«Не маши рукой перед камерой — украдут отпечатки». Разбираем новую страшилку в соцсетях

Что случилось

Китайское государственное агентство CCTV незадолго до майских праздников выпустило предупреждение для граждан, уже предвкушающих тонны фоток из поездок и отпусков. Любителей селфи с популярным знаком V — два пальца галочкой, также означающие знак «победа» (victory) или «мир» (peace), — напугали потенциальными утечками их биометрии в руки злоумышленников. Достаточно пары четких фотографий, где видны пальцы с отпечатками.

С какой фотографии могут украсть отпечатки пальцев

Теоретически — с любой, где четко виден папиллярный узор. Практически — список условий для получения такой фотографии и имитации отпечатка такой длинный, что потенциальному преступнику проще похитить свою жертву или ее палец, чем заморачиваться с подделкой. Но всегда есть исключения: бывает, что куш — в виде денег или данных жертвы — настолько соблазнительный, что злоумышленники готовы реально заморочиться.

Но обо всем по порядку. Каким должно быть ваше селфи со знаком V или открытой ладонью, чтобы возник риск засветить свою биометрию?

• Исходное фото должно быть высокого разрешения и без сжатия. Обычный телефонный снимок в 12 мегапикселей на дистанции вытянутой руки дает довольно крупный план. Но, чтобы разглядеть гребни и впадины на пальцах, одной крупности мало. Нужна резкость. Идеальное освещение. Отсутствие движения. И палец в фокусе, а не ухо соседа.
• Пальцы — развернуты к объективу. Неважно, будет ли это жест victory или просто приветственное махание ладонью.
• Если расстояние до объектива камеры меньше полутора метров — украсть рисунок пальцев можно со стопроцентной вероятностью. От полутора до трех метров — шансы падают до пятидесяти процентов. Дальше трех метров — практически ничего не светит.
• Плюс нужно профессиональное оборудование и технологии обработки изображений, желательно на базе ИИ.

Есть и хорошие новости, которые в обычной ситуации, правда, чаще вызывают раздражение. Социальные сети — те еще борцы за качество. Они безбожно сжимают картинки, подчищают детали, смазывают четкость, чтобы экономить место на серверах. Сжатые или «улучшенные» фильтрами фотографии восстановить сложно. А для отпечатка каждая мелочь важна.

Это значит, что, даже если вы загрузили мегачеткий снимок, до потенциального злоумышленника он дойдет уже в значительно искаженном виде. Но это по умолчанию.

В реальной жизни редко когда чужой палец оказывается в кадре так удачно. Однако достаточно одного удачно запущенного флешмоба, чтобы в соцсетях и нейросетях оказалась богатая база четко сфотографированных рук.

С релизом новой версии генератора картинок от ChatGPT в соцсетях завирусился новый тренд: хиромантия с нейросетями. Пользователям предлагают сфоткать руку и вставить промпт, который заставит нейросетку выдать трактовку с визуализацией. Нередко такие конечные результаты выкладывают вместе с оригинальной фотографией.

Таким образом убиваются сразу два зайца: в свободном доступе в интернете оказываются тысячи фото рук с хорошо видимыми папиллярными рисунками, а нейросети учатся эти рисунки распознавать и в перспективе генерировать.

Собранные таким образом изображения рук могут быть использованы для создания дипфейков, для шантажа, а также для подмены личности в сервисах, использующих видео- или фотоверификацию, подчеркнул эксперт. «К сожалению, аппетит к данным у современных ИИ-моделей практически ненасытен, а пользователи, участвуя в подобных флешмобах, зачастую сами, безвозмездно и в огромных количествах, предоставляют им этот ценный корм», — резюмировал Бедеров.

Как защититься от распознавания отпечатков через фото

Паниковать и удалять все свои фото с пляжа, где вы показываете Victory, не нужно. Но кое-что сделать для пущего спокойствия все-таки стоит.

Сменить позу

Решение очевидное: не выставляйте отпечатки прямо на камеру на расстоянии ближе трех метров. Вместо знака V с ладонью наружу — поверните кисть тыльной стороной, такой жест очень популярен в Азии. Эффект тот же, а пальцы видны не будут.

Фотографироваться в перчатках, конечно, тоже радикально решит вопрос, но до такой степени цифровой паранойи мы все-таки доходить не предлагаем.

Размывать фото

В любом фоторедакторе перед публикацией можно наложить фильтр размытия на область пальцев. Минута работы — и потенциальный хакер не получит четкого узора.

Не грузить в соцсети без сжатия

Да, соцсети и так все сжимают. Но есть нюанс. Некоторые мессенджеры сжимают фото сильно. Другие — меньше и бережнее к деталям. Стопроцентной защиты не дает никто, особенно если фото снято с близкого расстояния.

Увеличить дистанцию

Самый простой способ. Отойдите подальше от камеры. Или когда фотографируете кого-то — не подносите телефон к пальцам модели на расстояние меньше вытянутой руки.

С трех метров распознать информацию о руке уже трудно, а уж восстановить отпечаток — почти нереально. Хотя с учетом развития нейросетей и их способностей восстанавливать фотографии, уже ничего нельзя утверждать с уверенностью.

Использовать дополнительные способы аутентификации

Вот это по-настоящему полезный совет, который пригодится вам, даже если вы не верите в то, что ваши фото кого-то заинтересуют. Не полагайтесь только на отпечаток пальца.

Включите двухфакторку везде, где можно. Пусть на телефоне будет не только биометрия, но и PIN-код или сложный пароль.

В повседневной жизни не регистрируйте свою биометрию на чужих устройствах. Да, в отелях иногда просят приложить палец для сейфа. Не надо. Лучше запомните код.

А если вы параноик — используйте режим, когда для входа в приложения нужен и отпечаток, и пароль. Такая двойная защита отразит большинство атак.

Как еще воруют отпечатки пальцев и почему подделать их не так-то просто

Фотография — не единственный способ украсть вашу биометрию. И даже не самый частый. Есть множество методов, однако специалисты честно говорят, что они в массе своей больше про неоправданные сложности, чем про «подобрать плохо лежащие данные».

Для начала, стоит пояснить, какие вообще устройства для считывания отпечатков существуют:

• Емкостные сканеры. Самые распространенные. Работают на микротоках. Палец касается датчика, конденсаторы разряжаются — сильнее на гребнях, слабее на впадинах. Сканер измеряет разницу и строит картинку. Проблема: если подделка не проводит ток, датчик ее не увидит.
• Оптические сканеры. По сути — маленькая камера. Светит на палец через призму, снимает отражение от гребней и впадин. Обмануть их проще — нужна качественная фотография отпечатка. Но современные оптические датчики уже проверяют, не плоская ли картинка поднесена к объективу.
• Ультразвуковые сканеры. Самые продвинутые. Посылают звуковой сигнал и слушают эхо. Он отражается от гребней и впадин по-разному, но главное — датчик видит палец в объеме. Даже если приложить плоскую копию, он поймет, что глубина не та. Их часто прячут под экран смартфона. Считались неуязвимыми. Исследователи из Cisco Talos, однако, смогли обмануть и такие — но об этом чуть позже.

Какими способами у вас могут украсть отпечаток

Первый и самый прямолинейный: снять форму с пальца живого человека (допустим, спящего). Берется мягкая полимерная глина, прикладывается — и через несколько минут готова матрица. Для большинства мошенников это перебор, а вот подозрительные партнеры готовы иногда и не на такое, чтобы залезть в смартфон второй половинки.

Второй способ: украсть отпечаток с поверхности. Любую гладкую штуку — стекло, кружку, экран смартфона — можно обработать и проявить следы. Это уже ближе к криминалистике. Оставляет отпечаток человек в кафе, выпивает кофе, уходит. А злоумышленник подходит, снимает отпечаток с кружки — и готово.

