Схемы обмана в условиях глобальной цифровизации становятся всё более изощренными: злоумышленники создают тысячи фейковых аккаунтов, используют искусственный интеллект для подмены личности, перехватывают одноразовые пароли и покупают базы данных в даркнете. Как защититься от цифрового мошенничества, выяснял корреспондент CMN.KZ
Мы поговорили с основателем биометрической компании Biometric.Vision Алибеком Наримбаем, о том, как современные технологии помогают отличить обычного пользователя от недобросовестного и что делать казахстанцам, чтобы не стать жертвой онлайн-мошенников.
Оказывается, что классические методы, такие как пароли, SMS-коды и даже проверка по документам, больше не справляются.
Как нас обманывают в сети?
Цифровые сервисы сегодня используются почти во всех сферах – от банков до доставки и госуслуг. Вместе с этим растёт и количество онлайн-мошенничества.
По словам Алибека Наримбая, несмотря на это, есть несколько схем, которые аферисты используют особенно часто:
«Первая – это массовая регистрация фейковых аккаунтов. Тысячи учётных записей создают для накрутки рейтингов, получения приветственных бонусов, спама или продажи аккаунтов. От этого страдает не только бизнес, но и обычный пользователь».
В пример эксперт приводит ситуацию с билетами на легендарный футбольный матч между алматинским «Кайратом» и мадридским «Реалом», который состоялся в южной столице осенью 2025 года. Ещё до открытия продаж тысячи пользователей, как настоящих, так и созданных перекупщиками, выстроились в онлайн-очередь. Последние заработали на перепродаже билетов по завышенным ценам.
Вторая крупная угроза, по словам эксперта, кража данных чужих аккаунтов.
«Злоумышленники скупают в даркнете утекшие базы логинов и паролей, получая возможность действовать от имени других пользователей. Более того, многие казахстанцы используют один и тот же пароль на десятках сайтов, что позволяет мошенникам получить допуск к ещё большему количеству аккаунтов», – говорит Алибек Наримбай.
Третья схема – перехват доступа к сервисам через украденные или поддельные документы.
Человек загружает чужой паспорт или сгенерированное искусственным интеллектом удостоверение личности, чтобы пройти верификацию и получить доступ к финансовым или государственным сервисам. С появлением доступных инструментов для создания дипфейков эта угроза, по мнению эксперта, выросла многократно.
Почему пароли, SMS-коды, сканы документов перестают справляться?
Каждый из этих привычных методов защищает лишь частично, все они имеют одну уязвимость, которая в текущих условиях является непростительной для любой организации.
Пароль – это специальный набор символов, который придумал и знает пользователь, зарегистрировавший аккаунт. Однако знать его может не только владелец учётной записи. Базы паролей утекают регулярно: за последние годы в открытый доступ попали миллиарды учётных данных. Зная пароль, любой пользователь может получить доступ к вашему аккаунту.
SMS-коды, по словам Алибека Наримбая, тоже уже давно перестали быть надежным способом защиты.
«Еще в 2016 году Национальный институт стандартов и технологий США (NIST) сообщил о возможной уязвимости такого метода. А в 2025 году представитель Google по вопросам конфиденциальности Росс Ричендафер заявил о намерении компании полностью отказаться от отправки одноразовых сообщений как единственного способа доступа к учётной записи», – напоминает он.
Эксперт поясняет, что уязвимость этого метода определяется большим количеством способов перехвата: злоумышленник может перевыпустить SIM-карту пользователя, убедив, что он “потерял” телефон и получить доступ к его сообщениям.
«Вместе с этим существуют тысячи фишинговых сайтов, имитирующих официальные сервисы, которые выманивают SMS-пароли у пользователей для кражи доступа к аккаунтам и банковским картам», – добавляет он.
Некоторые организации, как отмечает Алибек Наримбай, в особенности финансовые структуры, при входе или проведении высокорисковых операций проверяют, есть ли у человека удостоверяющий документ. Но они не отвечают на главный вопрос: предъявляет ли документ тот человек, которому он принадлежит? Удостоверение можно подделать, украсть или просто сфотографировать чужой паспорт. Обычная проверка документа не гарантирует, что совершение операции инициирует его владелец.
«Общий изъян всех этих методов в том, что они проверяют артефакты (знания, предметы, бумаги), а не самого пользователя и его личность. При использовании вышеперечисленных методов сервис не может быть уверен в том, что все действия совершает действительно тот пользователь, за которого он себя выдает», – говорит эксперт.
Биометрия и пассивная идентификация – зачем и почему
В последние годы всё чаще говорят о биометрической идентификации. По словам Алибека Наримбая, она работает с уникальными физическими или поведенческими характеристиками человека. Это принципиально другой уровень проверки.
«Сегодня существует несколько разных видов биометрической проверки. Например, идентификацию проводят по отпечатку пальца или особому рисунку на ладони, которую не так давно ввели в Kaspi, по голосу и даже по радужке глаза. Однако наиболее распространенным и сбалансированным способом является идентификация на основе лица», – подчёркивает эксперт.
В качестве примера он приводит ситуацию, когда человек регистрируется на платформе. Современная система просит его сделать селфи и сфотографировать документ. Алгоритм сравнивает изображение на фото с лицом на документе:
«Но на этом проверка не заканчивается: система также анализирует, живой ли человек перед камерой. Это называется liveness detection – проверка "живости". Система может попросить моргнуть, повернуть голову или просто анализирует микродвижения лица в реальном времени. Распечатанная фотография или экран со снимком эту проверку не пройдут».
Эксперт уверен, что биометрические данные практически невозможно подделать: подменить лицо куда сложнее, чем украсть пароль или документ. При этом сама многоэтапная верификация в связке с распознаванием лица многократно усложняет задачу злоумышленнику:
«Каждый дополнительный шаг требует новых данных для взлома, при этом для обычного пользователя проверка занимает не более двух минут. В итоге подобный способ взлома становится настолько трудозатратным, что теряет смысл по сравнению с более простыми схемами. Атака перестает быть экономически оправданной и злоумышленник просто уходит туда, где защита слабее».
При этом биометрия помогает выявлять поддельные аккаунты и украденные личности. Как отмечает Алибек Наримбай, здесь система работает сразу в нескольких направлениях:
«Во-первых, она отсекает попытки использовать чужие документы. Если пользователь попытается зарегистрироваться с паспортом реального человека, то система сопоставит его лицо с фотографией в документе и увидит несовпадение. Украденный документ без его настоящего владельца бесполезен. То же касается и сгенерированных удостоверений и даже лица, включая как маски и фотографии настоящего человека, так и современные способы вроде сгенерированных фото и видео. Алгоритмы распознают подделку и не пропустят случай через проверку».
Во-вторых, по его словам, биометрия исключает создание нескольких аккаунтов на одного пользователя. Даже если мошенник использует разные имена, документы и устройства, то его лицо остается неизменным, а система не допустит повторной регистрации. Именно так разоблачаются схемы массового создания фиктивных аккаунтов для перепродажи билетов или использования приветственных бонусов.
«В-третьих, биометрическая идентификация помогает выявить подозрительные действия в уже существующих аккаунтах. Если вход в аккаунт происходит с биометрической проверкой, то сервис может убедиться, что это действительно владелец, а не получивший к нему доступ злоумышленник. Даже если мошенник попытается использовать лицо спящего или недееспособного владельца, то войти от чужого имени все равно не получится: система попросит открыть глаза, убрать медицинскую маску или очки. Провести операцию может только сам владелец, осознанно и добровольно».
Эксперт добавляет, что сегодня наметился главный тренд – переход от одноразовой верификации к непрерывной. И если сегодня большинство организаций проверяют личность лишь один раз, при входе или регистрации нового аккаунта, то в будущем платформы должны быть постоянно уверены, что за экраном находится именно владелец аккаунта – по его манере поведения, движениям, контексту действий, а в случае подозрительной активности запросить биометрическое подтверждение по лицу.
«Это называется пассивной идентификацией: пользователь не замечает никаких проверок, а система тем не менее постоянно подтверждает его личность», – поясняет спикер.
Ещё одним важным вектором может стать развитие мультимодальности, поскольку надёжнее всего работают те системы, которые сочетают в себе сразу несколько методов и чем больше независимых проверок проводит система, тем сложнее их подделать одновременно.
«Наконец, уже достаточно развиты современные технологии. Сейчас мы наблюдаем настоящую гонку вооружений: по мере того, как мошенники научились использовать генеративный ИИ, детекторы учатся их распознавать. Например, мы в Biometric.Vision уже учитываем эту реальность – при каждой проверке наша система анализирует не только соответствие лица документу, но и признаки использования искусственно сгенерированного контента. Сегодня лучшие системы справляются с этой задачей с высокой точностью, но развитие продолжается с обеих сторон», – резюмирует эксперт.
Ранее глава государства Касым-Жомарт Токаев потребовал кардинально пересмотреть методы борьбы с киберпреступностью. Об этом он заявил в январе 2026 года во время совещания в Генеральной прокуратуре.
Президент подчеркнул актуальность защиты персональных данных граждан и отметил, что в стране участились случаи утечки личных данных граждан в информационном пространстве. По его словам, для максимальной защиты персональных сведений казахстанцев, этой работой следует заниматься на системной основе.
Подписывайтесь на официальный Telegram-канал CMN.KZ
