24/08/2017

Technologicznie zaawansowane oszustwa telefoniczne

Porady Zagrożenia

Czytelnicy tego bloga wiedzą już co nieco o oszustwach telefonicznych. Teoretycznie jeśli nie przyjmujesz ofert od nieznajomych, a podczas rozmowy nie podajesz informacji osobistych, nic się nie stanie, prawda?

Okazuje się, że nie do końca jest to prawdą. Nie tak dawno temu Federalna Komisja Łączności (Federal Communications Commission, FCC) opublikowała ostrzeżenie na temat nietypowego oszustwa realizowanego przez telefon. Oszuści dzwonią do swoich ofiar i zadają niewinne pytania w stylu: „Czy dobrze mnie słychać?”. Potrzebują jedynie usłyszeć od ofiary słowo „Tak”. Nagranie zawierające odpowiedź twierdzącą wykorzystują oni do zapisania ofiary do płatnych usług, które zostają doliczone do rachunku.

Oszustwo, w którym do rachunku doliczane są usługi płatne (na przykład codzienne SMS-y z horoskopem czy informacjami), a wszystko odbywa się bez wiedzy właściciela numeru telefonu, nazywa się crammingiem.

Oszustwo to ma kilka charakterystycznych cech. Jak do niego dochodzi? Dlaczego organy ścigania nie mogą z tym nic robić? Czy naprawdę można użyć nagranego głosu, aby zapisać kogoś do płatnych usług?

Technicznie rzecz biorąc, cramming umożliwia fakt, że firmy telefoniczne dopuszczają dopisanie do rachunku usług świadczonych przez inne firmy.

Sam podstęp nie jest nowy: serwis 800Notes.com gromadzący podejrzane numery telefoniczne informuje ludzi o nim już od roku 2008. Wtedy trik ten był używany do świadczenia niezamówionych usług organizacjom. Według osób, które zostały wrobione w podobne sytuacje, nagrania dźwiękowe zostały zmodyfikowane tak, aby wydawało się, że ofiara zgadza się na dodatkowe usługi płatne.

Władze próbują walczyć z crammingiem. W 2015 roku komisja FCC zobligowała gigantów telekomunikacyjnych — firmę Verizon i Sprint — do zapłacenia 158 milionów dolarów na rzecz klientów, którym potajemnie narzucono usługi. Jednak takie oszukańcze techniki będą prawdopodobnie towarzyszyć rozwojowi nowoczesnych technologii.

Bankowość głosowa

W niedalekiej przyszłości autoryzacja głosowa w bankach może być głównym celem crammingu. Na przykład jeden z największych banków w Wielkiej Brytanii, Barclays, udostępnił w 2016 roku wszystkim swoim klientom prywatnym możliwość autoryzacji przy użyciu głosu.

Z kolei HSBC pozwolił swoim klientom korzystać z autoryzacji głosowej zamiast haseł. Klienci muszą zadzwonić do banku, autoryzować się przy użyciu słowa kodowego i powiedzieć na głos „Mój głos jest moim hasłem”.

HBSC twierdzi, że system ma stosowne zabezpieczenia przed używaniem nagrań głosów klientów. Biometria głosowa tworzy próbkę głosu, która rozpoznaje fizyczne i behawioralne różnice w czyjejś mowie.

Ponadto oszuści telefoniczni muszą znaleźć sposób na to, aby klient banku wypowiedział całe zdanie. Wydaje się to niemożliwe, lecz mogą oni nakłonić klienta do rozmowy i wyjąć poszczególne słowa z kilku rozmów telefonicznych.

Gdy ktoś wynajdzie sposób na to, aby nakłaniać ludzi do rozmowy, ktoś inny będzie szukał sposobu zapobiegania takim sytuacjom. Na przykład firma Pindrop utworzyła technologię, która podczas autoryzacji danej osoby bierze pod uwagę różne czynniki — w tym lokalizację. A dokładniej: czujność systemu zostaje wzmożona, gdy połączenie jest wykonywane z drugiego końca świata. Banki również używają tej technologii — do zapobiegania oszustwom.

Innym sygnałem możliwego oszustwa — choć nie tak oczywistym — jest wybrany kanał komunikacji. Według statystyk firmy Pindrop w 53% przypadków technologii VoIP używają oszuści, tymczasem prawdziwi klienci stanowią tu grupę wielkości 7%. Z tego powodu system automatycznie rejestruje połączenia VoIP.

Oczywiście oszuści również podejmują działania mające na celu ukrycie swojego procederu — na przykład symulują niską jakość połączenia, co teoretycznie utrudnia systemowi identyfikację osoby dzwoniącej. Oszuści telefoniczni z pewnością rozszerzą niebawem swój arsenał o nowe i potężne narzędzia.

Nie mów nic

W 2016 roku na konferencji Adobe MAX zaprezentowano projekt VoCo, nazwany „Photoshopem dla głosu”.

Po przeanalizowaniu fragmentu wypowiedzi system generuje próbkę czyjegoś głosu, w tym wypowiedziane słowa, które nie znajdują się na nagraniu. Według BBC wynalazek wywołał wiele obaw u ekspertów zajmujących się bezpieczeństwem informacji. VoCo, podobnie jak jego przodek graficzny, może stać się narzędziem do oszukiwania ludzi lub metodą omijania systemów autoryzowania się poprzez głos.

Firma Adobe nie jest jedyna — Google poinformował o swoim własnym projekcie do realistycznej syntezy mowy już w 2016 roku, a kanadyjski startup o nazwie Lyrebird udostępnił swoją technologię do generowania mowy w kwietniu 2017 roku. Jednominutowe nagranie czyjegoś głosu wystarczy, aby system mógł wypowiedzieć losowe frazy przy użyciu głosu nagranej osoby (zsyntetyzowanej rozmowy między politykami amerykańskimi można posłuchać tutaj). Nawet sami autorzy tego projektu przyznali, że możliwość syntetyzowania mowy jest potencjalnie niebezpieczna, zwłaszcza dla osób z obszaru polityki.

Założyciele Lyrebirdu poinformowali o swoim technologicznym problemie etycznym poprzez następujące oświadczenie: „Mamy nadzieję, że każda osoba będzie miała wkrótce świadomość, że taka technologia istnieje oraz że kopiowanie głosu innej osoby jest już możliwe”.

Jak sobie z tym poradzić?

  1. Aatak, w którym ofiara musi powiedzieć tylko jedno słowo („tak”), wymaga radykalnych kroków. FCC zaleca, aby nie oddzwaniać na nieznane numery. Jeśli ktoś naprawdę chce się z Tobą skontaktować, zostawi wiadomość.
  2. Nigdy nie ujawniaj żadnych swoich danych osobowych.
  3. Zawsze dokładnie sprawdzaj wszystkie faktury i rachunki.
  4. W Stanach Zjednoczonych istnieje możliwość wpisania swoich informacji kontaktowych do krajowego rejestru numerów, który telemarketerzy muszą respektować jako nietykalną świętość. W Unii Europejskiej jest to trochę trudniejsze, ale warto się zorientować, czy istnieją jakieś krajowe listy, na które nie wolno dzwonić.