Третий способ: раздобыть отсканированный отпечаток из утекших баз данных. Хранилища биометрии иногда взламывают, и тогда тысячи отпечатков уплывают в даркнет. Защититься от этого на 100% сложно, единственный способ — вообще не делиться своей биометрией с сервисами, несмотря на удобство идентификации.

Исследователи из Cisco Talos в 2024 году провели масштабный эксперимент. Они попытались подделать отпечатки тремя способами и проверили их на десятках устройств.

Самый эффективный способ — взять отпечаток со стеклянной поверхности, обработать, распечатать на 3D-принтере и отлить из специального материала. Только вот процесс занял часы. Калибровка принтера, подбор масштаба модели, выбор материала методом проб и ошибок — в общей сложности ушло больше пятидесяти попыток на одну форму. И около часа на печать одной модели.

Второй важный момент — материал. Емкостному сканеру нужно, чтобы подделка проводила ток. А ультразвуковому — чтобы создавала объемную картинку. Универсального «пальца для всех» не существует. То, что проходит на одном устройстве, может отлететь на другом.

Поэтому в лабораторных условиях взломщики добивались успеха в 80–90% случаев. Для реального ограбления тратить такие ресурсы на имитацию одного пальца — неоправданно сложно и дорого.

Сканеры отпечатков тем временем тоже с каждым годом совершенствуются. Смартфон Samsung A70 исследователи вообще не смогли обмануть — правда, он и настоящий палец владельца распознает через раз. А все устройства на Windows 10 показали стойкость к подделкам. Вероятно, потому что сравнением отпечатков там занимается сама ОС, а не производитель железа. И делает она это жестко.

Насколько велики реальные риски утечки данных через фото

Фотография может выдать не только рисунок на пальцах. Снимки высокого разрешения способны подарить злоумышленнику вашу радужную оболочку глаза. Или четкую картинку лица для подделки Face ID.

Например, отражение экрана в глазах. Уже известны атаки, когда хакер получает доступ к фронтальной камере смартфона, делает снимки или запись видео глаз человека, который набирает пароль на экранной клавиатуре — и по отражению в роговице вычисляет PIN-код.

Геометки — это вообще классика. Каждый снимок со смартфона может содержать точные координаты места съемки. Если не отключать службу геолокации для камеры, вы будете показывать всему миру, где живете, где работаете и куда поехали отдыхать. И когда вас нет дома.

И ладно бы только вшитые данные! Пользователи часто своими руками выкладывают в соцсети уйму чувствительной информации, каждый байт которой может быть использован против них. Номер билета на поезд или самолет, фото паспорта, права, договоры аренды, скриншоты брони — чего только не найдешь, полистав ленту.

Ну и наконец, кучу информации может дать банальное разглядывание фона фотографии. Плакаты на стене, книги на полке, номер дома или пейзаж за спиной — вот откуда злоумышленники узнают о вас все. В том числе иногда — ваши пароли или ответы на секретные вопросы. Так что фильтры размытия — не просто красивость ради красивости, а ваши надежные друзья в борьбе за конфиденциальность.

Хотя технологии для кражи ваши отпечатков уже есть и потенциально могут доставить вам немало хлопот, массовыми такие атаки все еще не стали. В плане утечек куда опаснее ваши видео- и аудиозаписи, потому что их как раз довольно массово используют для создания дипфейков.

Одна качественная видеозапись вашего лица и голоса секунд на 20 — и нейросеть может сгенерировать что угодно. Ваше лицо в любом видео. Ваш голос, говорящий любые слова. Аудиосообщения в мессенджерах, посты в соцсетях, интервью на YouTube — все это корм для алгоритмов. И орудие для преступников, которые от вашего лица могут позвонить кому угодно и убедить одолжить денег или поверить в опасную чушь.

А отпечатки пальцев, даже если их сумеют подделать, бесполезны без физического доступа к вашему смартфону или другому устройству, дающему доступ по вашей биометрии. Это как ключ без замка, разве что на шею повесить для украшения.

Но жест развернутой к себе V все-таки для фотографий лучше освоить. Спокойнее будет.