Kaspi Alaqan: почему Казахстан пока не готов к оплате по ладони
Kaspi запускает оплату по ладони. Finratings.kz объясняет, почему новая технология может стать испытанием не для банка, а для общества с низкой цифровой гигиеной.
Казахстан стоит на пороге очередной финансовой революции: Kaspi.kz анонсировал запуск Kaspi Alaqan, системы оплаты по ладони. Это звучит как научная фантастика: не нужны ни карты, ни телефон — только ваша рука. Технологически это огромный скачок вперед, укрепляющий репутацию Kaspi как одного из ведущих финтех-инноваторов мира.
Однако, пока восхищение технологией растет, мы нашли исследования, которые заставляют взглянуть на ситуацию под другим, более тревожным углом. Проблема — не в Kaspi и не в их, без сомнения, передовых технологиях. Проблема — в нас. В обществе, которое, несмотря на тотальную цифровизацию, все еще демонстрирует катастрофически низкий уровень цифровой гигиены.
И эта новая, "абсолютно безопасная" технология, может стать неожиданным подарком для мошенников, которые научились виртуозно играть на главной уязвимости — человеческом доверии.
Уязвимость №1: Не технология, а человек
Прежде чем говорить о сканерах, давайте посмотрим на текущую ситуацию. Казахстан — страна, где:
- Миллионы людей верят фейковым рассылкам в WhatsApp о "пособиях от государства".
- Телефонные мошенники, представляясь "службой безопасности банка", ежедневно крадут миллиарды тенге, убеждая людей перевести деньги на "безопасный счет".
- Процветают схемы с OLX и Kolesa.kz, где людей обманывают с помощью поддельных ссылок на оплату.
- Граждане охотно вкладывают деньги в очередную финансовую пирамиду, обещающую 100% годовых.
Уже ни для кого не секрет, что в нашем обществе преобладают симптомы низкой цифровой гигиены. Мы привыкли к удобным цифровым сервисам, но не научились критически мыслить и распознавать угрозы. Мы доверяем "человеку из банка" по телефону, верим в легкие деньги и боимся пропустить "акцию".
Теперь в эту среду внедряется технология, которая позиционируется как абсолютная защита. "Ваши вены под кожей, их невозможно подделать". Это создает у пользователя опасное, ложное чувство неуязвимости. И именно этим воспользуются мошенники.
Уязвимость №2: Миф о "неподделываемых" венах
Утверждение, что сканирование вен ладони — это панацея от мошенничества, было развенчано исследователями в области кибербезопасности. Мы изучили одну из самых цитируемых работ на эту тему, которая проливает свет на реальные риски.
Выдержки из исследования: "Об уязвимости систем распознавания вен ладони к спуфинг-атакам"
- Авторы: Педро Томе и Себастьен Марсель (Pedro Tomé, Sébastien Marcel).
- Организация: Исследовательский институт Idiap, Швейцария.
- Суть исследования: Ученые задались целью проверить, действительно ли так сложно обмануть (провести спуфинг-атаку) бесконтактный сканер вен ладони.
Разбор методологии и результатов:
"Распознавание по венам ладони... считается, что ее трудно подделать, поскольку вены находятся под кожей. В данной работе мы анализируем уязвимость бесконтактной системы распознавания вен ладони к спуфинг-атакам с использованием печатных изображений."
Исследователи не стали использовать сложные 3D-модели или силиконовые муляжи. Они взяли самый простой и доступный инструмент: изображения венозных рисунков, распечатанные на обычном листе бумаги.
Они просто подносили этот лист бумаги к сканеру так же, как пользователь подносит руку.
Результаты оказались шокирующими:
"Результаты оказались провальными для системы безопасности. Исследователи использовали метрику Spoofing False Acceptance Rate (SFAR) — процент случаев, когда система ошибочно приняла подделку за настоящую руку.
Для атаки "самозванца" SFAR достиг 65%.
Это означает, что в двух из трех случаев система безопасности не смогла отличить настоящий, живой орган от его фотографии, распечатанной на принтере, и предоставила доступ.
Вывод исследователей:
"Это исследование подчеркивает критическую важность разработки и интеграции механизмов обнаружения атак (liveness detection / anti-spoofing) в биометрические системы перед их массовым внедрением, особенно в сферах, требующих высокого уровня безопасности, таких как финансовые транзакции..."
Как это будут использовать в Казахстане
Конечно, технология, которую внедряет Kaspi, скорее всего, гораздо более современная, чем та, что тестировалась в 2015 году. Вероятно, в ней используются продвинутые системы "обнаружения жизни" (liveness detection), которые проверят пульсацию крови или тепловой след.
Но это не имеет значения.
Исследование доказывает главное: концепция "подделки" вен — реальна. И мошенникам в Казахстане не нужно будет взламывать сам сканер. Они будут взламывать человека, используя методы социальной инженерии, опираясь на низкую цифровую гигиену.
Можно ожидать появления новых схем мошенников, о которых общество должно быть предупреждено:
- "Обновление Alaqan": Мошенники будут звонить и говорить: "Для активации защиты Alaqan вам нужно пройти верификацию. Подойдите к нашему терминалу и приложите ладонь к этому специальному калибровочному листу". Этим листом будет распечатка чужого венозного рисунка.
- "Служба безопасности": "Ваш счет Alaqan пытаются взломать. Чтобы заблокировать мошенника, вам нужно отсканировать QR-код на нашем сайте". Этот QR-код будет вести на фишинговый ресурс, имитирующий интерфейс банка.
- "Получение доступа издалека": Злоумышленники могут научиться получать ИК-снимки ладоней (например, с помощью модифицированных камер) и использовать их для атак.
В стране, где люди добровольно диктуют CVV-код по телефону, внедрение "волшебной" технологии, которая якобы защищает от всего, — это бомба замедленного действия. Она усыпляет бдительность. Kaspi внедряя новую систему должно изучить все риски появления новых мошенических схем.
Kaspi Alaqan — это технологический прорыв. Но он требует от общества такого же прорыва в уровне цифровой грамотности. Пока мы не научимся не доверять звонкам из "банков" и не перестанем кликать на подозрительные ссылки, любая, даже самая совершенная технология, будет для нас не только удобством, но и новой возможностью для мошенников.
Читайте также: