Защита биометрических систем для банков. Возможности liveness-алгоритмов и их перспективы
В последние годы финансовые учреждения добились больших
успехов в том, чтобы сделать денежные операции более безопасными
и удобными. Сегодняшняя цель банков — предоставить клиентам
возможность управлять своими активами и получать все необходимые
услуги из любой точки мира. Дистанционное обслуживание несет
с собой и новый вызов — необходимость защиты от идентификационного
фрода и попыток обмануть систему с помощью фейковых изображений.
Евгений Заика, директор по развитию бизнеса
в финансовом секторе VisionLabs, рассказывает, как компьютерное
зрение и биометрические технологии помогают с этим справиться.
Предпосылки рынка
Распознавание лиц является важным инструментом для биометрической аутентификации человека. Системы распознавания лиц уже популярны во всем мире и используются для предотвращения мошенничества и повышения качества обслуживания, особенно в финансовых учреждениях, таких как банки и страховые компании.
Сейчас банковский сектор вкладывает сотни миллионов долларов в развитие технологий для мобильного банкинга, а пандемия только усилила этот тренд. Продолжительный локдаун наглядно показал, насколько важна возможность получения услуг «не выходя из дома». Российские банки заслуженно считаются одними из лидеров мирового рынка как в части мобильных приложений, так и по использованию биометрии. Также волна развития цифровых финансовых сервисов начинается и в странах СНГ.
Согласно прогнозу MarketsandMarkets, к 2024 году рынок решений для цифровой идентификации достигнет 30 млрд долл. США. Gartner же ожидает, что после 2022 года 60% крупных международных компаний, а также 90% предприятий среднего размера будут применять методы аутентификации без пароля более чем в 50% случаев использования ID-систем.
Таким образом, удаленное подтверждение личности по биометрии становится все популярнее, что ставит перед банками принципиально новую технологическую задачу. Для цифровой идентификации нужно не только доказать, что человек действительно является той личностью, которой он себя называет, но и, в первую очередь, является ли он реальным человеком вообще. Такую задачу в системах распознавания лиц решают с помощью проверки face anti-spoofing (FAS), или, как ее еще называют, liveness detection.
Распознавание лиц является важным инструментом для биометрической аутентификации человека. Системы распознавания лиц уже популярны во всем мире и используются для предотвращения мошенничества и повышения качества обслуживания, особенно в финансовых учреждениях, таких как банки и страховые компании.
Сейчас банковский сектор вкладывает сотни миллионов долларов в развитие технологий для мобильного банкинга, а пандемия только усилила этот тренд. Продолжительный локдаун наглядно показал, насколько важна возможность получения услуг «не выходя из дома». Российские банки заслуженно считаются одними из лидеров мирового рынка как в части мобильных приложений, так и по использованию биометрии. Также волна развития цифровых финансовых сервисов начинается и в странах СНГ.
Согласно прогнозу MarketsandMarkets, к 2024 году рынок решений для цифровой идентификации достигнет 30 млрд долл. США. Gartner же ожидает, что после 2022 года 60% крупных международных компаний, а также 90% предприятий среднего размера будут применять методы аутентификации без пароля более чем в 50% случаев использования ID-систем.
Таким образом, удаленное подтверждение личности по биометрии становится все популярнее, что ставит перед банками принципиально новую технологическую задачу. Для цифровой идентификации нужно не только доказать, что человек действительно является той личностью, которой он себя называет, но и, в первую очередь, является ли он реальным человеком вообще. Такую задачу в системах распознавания лиц решают с помощью проверки face anti-spoofing (FAS), или, как ее еще называют, liveness detection.
Что такое liveness
Технология liveness позволяет подтвердить витальность человека по одному или нескольким изображениям с целью предотвращения спуфинг-атак на сенсор. Liveness работает совместно с системой распознавания лиц, чтобы определить, используется ли для аутентификации биометрический образец, взятый у живого объекта. Если система распознавания лиц отвечает на вопросы «Кто этот человек?» или «Тот ли это человек?», то liveness — «Живой ли это человек?".
