ефективності атак з використанням соціальної інженерії. Все, що ще вчора шахраї робили використовуючи велику кількість різноманітних рішень, сьогодні втілюється в життя завдяки технологічній еволюції «human engineering» та автоматизується за допомогою генеративних моделей. Шляхом створення фальшивих відео або аудіозаписів довірених осіб шахраї можуть ввести в оману працівників або клієнтів, щоб вони розкрили конфіденційну інформацію або виконали несанкціоновані дії. Це може призвести до витоку даних, фінансових втрат або навіть зміни репутації для фінансових установ.
3. Маніпулювання ринком. У світі фінансів довіра та авторитет надзвичайно важливі. Дипфейки можуть підірвати цю довіру, поширюючи недостовірну інформацію або маніпулюючи настроями на ринку. Наприклад, фальшиві відео впливових осіб, які роблять недостовірні заяви про акції або криптовалюти, можуть спричинити панічний продаж або штучні коливання цін, що призведе до значних фінансових втрат для інвесторів.
4. Фальшиві докази в судових процесах. Технологія deepfakes може негативно впливати на судові процеси в індустрії FinTech. Шахраї можуть використовувати підроблені аудіо або відеодокази, щоб підтримати хибні твердження або анулювати законні транзакції. Це може ускладнювати розслідування, подовжувати судові процеси і, в підсумку, підривати цілісність правової системи.
5. Фішинг та атаки з використанням шкідливого програмного забезпечення. Deepfakes також можуть бути використані в атаках фішингу та шкідливого програмного забезпечення, які спрямовані на фізичних або юридичних осіб у FinTech секторі. Шляхом підробки довірених сутностей через фальшиві відео або аудіозаписи кіберзлочинці можуть заманювати жертв до клікання на шкідливі посилання, завантаження файлів з вірусами або надання конфіденційної інформації. Це може призвести до витоку даних, фінансової крадіжки або компрометації систем.
6. «Підрив» репутації. Збереження гарної репутації має вирішальне значення для приваблення клієнтів та інвесторів для FinTech компаній. Однак технологія deepfakes становить серйозну загрозу збереженню позитивної репутації. Один переконливий відеоролик, у якому генеральний директор підтримує неетичні практики або робить образливі висловлювання, може завдати величезної шкоди репутації всієї організації, призводячи до втрати довіри та авторитету на ринку.
7. Виклики відповідності регулятивним вимогам. Зростання deepfakes створює виклики відповідності регулятивним вимогам для індустрії FinTech. Регуляторні органи можуть мати складнощі у виявленні та запобіганні поширенню шахрайського вмісту deepfakes, що призводить до прогалин у регулятивних рамках. До того ж, використання deepfake у фінансових злочинах може змусити регуляторів запроваджувати більш суворі правила та вимоги відповідності, що збільшує операційне навантаження для фінансових установ.
8. Зниження довіри до цифрових ідентичностей. У цифровому світі довіра до цифрових ідентичностей є вирішальною. Однак поширення технології deepfakes загрожує цій довірі. Зі зростанням складності й поширенням дипфейків люди можуть стати більш скептичними до цифрових комунікацій та транзакцій, що призведе до неприйняття FinTech-рішень та стримування темпів розвитку галузі.

Як дипфейки впливають на фінтех в Україні

Автор дослідження ініціював опитування, яке провели серед учасників фінтех-ринку. У процесі опитування респондентів попросили проранжувати ризики deepfakes в порядку їх потенційної загрози для діяльності фінтех-сектору.

Згідно з результатами, найбільшими ризиками респонденти вважають репутаційні ризики та ризики комплаєнсу. Очевидно, що ці ризики можна назвати стратегічними, бо їх вплив має значні негативні перспективи для будь-якого підприємства саме у часі. Фішинг, вразливості цифрової ідентичності, атаки, крадіжки, фальшиві транзакції та маніпулювання ринком – це прийоми та методи, що підтверджують тактичні ризики середньої та короткострокової перспективи та мають менш негативний вплив і наслідки, але зазначаються респондентами як актуальні та релевантні.

Очевидним є той факт, що кожен користувач цифрових сервісів має дотримуватися правил кібергігієни та з обережністю використовувати програмні додатки, що збирають біометричні дані, особливо в соціальних мережах. 83% опитаних респондентів підтвердили, що вони постійно використовують біометричну автентифікацію (обличчя, голос чи відбиток пальця), 6% – використовували, але відмовились.

Будь-які біометричні дані зберігаються у захищеній області пам’яті смартфона з обмеженими можливостями доступу для зловмисників. Процес порівняння обличчя із шаблоном в процесі біометричної аутентифікації також відбувається у захищеному режимі. З погляду клієнт-серверної архітектури «цифровий ключ» обличчя не передається у відкритому вигляді, використання асиметричної криптографії дозволяє використовувати лише публічний ключ, а приватна частина ключової пари знаходиться виключно на смартфоні в коді ОС. Тобто за умов використання біометричної автентифікації на смартфоні у якомусь фішинговому додатку неможливо перевикористати «відбиток» у додатку банку. Аналогічна ситуація використанням додатків у соціальних мережах, які створюють нові образи з використанням ваших біометричних даних.

