Почему оплата по биометрии — это безопасно
Оплачивать покупки по Face ID или Touch ID — это удобно. Минимум взаимодействий: не нужно вводить номер карты и CVV. Но даже биометрические данные можно подделать. Выяснили, как компании и банки борются с таким мошенничеством.
Как работает биометрия и как её обманывают
Биометрические данные — это ваши уникальные биологические и физиологические характеристики: лицо, голос, рисунок отпечатка пальца или радужной оболочки глаза. Их используют для идентификации пользователя при оплате или оказании услуг удалённо. Например, с помощью биометрических данных вы можете оплачивать покупки картой, не прикладывая пластик к терминалу, полностью бесконтактно.
Чтобы система начала вас узнавать, нужно согласиться на обработку биометрических данных и сдать их. Каждый раз при использовании ваше изображение будут сравнивать с контрольными данными, которые вы сдавали впервые. Аналогично айфон при первой активации запоминает мимику вашего лица и отпечаток пальца, а потом каждый раз ищет сходства с первой версией.
Обмануть биометрию сложнее, чем получить доступ к контрольным вопросам или кодам из СМС для подтверждения оплаты. Самый простой и дешевый способ — подменить реального человека его фотографией или спроектировать 3D-модель лица, но это дорого и долго.
Мошенничество такого рода называется спуфингом.
Как компании защищают от взлома
Перед тем, как одобрить операцию, система проверяет, кто перед ней — реальный человек или его фотография. Такие методы защиты называются «liveness detection». Они бывают аппаратные и программные.
Аппаратные методы — значит с использованием дополнительного оборудования: инфракрасных, термальных, 3D-камер, дополнительных датчиков. Это дорого, но эффективно. Их внедряют производители мобильных телефонов, от чего цена устройств растёт и становится доступна не всем. В этом минус таких методов.
Есть и другие способы — программные. Не требуют дополнительного оборудования и работают на всех устройствах с Face ID. Чтобы отличить реальное лицо от поддельного, система просит пользователя что-нибудь сделать: моргнуть, повернуть голову, улыбнуться. Она анализирует человеческое лицо как 3D-объект, поэтому фотография проверку не пройдёт.
Программные методы называются «активными», потому что требуют участия пользователя. Их можно обойти, используя видеозапись или 3D-имитацию лица и мимики, но такие реплики дороги в производстве. Минус программных методов в том, что они всегда требуют дополнительного пользовательского участия.
В других случаях система использует плоское изображение и анализирует текстуры, тени и свет. Эти методы называются «пассивными», потому что незаметны пользователю.
Какие методы используют банки
Банки подходят к проблеме комплексно — используют и аппаратные, и программные средства защиты. На каждом устройстве с биометрией есть специальное оборудование:
- Бесконтактный датчик расстояния. Оплата с помощью биометрии происходит только когда клиент стоит прямо перед устройством. 3D-камера. Создаёт объёмное изображение и анализирует микромимику. Благодаря ей оплата по фото не пройдёт. NIR-камера ближнего инфракрасного диапазона. Она видит даже при плохом освещении, определяет температуру тела и подтверждает, что перед устройством действительно живой человек.
Расскажем на примере Сбербанка. На программном уровне он использует около 15 методов проверки. Часть из них реализована в приложении Сбербанк Онлайн. При сдаче биометрии в мобильном приложении вас попросят, например, повернуть голову влево, вправо, моргнуть.
Кроме основных liveness-методов, Сбербанк пользуется дополнительной защитой: шифрует данные (использует двустороннее TLS-шифрование) и проверяет подозрительные операции (фрод-мониторинг). Оплата всегда проходит через защищённый канал связи. Это исключает перехват данных от устройства до внутренней системы банка. Подозрительные операции по месту, времени и сегменту рынка строго контролируются и проверяются службой безопасности — банк связывается с клиентом, чтобы убедиться, что карта не захвачена мошенником.
Подробнее о том, какие ещё способы безналичной оплаты существуют, читайте в нашем спецпроекте.
Технологии близкого будущего: как работает биометрия в Сбербанке и что это дает клиентам?
Отпечаток пальца на смартфоне, бесконтактная оплата – все это начало длинного пути цифровизации, на которую нацелен весь мир. Уже не за горами будущее, когда платежные карты будут только виртуальными, а все операции можно будет проводить удаленно, используя собственные биометрические данные. Именно с этой целью в 2019 году была открыта государственная программа по созданию единой системы биометрических данных (ЕБС) в России, к которой присоединились большинство банков страны, в том числе и Сбербанк. Именно Сбербанк стал лидером по сбору биометрии, и обещает уже к концу 2021 года предоставлять многие услуги с помощью биометрии. Что это такое и для чего нужно, мы расскажем детальнее.
Что представляют собой биометрические данные?
Биометрия – это система, позволяющая идентифицировать личность человека, используя его уникальные физические характеристики (биометрические данные). В их числе: образец записи голоса, отпечаток пальцев и ладоней, рисунок кровеносных сосудов, радужки глаза, форма лица, а также поведенческие и физиологические характеристики, присущие конкретному человеку.
В обычной жизни мы идентифицируем голос на слух, или распознаванием лица близких собственными глазами. Но для банковской и глобальной системы нужны более точные электронные программы, которые способны распознавать человека по всем этим критериям без ошибок.
Примером использования биометрических данных являются терминалы в международных аэропортах, где происходит сверка отпечатков пальцев, снятых при оформлении загранпаспорта. Для этого разработаны сканеры, сопряженные с единой базой, в которой аккумулируются данные всех граждан, имеющих загранпаспорта.
Самой надежной биометрией является распознание по сетчатке глаза. Радужная оболочка глаза имеет уникальный рисунок, который остается неизменным на протяжении всей жизни. Однако проведение такой идентификации обходится довольно дорого.
Поэтому для банковской системы наиболее эффективны и доступны сканирование голоса и лица. На базе этих двух биометрических данных планируется проведение распознание клиента любым банком и порталом Госуслуги, что упростит доступ к большинству операциям даже без наличия паспорта, карты или мобильного.
Как осуществляется сбор биометрических данных и для чего это нужно?
Идентификация по голосу будет применяться в работе с контакт-центром. Буквально пары слов хватит для идентификации клиента при звонке на горячую линию – сотрудникам банка не нужно будет спрашивать ваши паспортные данные и тайное слово. Сразу после приветствия система распознает клиента и откроет информацию о нем.
Сбор биометрических данных осуществляется двумя способами:
Фактически процедура займет не более 2 минут. А в перспективе реально сэкономит время при идентификации и получении нужных банковских услуг.
Как подключить биометрию самостоятельно?
Дав согласию на сбор биометрии, вы автоматически попадаете в реестр клиентов, которые могут использовать «оплату взглядом» или подтверждение операции голосом. Остается только активировать эту услугу одним из удобных способов:
Если вы уже дали согласие на обработку биометрических данных, а образцы лица и голоса уже есть в базе, значит, достаточно включить функцию «оплаты одним взглядом». Для этого нужно:
Если в магазинах уже будет установлен сканер для оплаты по изображению лица, значит вам не нужно доставать карту, достаточно посмотреть в камеру, операция подтвердится, а деньги тут же спишутся со счета.
Так ли безопасна биометрия?
Сегодня мошенники все активнее используют сложные схемы, чтобы опустошать счета обычных людей. В большинстве случаев клиенты банков, сами того не понимая, дают доступ к своим картам, ответив на наводящие вопросы злоумышленников. По мнению экспертов в области кибербезопасности, единственный способ обезопасить себя и свои средства – надежно защитить их кодом, который невозможно получить обманным путем.
С помощью биометрии и создается уникальный код, в виде которого хранятся данные человека. База защищена сложной системой шифрования, что гарантирует ее сохранность даже в случае взлома мошенниками. Ведь код и ключ хранятся на совершенно разных серверах.
Подделать биометрические данные практически невозможно. Да и потерять их тоже довольно сложно, разве только если сорвать голос или сильно повредить лицо. Ваш ключ к идентификации всегда при вас, а значит осуществить большинство финансовых и других операций, можно даже не имея с собой документов для удостоверения личности.
Единственная серьезная проблема с использованием биометрии – это ее довольно высокая стоимость. Ведь оборудование для обработки данных должно быть максимально высокоточным, а программное обеспечение требует определенных навыков использования. Поэтому очень быстро биометрия работать, скорее всего, не сможет – все же есть определенный предел технологии.