В зависимости от бизнес-задачи и канала взаимодействия с клиентом проверка liveness может быть двух типов: активной и пассивной. В первом случае человек участвует в процессе напрямую — например, ему нужно моргнуть или улыбнуться, во втором — дополнительное взаимодействие не требуется, пользователь может даже не знать о существовании этой проверки. Кроме того, могут применяться и варианты с использованием нескольких сенсоров, когда кроме RGB-камер используются инфракрасные камеры или камеры с картами глубины — такие решения позволяют получить более высокую защищенность от спуфинг-атак.
В большинстве случаев система работает следующим образом — обученные нейронные сети ищут на изображении артефакты, которые характерны для фейков (например, эффект муара, наличие бликов), анализируют текстуры и цветовую палитру. При активной проверке важны быстрая реакция пользователя, точность и неразрывность движений, а также их соответствие заданию
Технология liveness позволяет подтвердить витальность человека по одному или нескольким изображениям с целью предотвращения спуфинг-атак на сенсор. Liveness работает совместно с системой распознавания лиц, чтобы определить, используется ли для аутентификации биометрический образец, взятый у живого объекта. Если система распознавания лиц отвечает на вопросы «Кто этот человек?» или «Тот ли это человек?», то liveness — «Живой ли это человек?".
В зависимости от бизнес-задачи и канала взаимодействия с клиентом проверка liveness может быть двух типов: активной и пассивной. В первом случае человек участвует в процессе напрямую — например, ему нужно моргнуть или улыбнуться, во втором — дополнительное взаимодействие не требуется, пользователь может даже не знать о существовании этой проверки. Кроме того, могут применяться и варианты с использованием нескольких сенсоров, когда кроме RGB-камер используются инфракрасные камеры или камеры с картами глубины — такие решения позволяют получить более высокую защищенность от спуфинг-атак.
В большинстве случаев система работает следующим образом — обученные нейронные сети ищут на изображении артефакты, которые характерны для фейков (например, эффект муара, наличие бликов), анализируют текстуры и цветовую палитру. При активной проверке важны быстрая реакция пользователя, точность и неразрывность движений, а также их соответствие заданию
Применение алгоритмов
liveness
Несмотря на то, что сейчас об алгоритмах liveness чаще всего говорят в рамках удаленного обслуживания, они помогают защитить систему распознавания лиц практически в каждом канале взаимодействия с клиентом — фронтальное обслуживание, электронная очередь, банкоматы. Также такие технологии противодействуют и внутреннему фроду. При входе в учетную запись по биометрии лица liveness проверяет подлинность изображения, чтобы избежать несанкционированного доступа к внутренней информации и счетам клиентов. Разнообразие сценариев предполагает и разные наборы алгоритмов liveness, в зависимости от возможности взаимодействия с пользователем, внешней среды и критичности процесса.
Кроме того, важно учитывать виды возможного фрода, которые необходимо предотвратить. В целом алгоритмы liveness защищают от атаки представления, то есть такого вида мошенничества, когда пытаются атаковать непосредственно камеру и сделать подлог лица в кадре. Согласно классификации FIDO [FIDO Alliance — открытая отраслевая ассоциация, основная цель которой — создание стандартов аутентификации, которые помогут сократить чрезмерное использование паролей в мире. Альянс FIDO способствует разработке, использованию и соблюдению стандартов аутентификации и аттестации устройств] можно выделить три уровня атак: A, B и C.
Атаки A-уровня заключаются в получении и использовании фотографии человека — добросовестного клиента, подвергающегося нападению мошенников. Эти атаки не предъявляют высоких требований к оборудованию и навыкам. Это могут быть распечатанные изображения или фотографии с экранов мобильных устройств и мониторов. Кроме того, может быть выполнена предобработка для улучшения распечатки — вырезаны отверстия для глаз, носа, рта или контур лица.
Атаки В-уровня схожи с атаками уровня A, за исключением того, что требуется не фотография лица, а видео субъекта. Также сюда будут относиться бумажные маски с изображением лица в высоком разрешении.
Атаки уровня C включают в себя использование более сложных масок, которые не являются плоскостными и сделаны не из бумаги, а из специализированных материалов. Их создание занимает больше времени, они более дорогие в изготовлении и требуют фотографии человека, за которого будет выдавать себя мошенник, с высоким разрешением или 3D-слепок. Трехмерная информация также может быть получена из двумерной фотографии с использованием сложных методов компьютерного зрения. 3D-маски могут быть жесткими, с глазными отверстиями и без них, либо гибкими силиконовыми.
Несмотря на то, что сейчас об алгоритмах liveness чаще всего говорят в рамках удаленного обслуживания, они помогают защитить систему распознавания лиц практически в каждом канале взаимодействия с клиентом — фронтальное обслуживание, электронная очередь, банкоматы. Также такие технологии противодействуют и внутреннему фроду. При входе в учетную запись по биометрии лица liveness проверяет подлинность изображения, чтобы избежать несанкционированного доступа к внутренней информации и счетам клиентов. Разнообразие сценариев предполагает и разные наборы алгоритмов liveness, в зависимости от возможности взаимодействия с пользователем, внешней среды и критичности процесса.
Кроме того, важно учитывать виды возможного фрода, которые необходимо предотвратить. В целом алгоритмы liveness защищают от атаки представления, то есть такого вида мошенничества, когда пытаются атаковать непосредственно камеру и сделать подлог лица в кадре. Согласно классификации FIDO [FIDO Alliance — открытая отраслевая ассоциация, основная цель которой — создание стандартов аутентификации, которые помогут сократить чрезмерное использование паролей в мире. Альянс FIDO способствует разработке, использованию и соблюдению стандартов аутентификации и аттестации устройств] можно выделить три уровня атак: A, B и C.
Атаки A-уровня заключаются в получении и использовании фотографии человека — добросовестного клиента, подвергающегося нападению мошенников. Эти атаки не предъявляют высоких требований к оборудованию и навыкам. Это могут быть распечатанные изображения или фотографии с экранов мобильных устройств и мониторов. Кроме того, может быть выполнена предобработка для улучшения распечатки — вырезаны отверстия для глаз, носа, рта или контур лица.
Атаки В-уровня схожи с атаками уровня A, за исключением того, что требуется не фотография лица, а видео субъекта. Также сюда будут относиться бумажные маски с изображением лица в высоком разрешении.
Атаки уровня C включают в себя использование более сложных масок, которые не являются плоскостными и сделаны не из бумаги, а из специализированных материалов. Их создание занимает больше времени, они более дорогие в изготовлении и требуют фотографии человека, за которого будет выдавать себя мошенник, с высоким разрешением или 3D-слепок. Трехмерная информация также может быть получена из двумерной фотографии с использованием сложных методов компьютерного зрения. 3D-маски могут быть жесткими, с глазными отверстиями и без них, либо гибкими силиконовыми.
Атаки принципиально отличаются с точки зрения злоумышленника
тем, что для уровней A и B требуются инструменты, относительно
недорогие в изготовлении, тогда как создание объемной маски
из силикона может стоить несколько тысяч долларов. Таким
образом, определиться с необходимым уровнем защиты и антиспуфинговым
решением помогает такой показатель, как себестоимость атаки
— соотношение суммы финансовых средств организации, на которые
потенциально покушается злоумышленник, с его затратами на
подготовку и проведение атаки.
Компания VisionLabs занимается разработкой технологий компьютерного зрения уже больше десяти лет. За это время компания разработала различные наборы алгоритмов liveness, которые уже доказали свою эффективность в промышленной эксплуатации. Наша команда инвестирует значительные ресурсы в постоянное развитие технологий, мы месяцами можем тестировать гипотезы, чтобы прийти к клиенту с уже готовым рабочим решением. Кроме того, в рамках крупнейших международных конференций по компьютерному зрению CVPR и ICCV алгоритмы liveness от VisionLabs три года подряд становились победителями в конкурсе Face Anti-spoofing Challenge.
Ценность решений VisionLabs для финансовых организаций заключается не только в одной из лучших биометрических математик в мире, но и в уникальной экспертизе, накопленной на проектах различного уровня и масштаба. Так, например, алгоритмы liveness VisionLabs обеспечивают высокий уровень безопасности платежных операций в сервисе оплаты по лицу X5 Group, который масштабирован на более чем 300 магазинов «Перекресток» и «Пятерочка», а также в системе Face Pay московского метро. Также liveness VisionLabs используется при обслуживании по лицу в банкоматах Сбера, где обеспечивает защиту даже от атак с 3D-масками, для беспаспортного обслуживания в салонах связи МТС и для дистанционной регистрации в приложении «Мой налог».
Компания VisionLabs занимается разработкой технологий компьютерного зрения уже больше десяти лет. За это время компания разработала различные наборы алгоритмов liveness, которые уже доказали свою эффективность в промышленной эксплуатации. Наша команда инвестирует значительные ресурсы в постоянное развитие технологий, мы месяцами можем тестировать гипотезы, чтобы прийти к клиенту с уже готовым рабочим решением. Кроме того, в рамках крупнейших международных конференций по компьютерному зрению CVPR и ICCV алгоритмы liveness от VisionLabs три года подряд становились победителями в конкурсе Face Anti-spoofing Challenge.
Ценность решений VisionLabs для финансовых организаций заключается не только в одной из лучших биометрических математик в мире, но и в уникальной экспертизе, накопленной на проектах различного уровня и масштаба. Так, например, алгоритмы liveness VisionLabs обеспечивают высокий уровень безопасности платежных операций в сервисе оплаты по лицу X5 Group, который масштабирован на более чем 300 магазинов «Перекресток» и «Пятерочка», а также в системе Face Pay московского метро. Также liveness VisionLabs используется при обслуживании по лицу в банкоматах Сбера, где обеспечивает защиту даже от атак с 3D-масками, для беспаспортного обслуживания в салонах связи МТС и для дистанционной регистрации в приложении «Мой налог».
Новейшие разработки
Одна из последних разработок компании — OneShot Liveness, позволяющий по одному кадру определить, является ли лицо человека реальным или поддельным. Уникальная технология не требует дополнительного взаимодействия или длительного видео, что делает проверку быстрой и удобной — процесс занимает меньше секунды и незаметен для пользователя. Кроме того, OneShot Liveness работает со всеми современными мобильными устройствами и веб-камерами, легко интегрируется в процессы распознавания лиц, значительно повышает безопасность мобильной и веб-аутентификации, а также снижает долю мошеннических действий.
Одна из главных сложностей при создании liveness-алгоритмов — это сбор данных для обучения нейронных сетей, так как цена существующих датасетов очень высока, а их размер в сотни раз меньше датасетов для Face Recognition, доступных в интернете. При разработке OneShot Liveness команда исследователей VisionLabs уделила этому отдельное внимание и вручную собрала объемный и диверсифицированный датасет, поэтому новое решение может противостоять всем видам атак, в том числе и таким сложным, как силиконовые 3D-маски или фотографии и видео с экранов с разрешением 4К.
OneShot Liveness уже применяется в цифровых сервисах российских банков. Так, высокоточная защита от биометрических мошенничеств внедрена в Почта Банке — решение масштабировано на более чем 26 тыс. точек обслуживания. При фотографировании клиентов или оформлении заявок система контролирует, чтобы процесс проходил без попыток подмены изображения. Это позволяет защититься от мошенников, которые пытаются взять кредит или снять наличные средства, используя документы, фотография лица в которых имитируется мошенником.
Одна из последних разработок компании — OneShot Liveness, позволяющий по одному кадру определить, является ли лицо человека реальным или поддельным. Уникальная технология не требует дополнительного взаимодействия или длительного видео, что делает проверку быстрой и удобной — процесс занимает меньше секунды и незаметен для пользователя. Кроме того, OneShot Liveness работает со всеми современными мобильными устройствами и веб-камерами, легко интегрируется в процессы распознавания лиц, значительно повышает безопасность мобильной и веб-аутентификации, а также снижает долю мошеннических действий.
Одна из главных сложностей при создании liveness-алгоритмов — это сбор данных для обучения нейронных сетей, так как цена существующих датасетов очень высока, а их размер в сотни раз меньше датасетов для Face Recognition, доступных в интернете. При разработке OneShot Liveness команда исследователей VisionLabs уделила этому отдельное внимание и вручную собрала объемный и диверсифицированный датасет, поэтому новое решение может противостоять всем видам атак, в том числе и таким сложным, как силиконовые 3D-маски или фотографии и видео с экранов с разрешением 4К.
OneShot Liveness уже применяется в цифровых сервисах российских банков. Так, высокоточная защита от биометрических мошенничеств внедрена в Почта Банке — решение масштабировано на более чем 26 тыс. точек обслуживания. При фотографировании клиентов или оформлении заявок система контролирует, чтобы процесс проходил без попыток подмены изображения. Это позволяет защититься от мошенников, которые пытаются взять кредит или снять наличные средства, используя документы, фотография лица в которых имитируется мошенником.
Дальнейшее развитие
Алгоритмы liveness — важный инструмент в борьбе с наиболее распространенными методами мошенничества с идентификацией. Это эффективный способ обеспечить безопасность клиентов, бизнеса и данных. При операциях с высоким риском также есть возможность дополнить алгоритмы liveness еще одним фактором — паролем, SMS-кодом или биометрией голоса.
Пандемия показала востребованность предоставления цифровых сервисов дистанционно и навсегда изменила клиентские паттерны поведения. Доступность удаленного обслуживания в любое время становится важнейшим фактором в формировании лояльности. Кроме того, по прогнозам Gartner и Deloitte, следующий шаг развития биометрии в финансах — это Digital ID. Согласно данной концепции, для совершения всех повседневных операций — от оплаты проезда на общественном транспорте до оформления кредита — достаточно просто иметь свой единый биометрический профиль. При подобном сценарии наличие liveness-проверки станет обязательным, поэтому создание подобной инфраструктуры для сервисов уже сейчас сильно повлияет на их востребованность в ближайшие несколько лет.
Алгоритмы liveness — важный инструмент в борьбе с наиболее распространенными методами мошенничества с идентификацией. Это эффективный способ обеспечить безопасность клиентов, бизнеса и данных. При операциях с высоким риском также есть возможность дополнить алгоритмы liveness еще одним фактором — паролем, SMS-кодом или биометрией голоса.
Пандемия показала востребованность предоставления цифровых сервисов дистанционно и навсегда изменила клиентские паттерны поведения. Доступность удаленного обслуживания в любое время становится важнейшим фактором в формировании лояльности. Кроме того, по прогнозам Gartner и Deloitte, следующий шаг развития биометрии в финансах — это Digital ID. Согласно данной концепции, для совершения всех повседневных операций — от оплаты проезда на общественном транспорте до оформления кредита — достаточно просто иметь свой единый биометрический профиль. При подобном сценарии наличие liveness-проверки станет обязательным, поэтому создание подобной инфраструктуры для сервисов уже сейчас сильно повлияет на их востребованность в ближайшие несколько лет.
Контакты