Селфи для верификации транзакций: надёжный стандарт или иллюзия безопасности

Тренд на использование селфи для онлайн-аутентификации набирает популярность в различных странах мира, особенно после пандемии, когда многие бизнесы перешли в цифровую сферу. Некоторые банки и правительства начали требовать «живые» изображения для подтверждения личности. Однако вопрос остаётся открытым: насколько это безопасно?

С 1 июля Вьетнам ввёл обязательную проверку лица через мобильные банковские приложения для всех цифровых транзакций свыше 400 долларов. Жители страны не могут отказаться от этих правил, несмотря на то, что Вьетнам часто оценивается как страна с низким уровнем интернет-приватности и кибербезопасности. Местные СМИ скептически относятся к тому, что селфи смогут улучшить безопасность. Уже через несколько дней после введения новых правил, некоторые приложения начали принимать обычные фотографии вместо изображений, сделанных в режиме реального времени.

Подобные проблемы актуальны не только для Вьетнама. Так, в конце июня американская компания Resecurity сообщила о росте утечек документов с селфи сингапурцев на теневых интернет-ресурсах. Эти изображения часто передаются финансовым и коммерческим организациям и могут быть захвачены киберпреступниками для последующей продажи.

По словам вице-президента аналитической компании Gartner, Акифа Хана, интерес к использованию селфи для верификации личности значительно вырос за последние пять лет, особенно в период пандемии. Финансовые компании и консалтинговые агентства, такие как New World Advisors, также поддерживают этот тренд, видя в нем необходимость для онлайн-сервисов.

Верификационные процессы, такие как борьба с отмыванием денег (Anti-Money Laundering, AML) и «знай своего клиента» (Know Your Client, KYC), часто регулируются различными законами и международными организациями. Однако эти процессы редко стандартизированы на глобальном уровне, что создаёт пробелы в регулировании.

По мнению Кевина Рида, директора по информационной безопасности компании Acronis, проблема часто заключается в неправильном обращении с данными, а не в самой технологии. «Сбор селфи для KYC — это не проблема сама по себе, проблема в том, что эти данные не обрабатываются должным образом и часто не уничтожаются после проверки», — отметил Рид.

Компания Resecurity также привела пример сингапурского провайдера цифровых платежей, который использует метод проверки с помощью фотографии с документом, удостоверяющим личность. Такой способ считается более надёжным, но всё равно подвержен рискам.

Тем временем, Хан из Gartner считает, что обеспокоенность по поводу кражи личных данных с фотоснимков и идентификаторов изображений, найденных в даркнете, преувеличена, поскольку большинству организаций для открытия банковских счетов и прочих финансовых действий потребуются не просто фотография, а ряд действий, возможно с видеорядом, таких как поворот головы или демонстрация определённого жеста в кадре. Это может быть весьма затруднительно для подделки.

Несмотря на это, Хан предупреждает, что даже такие методы не могут быть полностью безопасными. Важно обеспечить доступность этих систем для всех пользователей, не создавая при этом уязвимостей для злоумышленников.