Можно ли отказаться от использования ваших биометрических данных?
В интернете в последнее время появилось множество отзывов, в которых пользователи жалуются, что им отказали в оказании услуг, если они не согласились сдать свою биометрические данные. Стоит заострить внимание, что в Сбербанке сдача биометрических данных официально носит исключительно добровольный характер. Поэтому, если вам отказывают в предоставлении услуг, нужно сразу звонить на горячую линию или писать жалобу. Ведь внутренние документы не отменяют право на получение любых услуг при предоставлении паспорта.
При этом если вы уже сдали свою биометрию, но по каким-то причинам решили отозвать свое разрешение, тогда нужно подать письменное заявление непосредственно в офис Сбербанка или отправив его из личного кабинета. Право на отзыв биометрических данных закреплен ФЗ №152 «О персональных данных».
Стоит заметить, что в письме с ответом банка вы прочтете, что помимо биометрии лица и голоса банк может в одностороннем порядке получить и другие ваши биометрические данные: образцы лица, голоса, рисунка кровеносных сосудов, ладоней, глаз, отпечатков пальцев, радужки сетчатки глаза, поведенческих характеристик и иных физиологических биометрических персональных данных для оказания банковских услуг.
После отзыва биометрии вы не сможете получить банковские услуги предложенным бесконтактным способом. Однако вы точно обезопасите себя от передачи ваших данных третьим лицам, что прямо прописано в условиях соглашения. Право на передачу ваших данных банку дает федеральная программа по созданию ЕБС с целью предоставления доступа к большинству услуг в различных организациях и банках, сдав единожды свои данные.
Если вы не хотите, чтобы данные ваши были доступны, вы имеете право их отозвать. В дальнейшем, если какие-либо операции будут все же проведены с помощью вашей биометрии, вы можете оспорить их через суд, предоставив ответ банка о запрете на использование полученных ранее данных.
Заключение
В целом глобальная цифровизация должна серьезно упростить жизнь людей, поэтому в сдаче собственных биометрических данных нет ничего страшного, тем более что полученные данные хорошо кодируются. По одному взгляду в камеру вам откроют карту, выдадут кредит, вы сможете воспользоваться большинством услуг на портале Госуслуг. Но если вы не желаете становиться частью этой системы, тогда вы имеете право отказаться от сдачи образцов голоса и лица и можете продолжать использовать привычный способ идентификации по паспорту.
Как Сбербанк собирает согласие на обработку биометрии
TL;DR: Сбербанк собирает согласие на сбор и обработку биометрических данных без нормального информирования своих клиентов об этом.
Вступление
Если говорить о биометрических данных, то пока самым интересным сектором для их применения в частном бизнесе является банкинг. Суть простая — биометрия может добавить дополнительный слой безопасности в отношения между банком и клиентом, тем самым отрезав ряд совсем глупых мошенников.
Однако, законодательное регулирование отрасли пока слегка пробуксовывает — из-за величины Сбербанка, складывается ситуация, похожая на рынок переводов между картами: то есть, есть Сбербанк, который держит 80% рынка, и есть система от ЦБ РФ, присоединяться к которой Сбербанк не торопится без должной мотивации.
С биометрией дело обстоит так: есть Единая биометрическая система (ЕБС), ей управляет Ростелеком. Сбербанк против ЕБС, потому что у него есть своя система, в которой сбор данных — проще и уже «миллионы» клиентов.
Но минуточку.
Да, внезапно возникает вопрос — а что, действительно миллионы клиентов Сбербанка в России дали осознанное согласие на предоставление своих биометрических данных?
А что, действительно миллионы знают, что они его дали?
Поскольку я его недавно «дал» (разумеется, не осознанно), давайте я расскажу, как это выглядело.
Процедура
Началось все с того, что приложение «Сбербанк.Онлайн» стало предлагать ту самую биометрию предоставить. Я нажимал кнопочку «Не сейчас», но я не отказывался совсем. Я хотел больше узнать, что будет собираться и как.
Потом я пришел в отделение банка, прямиком в кассу, снять денег с карточки. И дальше произошло чудесное.
