Оплата налицо: какие риски несут платежи по биометрии

Лицом к кассе: как взлетели биометрические платежи

В 2025 году рынок биометрических платежей в России показал резкий рост. Только за девять месяцев число операций достигло почти 146 млн (в девять раз больше, чем за аналогичный период 2024 года), в денежном выражении — с 21,6 млрд до 112,6 млрд руб.

Если сравнить с другими безналичными способами оплаты, то, например, количество операций через интернет- и мобильный банкинг за аналогичный период прошлого года вышло на уровень 2024-го, QR-платежи увеличились примерно на четверть.

Показательна и динамика по числу пользователей Единой биометрической системы (ЕБС). В 2025 году количество людей, добровольно сдавших биометрию, увеличилось в три раза, до 9 млн человек (за два года аудитория сервиса выросла почти в 18 раз).

В 2026 году ожидается ещё больший приток клиентов в первую очередь за счёт роста инфраструктуры терминалов и межбанковского биоэквайринга, а также расширения регуляторных требований. Например, с 1 марта биометрия будет обязательна для получения микрозаймов.

Ко всему прочему, технология получит развитие в таких направлениях, как цифровые помощники, ИИ-ассистенты и агенты, и будет интегрирована в государственные сервисы и услуги маркетплейсов.

Биометрия как новый «кошелёк»: без карт, телефона и стикеров

Важный фактор популярности биометрии — удобство. Технология делает человека независимым от кошельков, карт, платёжных стикеров и даже смартфонов. «Уже несколько лет в России отключены зарубежные платёжные сервисы. Биометрия позволяет вернуться к удобным бесконтактным платежам, независимо от того, какой операционной системой пользуется человек», — рассказали «Киберболоиду в пресс-службе АО «Центр биометрических технологий» (ЦБТ, оператор ЕБС).

Самые популярные платежи с помощью биометрии — оплата покупок и проезда в метро. Также по биометрии можно совершить юридически значимые действия, например зарегистрировать организацию или ИП дистанционно за один день в рамках сервиса «Старт бизнеса онлайн». Кроме того, пользователям ЕБС стал доступен сервис подтверждения возраста при покупке энергетических напитков. В списке планируемых проектов на 2026 год — посадка на поезд и в самолёт без паспорта, которые будут доступны в рамках пилотных проектов.

Привлекательно для мошенников

Стремительный рост биометрических платежей привлекает внимание киберпреступников. Как ранее комментировала руководитель группы защиты бренда Angara SOC Мария Михайлова, в даркнете услуги по установлению личности по биометрии подорожали на 30% по сравнению с 2024 годом, до 13 тыс. руб., по сравнению с 2023 годом — рост в 2,5 раза. Также на 1,5 тыс. руб. в среднем повысилась стоимость услуг по определению местонахождения объекта в реальном времени по сравнению с 2024 годом, отметила она. На чёрном рынке всё чаще востребованы не сырые наборы данных, а полноценные цифровые профили граждан. В них входят паспортные данные, СНИЛС и биометрия, собранные из множества небольших утечек. Чтобы добыть их, в ход идут самые разные средства — от дипфейков до схем социальной инженерии.

Один из векторов атаки — обман биометрического сенсора, когда злоумышленник предъявляет считывателю поддельный биометрический артефакт. Раньше такие атаки часто были простыми, например демонстрация фотографии высокого разрешения перед камерой распознавания лица. С появлением генеративного ИИ сложность таких атак выросла экспоненциально. Теперь злоумышленники используют технологии дипфейков, чтобы создавать очень реалистичные видеопотоки, которые могут обманывать многие системы проверки, предназначенные для выявления признаков реального живого человека (моргание, мимика и т. д.). Аналогично они могут применять 3D-печать высокого разрешения и материалы вроде желатина или силикона, чтобы создавать убедительные копии отпечатков пальцев, которые способны обманывать многие распространённые сенсоры. Возможность дёшево и точно подделывать биометрические признаки с помощью AI превратила атаку, которая раньше была сложной, в широкодоступную.

В числе продвинутых техник — прямая атака на биометрический считыватель. Злоумышленник может физически модифицировать устройство так, чтобы внедрить заранее записанный легитимный биометрический шаблон в память сенсора. Ещё одна уязвимость — канал связи. Во многих системах с плохой реализацией данные, которые передаются от биометрического сенсора на центральный сервер для сопоставления, шифруются недостаточно надёжно. Злоумышленник может провести атаку man-in-the-middle, перехватить эту коммуникацию и украсть биометрические данные в процессе передачи.

Одна из самых масштабных утечек биометрии произошла в апреле 2025 года в Индии, где группа мошенников скомпрометировала национальную биометрическую ID‑систему Aadhaar. Эксплуатируя уязвимости в ПО, злоумышленники незаконно использовали биометрические данные более чем 1,5 тыс. держателей карт Aadhaar. Они применяли клонированные учётные данные и биометрию законных операторов: снимки радужки, силиконовые слепки отпечатков и модифицированные сканеры. В результате мошеннические операции обрабатывались так, как будто они были авторизованы.

Как защитить свою биометрию

Такие данные уникальны и не могут быть изменены, как пароль, поэтому их кража становится особенно критичной, отметил директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко.

«Злоумышленники могут использовать подделку отпечатков, фотографий или 3D-моделей для обхода систем распознавания. Сегодня они уже применяют силиконовые отпечатки или фото для обмана сканеров. Также существует угроза утечки данных через сторонние сервисы, где хранятся шаблоны пользователей, особенно в случае компрометации таких сервисов. Данные могут перехватить в пути, если связь не зашифрована на 100%», — рассказал «Киберболоиду» Павел Коваленко. По его словам, использование биометрии как единственного способа подтверждения платежа увеличивает риск мошенничества при компрометации устройства.

