Тинькофф банк вернул 200 тысяч. Это был не дипфейк⁠⁠

В прошлом посте я поделился историей, как мошенник подтвердил мою личность в банке.

Что случилось

Мошенники вывели 200 тысяч, получив доступ к личному кабинету Тинькофф:

18 января мне пришло СМС от банка, где был запрошен видео-звонок. Уведомления были отключены, поэтому их не заметил.

21 января мошенники изменили мой привязанный номер телефона и вывели с кредитки 68 тысяч. Но потом операции стали блокироваться.

25 января я зашел в Тинькофф, не смог получить доступ. Заметив неладное, позвонил в банк. Мне сказали что проблема в приложении и мошеннических действий не было. Пообещали позвонить на следующий день. Звонка не последовало.

Прошли выходные...

29 января я вспомнил о проблеме. Позвонил в поддержку и вернул доступ к кабинету с помощью видеозвонка.

1 февраля привязанный номер снова изменился и личный кабинет опять взломали. В этот же день я ещё раз вернул себе доступ. К тому моменту мошенники сняли ещё 140 тысяч.

Более подробная история об угоне моего Тинькофф кабинета тут.

Выстроив вероятную цепочку событий, я пришел к выводу: мошенник взломал банк через deepfake. Но всё оказалось прозаичнее…

Итоги расследования

Как выяснилось, запрошенный видео-звонок с мошенником не состоялся! А доступ к личному кабинету открылся в результате технической ошибки сотрудника банка. Мошеннику удалось заменить номер телефона и вывести часть денег со счета. Потом антифрод-система заблокировала карту.

Второй раз сотрудник ошибся, нарушив должностную инструкцию и разблокировал мой счет по требованию мошенника. Основанием послужило то, что я ранее подтвердил свою личность видеозвонком.

Третий раз 2 февраля, мне снова пришло СМС о смене номера и я снова потерял доступ в личный кабинет. Об этом поделился в комментариях на Хабре.

Как потом выяснилось, служба безопасности сбрасывала пароли и номер. Приложение заглючило. Только когда я вышел из личного кабинета и снова зашел по номеру, все карты вернулись.

Так почему дипфейк не сработает

Для видеозвонков с клиентами работает технология liveness. Она исключает возможность подделки видеозвонка с помощью дипфейка, фото или видео с камеры.

Вот что пишет РБК про эту технологию: алгоритм анализирует искажение, скорость реакции, несоответствие и артефакты, характерные для фейков (блики, руки, держащие планшет, эффект муара и т.д.). Пока пользователь улыбается, система анализирует текстуры, блики, движения мимических мышц. И в статике, и в движении. Кроме того, видеозвонок не является единственным фактором идентификации личности клиента в банке.

Реакция и действия банка

Банк вернул деньги на счёт и выплатил компенсацию за потраченное время и нервы. Сотрудник, допустивший ошибку, был отправлен на переподготовку.

Друзья, большое вам спасибо за комментарии и ваше внимание. Такие обсуждения способствуют ускорению решения подобных проблем.