Кассир попросила вставить карту для подтверждения операции снятия. Я посмотрел на экран терминала, а там мелким шрифтом было написано что-то про биометрию.
Это и было мое мотивированное и осознанное согласие: кассир говорит «вставьте карточку».
То есть, еще раз: в замечательной системе Сбербанка («блокчейн», «бигдата», «машин лернинг») просто зажглась галочка «Пусть подпишет согласие». Информация об этом появилась у кассира, а та, не объясняя ничего, просто говорит: оставьте карту, введите ПИН-код и согласитесь.
Для снятия денег окошко терминала выглядит, разумеется, иначе.
Мог ли я полностью прочитать то, на что я соглашаюсь, с экрана терминала? Нет, конечно. Это маленький экран, а согласие, думаю, достаточно длинное. Можно ли вообще так собирать согласие? Конечно, нет. Это не может быть мотивированное и осведомленное согласие.
Обращение в Сбербанк
«Блокчейн», «бигдата», «машин лернинг» не помогли ассистенту в чате банка узнать, давал ли я согласие на обработку биометрии. Меня отправили звонить на горячую линию.
На горячей линии подтвердили, что я действительно дал согласие, но как конкретно и когда — такой информации у них нет. Еще бы.
Клиент нараспашку. Для чего Сбербанк собирает ваши биометрические данные и как это можно запретить
На что только не идут банки, чтобы официально получить биометрические данные своих клиентов. Например, Сбербанк на днях объявил о пилотном проекте — оплате в некоторых кафе по взгляду, без использования карты или телефона. Звучит очень продвинуто, но стоит ли доверять банку? Чем опасна биометрия и как запретить ему обработку вашего изображения и голоса.
Собственно, глава Сбербанка Герман Греф никогда не скрывал того, что в базе Сбербанка уже находятся «миллионы» образцов биометрических данных клиентов — без каких-либо официальных разрешений. Впрочем, даже он признаёт, что нынешние биометрические технологии недостаточно совершенны и 100% гарантий правильности идентификации пока не существует. Тем более что удобства дистанционной идентификации по видеоизображению, фотографии или голосу оценили не только банкиры, но и киберпреступники. Впрочем, несмотря на признание проблемы, в Сбербанке (как и других российских банках) от сбора биометрических данных не отказались, а наоборот — интегрировали эту опцию в большинство своих технологических процессов по работе с гражданами. И потихоньку легализуют данные, собранные ранее без всяких разрешений.
Например, нередко, вставив карту в терминал и подтвердив операцию, клиент даёт одновременно согласие на сбор своих биометрических данных. Это происходит, если клиент не удосужился прочитать текст, который выдал ему терминал в своём маленьком окошке (это и есть согласие), а введя ПИН-код, его подтвердил. Справедливости ради стоит уточнить, что согласие через терминал встречается нечасто, в большинстве случаев именно в Сбербанке граждане сами целенаправленно предоставляют свои биометрические данные в надежде на более удобное и простое обслуживание. Например, когда есть необходимость протестировать «будущие» технологии.
Чем опасно предоставлять биометрические данные
Традиционно россияне воспринимают сбор любой персональной информации с насторожённостью, и даже среди тех, кто передал свои биометрические данные добровольно, сейчас появилось много сомневающихся в правильности такого решения. И не без оснований. Проблема в том, что неясно, как именно в дальнейшем будут использованы эти данные. Особенно это актуально после того, как столичные суды в период самоизоляции стали штрафовать по данным камер наблюдения, хотя оштрафованные вовсе не давали разрешения на сбор и обработку своих биометрических данных столичному правительству. Кроме того, существует риск, что по биометрическим данным смогут получить кредиты мошенники.
Как подключить биометрию Сбербанка и почему это стоит сделать
Биометрия (биометрические данные) — это относительно новая технология, с помощью которой можно идентифицировать человека. Основными параметрами биометрии являются внешние характеристики.
Клиенты, зарегистрированные в системе и подключившие биометрические данные, могут решить многие вопросы без личного обращения. Сбербанк является одним из немногих, кто дает клиентам возможность взять кредит, открыть счет или выполнять переводы по биометрическим данным.