Ці показники свідчать про доволі низьке усвідомлення користувачами потенційних ризиків deepfake-шахрайств з використанням їхніх персональних даних. При цьому 94% опитаних представників FinTech-ринку знають, що таке deepfakes, проте лише 45% відповіли, що вважають це потенційною загрозою для їхнього бізнесу. На питання щодо потенційного рівня ризику deepfakes у FinTech секторі, за п’ятибальною шкалою, було отримано середнє значення на рівні 4,5 бала.

При ідентифікації клієнта FinTech-компанії можуть використовувати різноманітні заходи, які мають на меті забезпечення цифрової безпеки. Опитані представники FinTech сектору найчастіше усвоїй діяльності використовують багатофакторну автентифікацію – 74%, та біометрію обличчя – 68%. При поєднанні кількох інструментів ідентифікації клієнтів суттєво підвищується ефективність заходів безпеки FinTech сервісів. За результатами опитування встановлено, що 67% FinTech-компаній у своїй діяльності використовують більше ніж один інструмент ідентифікації клієнта.

Майже 70% опитаних представників FinTech-сектору констатували, що їхні компанії мають дуже низький та низький рівень готовності до викликів deepfake-шахрайства. Проте ряд компаній працюють над створенням стратегій запобігання таким шахрайствам (44%), деякі вже її мають (17%), а 39% – не вбачають в цьому потреби сьогодні.

Як захиститися від дипфейків?

З метою пом’якшення ризиків deepfake-шахрайства доцільно використовувати різноманітні комбінації інструментів та застосовувати різні заходи безпеки, вибір яких залежить від специфіки діяльності фінансової установи. До таких інструментів відносяться:

1. Технологічні рішення та інновації:

• виявлення deepfake за допомогою ШІ та машинного навчання. Використовуючи ті ж технології, які дозволяють створювати deepfake, фінансові установи можуть запровадити вдосконалені алгоритми ШІ, призначені для виявлення аномалій і неузгодженостей у звукових та відеофайлах, які можуть вказувати на deepfake. Ці інструменти аналізують різні аспекти, такі як вираз обличчя, рухи губ та мовні моделі, для виявлення розбіжностей, які важко помітити людині;
• блокчейн для цифрової верифікації. Впровадження технології блокчейну може покращити цілісність цифрових ідентичностей та транзакцій. Створюючи незмінний реєстр для перевірки автентичності документів та комунікацій, блокчейн може забезпечити надійний захист від маніпуляцій інформацією;
• покращена біометрична верифікація. Розробка більш удосконалених методів біометричної верифікації, що здатні виявляти «живість» суб’єкта, може допомогти протидіяти імітаціям deepfake. Техніки, такі як тривимірне картографування обличчя, розпізнавання райдужки та аналіз текстури шкіри, можуть додавати шари безпеки, які більш стійкі до технології deepfake.

2. Посилення політик та протоколів:

• регулярні аудити безпеки. Проведення ретельних та регулярних аудитів систем безпеки та протоколів гарантує, що вразливості виявляються та вирішуються негайно. Ці аудити повинні включати оцінку можливих загроз deepfake та ефективності інструментів їх виявлення;
• навчання співробітників. Обізнаність співробітників щодо природи та ризиків deepfake є ключовим. Програми навчання повинні включати виявлення ознак спроб deepfake, протоколи перевірки інформації та повідомлення про підозрілі дії;
• навчання клієнтів. Інформування клієнтів про потенційні ризики deepfake, поради щодо захисту їх облікових записів та особистої інформації може надати їм можливість бути більш обачними та обережними у своїх взаємодіях.

3. Регуляторна/галузева співпраця:

• обмін інформацією. Фінансові установи можуть скористатися обміном інформацією та найкращими практиками, що стосуються виявлення та запобігання deepfake. Спільні зусилля, через асоціації галузі або партнерства, можуть покращити загальну безпеку;
• просування регуляторних стандартів. Співпраця з політиками для розробки регуляцій та стандартів, спеціально призначених для технології deepfake, може допомогти встановити єдиний підхід до мінімізації її ризиків.

4. Етичні питання та приватність: при реалізації цих заходів надзвичайно важливо забезпечити баланс між підвищенням рівня безпеки та повагою до приватності та етичними моментами. Будь-які технологічні або процедурні зміни повинні відповідати законам приватності та поважати права окремих осіб.

Вибір стратегії залежить від багатьох факторів та умов діяльності кожного конкретного суб’єкта FinTech ринку. Поєднання кількох методів може забезпечити більш комплексний захист від дипфейків. Окрім того, важливо, щоб держава нормативно урегульовувала процеси запобігання deepfakes у FinTech секторі. Цю тезу підтверджують представники опитаних FinTech компаній – 89% вважають, що держава обов’язково має долучатись до цих процесів та створювати відповідні регуляторні механізми.

Загалом фахівці українського FinTech сектору прогнозують, що у середньостроковій перспективі вітчизняний ринок очікують прояви ризиків deepfake-шахрайств. Тому фінтехам варто заздалегідь готуватися до подібних кейсів, запроваджувати відповідні правила безпеки та рекомендації, у тому числі у співпраці з органами державної влади.