Голосовой пикинг
Голосовой пикинг — это разновидность телефонного мошенничества, при которой злоумышленники с помощью специального программного обеспечения или социальной инженерии получают доступ к голосовым слепкам и биометрическим данным жертвы, чтобы впоследствии имитировать её голос и совершать несанкционированные действия, чаще всего — финансовые переводы или получение доступа к конфиденциальной информации. Термин происходит от английского voice phishing (голосовой фишинг) и является частным случаем социальной инженерии, где основным инструментом атаки выступает голосовая коммуникация.
История
Первые упоминания о голосовом пикинге относятся к началу 2010-х годов, когда развитие технологий синтеза речи и распознавания голоса позволило мошенникам создавать относительно качественные подделки. Однако массовое распространение явление получило с середины 2010-х годов, в связи с повсеместным внедрением голосовых помощников (Siri, «Алиса», Google Assistant) и систем биометрической аутентификации в банковском секторе.
В России первые громкие случаи голосового пикинга были зафиксированы в 2018–2019 годах, когда злоумышленники начали использовать технологию deepfake для имитации голосов руководителей компаний с целью получения доступа к корпоративным счетам. По данным Центрального банка РФ, в 2022 году объём хищений с использованием методов социальной инженерии, включая голосовой пикинг, превысил 14 миллиардов рублей.
Классификация
По способу реализации выделяют несколько основных видов голосового пикинга:
Социальная инженерия
Злоумышленник лично звонит жертве, представляясь сотрудником банка, правоохранительных органов или технической поддержки. В ходе разговора он пытается выведать конфиденциальные данные (CVV-код, пароль от личного кабинета, код из SMS) или убедить жертву самостоятельно перевести деньги на «безопасный счёт». Этот метод не требует сложного технического оснащения, но предполагает высокий уровень психологического давления.
Использование голосовых слепков
Мошенник заранее записывает голос жертвы (например, через телефонный разговор, видеозвонок или публичные выступления в соцсетях). Затем с помощью программного обеспечения для синтеза речи (например, Respeecher, Descript Overdub, Lyrebird) создаётся поддельная аудиозапись, в которой голос жертвы произносит нужные фразы. Эта запись используется для звонков родственникам, коллегам или в банк с целью подтверждения финансовых операций.
Атаки на голосовых помощников
Злоумышленники дистанционно активируют голосового ассистента на устройстве жертвы (смартфон, «умная колонка») и отдают ему команды, например: «переведи 10 000 рублей на номер...» или «открой дверь». Для этого используются ультразвуковые сигналы, не слышимые человеческим ухом, или команды, замаскированные в аудио- и видеоконтенте.
Deepfake-атаки (дипфейк)
Наиболее сложный и дорогостоящий вид. С помощью нейросетей (например, WaveNet, Tacotron, VALL-E) создаётся высококачественная имитация голоса конкретного человека, которая практически неотличима от оригинала. Такие атаки обычно направлены на топ-менеджеров крупных компаний или публичных лиц.
Технические аспекты
Для реализации голосового пикинга злоумышленники используют комбинацию методов:
- Сбор данных — через утечки баз данных, фишинговые сайты, публичные профили в соцсетях, взлом переписки.
- Обработка голоса — с помощью программного обеспечения, которое анализирует тембр, интонацию, частоту и ритм речи. Для создания дипфейка требуется от 30 секунд до нескольких минут чистой аудиозаписи голоса жертвы.
- Имитация окружения — мошенники могут добавлять фоновые шумы (офис, улица, шум воды), чтобы подделка звучала естественнее.
- Автоматизация звонков — использование IP-телефонии (VoIP) и подмены номера (Caller ID spoofing), чтобы звонок отображался как исходящий от доверенного лица или организации.
Применение и цели
Основные цели голосового пикинга:
- Финансовое мошенничество — перевод денежных средств со счетов жертвы, оформление кредитов, оплата покупок.
- Корпоративный шпионаж — получение доступа к коммерческой тайне, паролям, внутренним документам.
- Компрометация личности — получение доступа к аккаунтам в соцсетях, мессенджерах, электронной почте.
- Шантаж и вымогательство — угроза публикации скомпрометированных аудиозаписей.
Примеры атак
- В 2020 году в Великобритании мошенники с помощью дипфейка имитировали голос директора энергетической компании и потребовали перевода 243 000 долларов на счёт подставной фирмы. Руководитель дочерней компании, узнав «голос начальника», выполнил перевод.
- В 2022 году в России зафиксированы случаи, когда злоумышленники звонили пожилым людям, используя записи голосов их внуков, якобы попавших в ДТП, и требовали деньги на «решение проблемы».
- В 2023 году в США хакеры взломали аккаунт в соцсети и с помощью голосового помощника отдали команду на оплату покупки на сумму 10 000 долларов.
Критика и риски
Голосовой пикинг представляет серьёзную угрозу для безопасности как физических лиц, так и организаций. Основные риски:
- Низкая осведомлённость — большинство людей не подозревают, что голос можно подделать, и доверяют аудиозвонкам.
- Несовершенство биометрической защиты — многие банки и сервисы используют голосовую аутентификацию, которая может быть обманута качественной подделкой.
- Сложность доказывания — поддельные аудиозаписи трудно отличить от настоящих, что затрудняет расследование и судебное преследование.
- Психологическое давление — мошенники используют эффект неожиданности и срочности, что снижает критическое мышление жертвы.
Методы защиты
Для защиты от голосового пикинга рекомендуется:
- Не сообщать по телефону конфиденциальные данные, коды из SMS, пароли.
- Использовать двухфакторную аутентификацию, не зависящую от голоса.
- Перепроверять информацию, полученную по телефону, через другие каналы связи (личная встреча, мессенджер, обратный звонок на официальный номер).
- Ограничивать публикацию голосовых записей в открытом доступе.
- Устанавливать на устройства защиту от несанкционированного доступа к голосовым помощникам.
- При подозрении на мошенничество немедленно обращаться в банк и правоохранительные органы.
Источники
- Центральный банк Российской Федерации. «Обзор мошеннических операций с использованием методов социальной инженерии» (2022–2023).
- Федеральная служба по финансовому мониторингу (Росфинмониторинг). «Методические рекомендации по противодействию телефонному мошенничеству» (2023).
- The Verge. «AI voice cloning scams are on the rise» (2023).
- Krebs on Security. «Voice Phishing: The Next Frontier in Social Engineering» (2021).
- Материалы конференции «Безопасность информационных технологий» (Москва, 2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →