Анализ голоса для предотвращения мошенничества в системах ДБО

Не так давно компания NICE анонсировала на российском рынке запуск решения по предотвращению мошенничества для колл-центров на основе анализа голоса, как основного биометрического параметра.

Бесспорными преимуществами подобных решений является бесконтактность и относительная дешевизна, самая низкая среди всех биометрических методов идентификации, что актуально для любого бюджета банка. Доминирующими странами по количеству внедрений подобных решений являются Австралия, ЕС и США.

Первый патент, который был заявлен по этой теме, возник еще в 1997 году:

"Telephony fraud detection using voice recognition techniques"

В настоящее время, лидерами решений в этой области являются RSA, NICE, Nuance, VoiceVault и IBM. Архитектура решения предусматривает накопление "отпечатков" голоса (voice prints) в специальной базе данных, с которой осуществляется сравнение новых поступающих звонков от одного и того же клиента.

Эти записи составляют голосвую модель, которую можно описать следующими свойствами:

- тембр;

- темп;

- интонация;

- спектральные характеристики.

Отдельно накапливают языковую модель, ее свойства:

- сами используемые слова;

- порядок произношения слов;

- наличие акцента;

- задействованная грамматика;

- особенности дикции;

- сленг и жаргонизмы.

На примере банка, эти модели могут формироваться и накапливаться на примере произношения номера счета, мобильного или домашнего телефона, фамилии, имени и отчества холдера и так далее. Если они не имеют существенных различий, то звонок считается подлинным, если имеют, то он передается на анализ оператору банка для углубленной проверки личности звонящего. Здесь есть нюансы, связанные с хрипотой, психологическим состояниям и так далее.

В основном все из этих решений используют технику повторной идентификации, заставляя звонящего назвать номер счета, либо какой-либо секретный ответ на вопрос, что занимает где-то 5-7 секунд, в этот момент осуществляется сравнение ответа звонящего с тем, что он говорил ранее. Подобные механизмы сейчас активно набирают популярность в сравнительно новом направлении "VOICE E-SIGNATURES".

Для уточнения критерия "подозрительности", вендоры подобных решений накапливают большую базу звонков, в том числе мошеннического характера, по которым можно выделить классические повадки мошенника при диалоге с оператором банка (длительность ответа, использование тянущихся звуков, повторы слов и так далее).

В реалиях, безусловно, начинается все гораздо раньше, еще на этапе самого принятия звонка, так как в 90% случаев номер звонящего будет отличаться, либо не будет определен. Специфика заключается в том, что "прозвоном" банков занимаются не так много групп, в каждой из которых присутствует человек с уверенным знанием иностранного языка, если это зарубежный банк, чтобы не показаться подозрительным оператору (часто для этого используются студенты по обмену, которые ищут заработков, реже сами носители языка в заданном регионе), либо говоря о российской специфике - звонящий подбирается по полу без особых дополнительных критериев для выбора, в этот момент номер реального владельца счета атакуется волной звонков.

Зарубежные мошенники используют Skype Out номер по той же географии, что и холдер, наши же в этом не нуждаются, так как пока Skype Out не поддерживает регистрацию российских номеров, они могут позвонить откуда угодно. Отдельные зарубежные банки используют различные средства, позволяющие отличить звонок с SIP/Skype, что помогает уже на этом этапе отличить жулика от реального холдера, почему особой погоды решения биометрического распознавания не сделают, все и так будет ясно.

При этом, важно понимать, что в РФ пока не сильно распространен телефонный банкинг, как зарубежом, в основном все операции делаются через онлайн-банкинг, почему при соблюдении лимита транзакции и грамотности злоумышленника, идентичности сетевых характеристик клиента на зараженной машине, звонить ему со стороны банка не придется, до тех пор, пока банк не обратит внимание на новые или подозрительные реквизиты назначения платежа. Тем не менее, хорошо, что рынок решений для российской банковской информационной безопасности развивается и дополняется новыми специализированными решениями, много безопасности никогда не бывает.