Для снижения риска утечки данных компании ищут способы не только надёжно хранить информацию, но и безопасно обрабатывать её во внешних средах. Одно из решений — гомоморфное шифрование (HE, homomorphic encryption). Оно предполагает, что сама биометрия может оставаться зашифрованной на сервере, сравнение или проверка выполняется над этими зашифрованными данными без их раскрытия. Серверу не нужно иметь доступ к исходным биометрическим изображениям или шаблонам в открытом виде, что уменьшает риск утечки или злоупотребления этими данными. Гомоморфное шифрование уже используется на рынке, например в решениях для proof of humanity компании Privasea. Из-за ресурсоёмкости этот вид защиты пока не очень популярен, но учёные прогнозируют рост этого рынка на 8% к 2032 году.

В числе других решений, например, связка биометрических данных с ключами-passkeys. При такой технологии сервер получает только цифровую подпись, созданную устройством на основе случайного набора байтов, и сверяет её с открытым ключом. Таким образом работает WebAuthn.

Насколько безопасна биометрия

По данным ВЦИОМ, применение биометрических технологий у россиян занимает первое место в рейтинге надёжных способов подтверждения личности при использовании цифровых устройств. «Каждый второй видит в биометрии способ защититься от мошенничества с кредитами. Половина опрошенных считает подтверждение личности при помощи биометрии надёжным способом защиты покупателей от недобросовестных онлайн-продавцов», — сообщает ВЦИОМ.

«Например, в случае очного визита в банк проверка биометрии гарантированно повышает уровень безопасности транзакций», — говорит старший аналитик данных R&D-лаборатории Центра технологий кибербезопасности ГК «Солар» Марина Рябова. Это гораздо надёжнее ввода пароля, который можно передать третьему лицу. «В случае с онлайн-банкингом использование биометрии сопряжено с рисками применения дипфейков и других уловок, подделывающих как внешний вид, так и голос. Метаданные в файле селфи, сделанного здесь и сейчас, тоже можно подделать. Нам известны случаи, когда мошенник в качестве доказательства присылал свое «селфи с паспортом», оказавшееся фотографией совершенно другого человека. Иногда мошенники используют запись голоса «жертвы», которая отвечает утвердительно на какие-то пункты «социологического опроса». Сложнее всего подделать отпечаток пальца — именно поэтому многие системы используют его в качестве второго фактора аутентификации в мобильных приложениях», — рассказала Марина Рябова.

Несмотря на риски, биометрия сегодня остаётся одним из самых надёжных методов проверки (конечно, когда она реализована правильно). Это включает такие меры защиты, как развёртывание программного обеспечения на месте, надёжные политики управления идентификацией и доступом, а также дополнительные проверки для транзакций с высоким риском как со стороны сотрудников, так и со стороны клиента.

При этом важна гибкость настройки безопасности для биометрических систем, чтобы не допустить ошибки FAR (False Acceptance Rate — пропуск чужого) и FRR (False Rejection Rate — задержание своего). Чем жёстче порог распознавания, тем ниже вероятность, что в систему попадёт посторонний. В то же время выше риск, что доступ временно потеряет легитимный пользователь, если изменится его внешний вид (например, появится борода). А вот при слишком мягких настройках сервисом пользоваться становится удобнее, но увеличивается вероятность ошибочной идентификации и мошеннических операций.

На сегодня статистика мошенничества непосредственно с биометрическими платежами в России остаётся низкой. Например, за шесть месяцев прошлого года с кражами своих средств столкнулись всего 0,0025% клиентов банка ВТБ, подключивших государственную биометрию. При попытках мошенников вывести деньги срабатывает антифрод-система, обойти которую дипфейки не могут, даже имея фото клиента или сгенерированное с помощью нейросетей изображение.

«Данные ЕБС защищает государство по самым строгим требованиям. Во всех операциях применяются специальные векторы — обезличенные последовательности символов, сгенерированные на основе биометрических образцов, — пояснили в ЦБТ. — Важный момент: в системе хранятся зашифрованные фото и записи голоса без привязки к персональным данным. Там нет паспортов, ИНН, адресов. Архитектура выстроена так, что взлом лишён смысла: мошенник не сможет переиспользовать зашифрованные обезличенные фотографии».

Как снизить риск утечки биометрических данных

Впрочем, эффективность технологий защиты не отменяет важности бдительности самих граждан. Эксперты рекомендуют пользователям:

• максимально ограничить круг сервисов, которым они доверяют свою биометрию;
• использовать биометрию только в официальных приложениях банков и на сайте «Госуслуги»;
• ни в коем случае не подтверждать личность по видеозвонку или по просьбе из мессенджеров (если не сами инициировали процесс);
• не переходить по сомнительным ссылкам и не выдавать доступ к камере и микрофону неизвестным приложениям;
• не передавать биометрию сомнительным организациям — проверять, аккредитован ли оператор в реестре Роскомнадзора;
• использовать двухфакторную аутентификацию, например в банковских приложениях дополнительно подтверждать операции SMS-кодом;
• регулярно проверять свою биометрию — в личном кабинете на сайте «Госуслуги» можно посмотреть, какие организации запрашивали данные;
• удалять биометрию, если больше не хочется её использовать — сделать это можно через портал «Госуслуги» или в МФЦ;
• проверять, как сервисы обрабатывают и хранят данные, передают ли они их третьим лицам, и если да, то для чего. Это информация, которую обычно пролистывают в пользовательском соглашении.

При этом важно помнить, что любая дополнительная биометрическая идентификация, даже при наличии шифрования и защиты, увеличивает площадь атаки. Чем больше точек, через которые злоумышленник теоретически может попытаться взломать систему или украсть данные, тем выше риск.