Что значит подключить биометрию в Сбербанке?
Сбербанк присоединился к Единой биометрической системе (она создана на базе Центрального Банка РФ, а продвижением ее занимается государство) и теперь может оформлять клиентов без паспорта, а используя биометрические данные. К ним относятся:
Интересно! Даже вены на руке могут служить идентификатором личности человека.
Клиент, который пройдет биометрическую регистрацию и привяжет данные к паспорту, сможет пользоваться многими услугами банка удаленно. Также будет предоставлен доступ и в другие организации, например Госуслуги.
Для чего нужна биометрия в Сбербанке?
Биометрия — это полноценная замена паспорта и даже немного больше. Зарегистрировавшись, клиент получает возможность проводить любые операции, в том числе оформлять кредит, находясь в другой стране. Также с помощью данной технологии можно без проблем использовать онлайн-сервисы Сбербанка.
Подключить биометрию Сбербанка легко, и поэтому многие пользователю проходят эту процедуру.
Такой доступ к системе выгоден и банку, и клиенту. Финансовой организации проще хранить информацию в цифровом формате и взаимодействовать через нее с клиентами. Подтвержденным в системе гражданам открываются максимальные возможности по использованию продуктов Сбера, при этом пользование ими упрощается: в большинстве случаях не нужно тратить время на личное обращение в отделение банка, предоставляя документы для идентификации личности.
Как подключить биометрию в Сбербанк Онлайн?
Необходимо будет сделать фото. Для этого приложение Сбербанк Онлайн запрашивает доступ к камере.
Важно учитывать правила, чтобы сделать снимок, соответствующий требованиям системы:
Только после этого система считает данные, запомнит их и внесет в базу.
Даже если через время клиент решит отрастить бороду или изменит прическу, система все равно узнает его. Когда делается фото, считывается овал лица, а не внешний вид.
Как подключить биометрию в Сбербанк через банкомат?
Подключить биометрию Сбербанка через банкомат практически невозможно. И на это есть несколько причин.
Тем не менее, в банкоматах начинают появляться значки «Обслуживание по биометрии». Однако стоит читывать, что пока снимать и класть наличные на счет нельзя. Пока можно выполнять переводы и оплачивать платежи. Но даже для этих операций банкомат запрашивает карту.
Важно! Проводя операции по биометрии на банкомате не стоит забывать, что это машина, и она может быть неисправна. Всегда надо проверять информацию, которая вводится.
Нужно ли подключать биометрию Сбербанк?
Подключение биометрии пока не является обязательным условием. Тем не менее система медленно двигается к тому, чтобы свести всю бумажную информацию в компьютер. Однако Единая биометрическая система разработана не банками, а государством, потому зачастую клиенты вынуждены подключать данную опцию.
Примечание! Каждый имеет право отказаться предоставлять свои биометрические данные. Но вместе с тем, банки имеют право отказать клиенту в проведении операций. Например, клиент отказался от рассматриваемой процедуры, а через некоторое время решает взять технику в кредит, Банк может отказать в одобрении заявки на займ, именно по этой причине. При этом клиент даже не узнает причину отказа.
Бывают случаи, когда клиент сначала дал согласие на использование биометрических данных, а после изменил свое решение. В таком случае надо будет обратиться в отделение Сбербанка, написать заявление и отозвать свое разрешение.
Стоит ли подключать биометрию в Сбербанке?
Здесь нельзя ответить однозначно. Данная опция появилась не так давно и не все еще привыкли к таким новшествам. Тем не менее при подключении биометрии есть определенные плюсы:
Систему распознавания крайне трудно обмануть, даже если попытаться изменить голос, то распознавание будет проводиться по тембру.
Минусы биометрии заключаются в том, что не все сервисы еще адаптировались под распознавание физиологических качеств человека. Но прогресс не стоит на месте, постепенно и эта ниша заполнится.
Единая биометрическая система начала свое действие не так давно, поэтому ожидать резких изменений не стоит. Тем не менее база банка постепенно пополняется, а клиентам открываются новые возможности. Биометрия очень скоро станет частью всех систем, в том числе медицины, торговли, образования и так далее. Уже сейчас надо пробовать разобраться в ней, научиться пользоваться доступными функциями.