Аутентификацию по голосу можно обмануть дипфейком с вероятностью до 99%

Татьяна Никитина 06 Июля 2023 - 14:57

...

Сотрудники канадского Университета Ватерлоо доказали, что меры против спуфинга, реализуемые в системах аутентификации по голосу, далеки от совершенства. Разработанный учеными метод обхода при тестировании показал эффективность 99% после шести попыток.

Аутентификация по образцу голоса все чаще используется в кол-центрах, системах ДБО, госсекторе и других сферах с повышенными требованиями к ИБ. Такие средства удостоверения личности полагаются на уникальность человеческого голоса, обусловленную анатомическими особенностями артикуляционного аппарата.

В рамках процедуры аутентификации по голосу, как пояснили исследователи, человека просят произнести определенную фразу. Система извлекает из образца голосовую подпись (отпечаток) и сохраняет ее на сервере. На следующий раз для повторения выдается другая фраза, отпечаток сравнивается с сохраненным, и по результатам доступ предоставляется или нет.

С появлением инструментов для создания дипфейков злоумышленники быстро сообразили, что это хорошая возможность для создания убедительных копий голоса с целью фрода. В ответ разработчики защитных решений стали принимать меры против таких имитаций; в настоящее время это в основном проверки на наличие в образцах признаков (маркеров) искусственного происхождения.

Программа синтеза речи, написанная канадцами в ходе исследования, использует алгоритмы машинного обучения и способна сгенерировать дипфейк по пятиминутной аудиозаписи. Она также умеет удалять артефакты, выдающие подлог, и обходить таким образом современную защиту от спуфинга.

Обучение системы проводилось на наборе из 107 образцов человеческой речи; для тестирования было создано множество дипфейк-аудио, способных ввести в заблуждение средства идентификации по голосу.

В 72% случаев исследователям удалось добиться успеха, вероятность обхода более слабых систем аутентификации оказалась еще выше — 99% за шесть попыток. Четырехсекундная атака на Amazon Connect показала 10% успеха; прогон тестов в течение 30 секунд повысил этот показатель до 40%.

Исследование выявило несовершенство современных мер защиты от спуфинга, реализованных в современных системах аутентификации по голосу. Университетские исследователи убеждены, что такую биометрию нельзя использовать как единственный способ удостоверить личность., нужны дополнительные средства — или более эффективные меры защиты от абьюзов.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 03 Апреля 2026 - 15:59

Соответствие законодательству РФ Корпорации Государство

Минцифры хочет снять мораторий на проверки операторов связи

Минцифры в рамках реформы системы управления отраслью связи обсуждает возможность снятия моратория на плановые проверки операторов. Речь идёт прежде всего о контроле за установкой систем хранения записей звонков и переписки, предусмотренных «законом Яровой».

О том, что Минцифры обсуждает отмену моратория на плановые проверки операторов, сообщил РБК со ссылкой как минимум на два источника в отрасли.

Мораторий на проверки, действующий до 2030 года, был введён в 2023 году. Он допускает проведение внеплановых проверок только на объектах чрезвычайно высокого и высокого риска, к которым отрасль связи не относится.

Как утверждают источники РБК, действующий мораторий мешает проверять операторов на предмет установки систем оперативно-розыскных мероприятий (СОРМ). Причём такие системы обязаны устанавливать не только операторы связи, но и организаторы распространения информации, к которым относятся владельцы сервисов приёма, передачи и обработки пользовательских сообщений.

«Это должно пресечь практику, когда оператор создаёт новое юрлицо, работает без СОРМ несколько лет, затем закрывает это юрлицо и открывает новое, повторяя схему», — рассказал источник РБК.

Ещё одно обсуждаемое требование заключается в том, чтобы оператор связи выполнил все условия, связанные с СОРМ, ещё до начала своей деятельности. Таким образом, установка СОРМ может стать обязательным условием для выхода на рынок услуг связи. При этом внедрение такого комплекса с учётом всех необходимых согласований с регуляторами может занимать более двух лет.

Представитель Минцифры в комментарии для РБК подтвердил, что инициативы по борьбе с недобросовестными операторами связи действительно обсуждаются с бизнесом и заинтересованными ведомствами. Однако, по его словам, каких-либо окончательных решений по этому вопросу пока не принято.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!