Биометрия бесполезна при использовании преступниками социальной инженерии
За первое полугодие 2025 года лишь ничтожный процент (0,0025%) клиентов крупного российского госбанка, использующих государственную биометрическую систему в онлайн-банкинге, стали жертвами краж средств. Об этом заявил представитель кредитной организации на Восточном экономическом форуме, назвав биометрическую защиту «новым этапом эволюции» в обеспечении безопасности клиентских данных и финансов. Возникает вопрос: действительно ли биометрическая верификация способна полностью обезопасить россиян от злоумышленников? Эксперты дают свои ответы.
Представитель госбанка отметил значительное снижение числа краж (до 0,0025%) у пользователей, подключивших биометрическую идентификацию. Антифрод-системы банка эффективно блокируют попытки вывода средств, требуя подтверждения операции по лицевой биометрии. Мошенники не могут обойти эту проверку, даже используя поддельные фотографии или сгенерированные ИИ изображения, что предотвращает кражи почти в 100% случаев. Прогнозы банка указывают на то, что к концу 2025 года биометрия поможет сохранить клиентам свыше 2 миллиардов рублей.
Банкир видит в биометрии «новый эволюционный этап» и «отраслевой стандарт», способствующий развитию цифровых услуг и обеспечивающий высокий уровень безопасности.
Однако эксперты по кибербезопасности настроены менее оптимистично. Александр Подобных, судебный эксперт и руководитель Комитета Ассоциации руководителей служб информационной безопасности (АРСИБ) по безопасности цифровых активов, подчеркивает, что биометрия эффективна только как часть комплексной системы киберзащиты, включающей как технические, так и организационные меры, а также высокий уровень осведомленности пользователей. Несмотря на удобство и скорость, которые делают биометрию популярной в банковских и финтех-приложениях, ее применение требует осторожности.
Уязвимость для киберпреступников и социальная инженерия
Основные недостатки биометрии включают невозможность изменения данных в случае утечки, вопросы конфиденциальности при сборе, потенциальные сбои при изменении внешности или плохом качестве интернет-соединения, высокую стоимость внедрения, а также необходимость адекватного законодательного регулирования. Подобных предупреждает, что базы биометрических данных являются крайне привлекательной целью для хакеров, требуя проактивных и постоянно совершенствующихся систем защиты, возможно, с использованием блокчейна и ГОСТ-криптографии.
Главная проблема, однако, заключается не в технических уязвимостях биометрии, а в доминировании социальной инженерии в схемах мошенничества в России. Большинство краж происходит не из-за взлома систем, а из-за того, что сами граждане под влиянием обмана переводят деньги злоумышленникам. По данным Генеральной прокуратуры, IT-преступления выросли на 13% в прошлом году, при этом две трети из них были совершены с использованием социальной инженерии.
Адвокат Игнат Лихунов из юридического агентства Cartesius подтверждает, что в таких случаях «взлома не происходит», поскольку потерпевший сам подтверждает операции.
Усложнение доступа, например, с помощью многофакторной аутентификации, может быть особенно полезно для защиты уязвимых категорий, таких как дети, для которых виртуальные активы часто имеют высокую ценность. В таких ситуациях, дополнительные шаги верификации служат не просто формальностью, а критически важным барьером. Они не только создают технические преграды (например, требование отпечатка пальца родителя), но и дают время на размышление, прерывая процесс и позволяя взрослым вмешаться. Таким образом, эффективная борьба с социальной инженерией требует продуманного и осознанного использования защитных технологий, а не их упрощения.
Плюсы и минусы технологического прогресса
Несмотря на снижение общего числа IT-преступлений на 2,3%, общий ущерб от них в России за первые семь месяцев 2025 года вырос на 16%, достигнув 119,6 млрд рублей, согласно МВД. Это означает, что мошенники, совершая меньше атак, похищают более крупные суммы. Эксперт по информационной безопасности Антон Редозубов прокомментировал, способна ли биометрия изменить эту тенденцию.
— Насколько обоснованы надежды банков на биометрию как защиту от мошенников?
— Современные биометрические алгоритмы, особенно для распознавания лиц, демонстрируют точность до 99,74%, что в сочетании с другими антифрод-мерами делает их почти непробиваемыми для мошенников. Однако эта защита бессильна, когда сам клиент, обманутый социальной инженерией, подтверждает операцию.
— Какие основные преимущества биометрии?
— Главное преимущество — высокая сложность подделки, особенно для лицевой биометрии. Примеры прошлого, как создание отпечатка пальца министра обороны Германии для обхода TouchID в iPhone 5S в 2014 году, устарели; современные технологии значительно продвинулись. Хотя устаревшие системы и голосовая биометрия могут быть уязвимы для подделок, обход лицевой биометрии пока представляется крайне сложным. Также возможны мошеннические действия, обходящие саму проверку через другие уязвимости.
— В чем заключаются главные риски этой технологии?
— Основной риск — частые ложные отказы, когда реальный пользователь не может пройти верификацию из-за, например, контактных линз или других изменений внешности. Теоретически, биометрические данные лица могут быть украдены, но создание реалистичного изображения для успешного прохождения верификации пока представляется чрезвычайно сложным. Для голосовой биометрии такие риски выше.
— Не нарушит ли повсеместное внедрение биометрии в российских банках права клиентов?
— Я не вижу в этом негативных последствий. Общество постоянно адаптируется к технологическим изменениям. Мы перешли от автомобильных ключей к бесконтактному доступу, от вставки карт в банкоматы к оплате телефоном. Эти изменения воспринимаются как прогресс. Биометрия в банкоматах не заменяет карту, а дополняет ее как способ предотвращения мошенничества. Проблема не в самой технологии, а в грамотном и безопасном использовании. Как мы научились пользоваться сенсорными экранами, так и к биометрии нужно подходить осознанно, чтобы использовать ее во благо.
Biometrics as a Means of Fraud Protection: Risks and Prospects
Biometrics are useless when criminals employ social engineering
In the first half of 2025, a mere 0.0025% of clients of a major Russian state bank, who had activated the state biometric system in their online banking, experienced financial theft. A top manager of the credit institution announced this at the Eastern Economic Forum, hailing biometric protection as a «new stage in evolution» for safeguarding client data and finances. The question arises: can biometric verification truly secure Russians from fraudsters? Experts provide their insights.
Florian Kopp/imageBROKER.com/Global Look Press
Biometrics: Evolution or Psychological Barrier?
The state bank representative highlighted a significant reduction in theft cases (down to 0.0025%) among users employing biometric identification. The bank`s anti-fraud systems effectively block attempts to withdraw funds by requiring facial biometric confirmation for transactions. Fraudsters are unable to bypass this verification, even with stolen client photographs or AI-generated images, thereby preventing nearly 100% of attempted thefts. The bank`s analysts project that by the end of 2025, biometric confirmation could save clients over 2 billion rubles from fraudulent activities.
The banker envisions biometrics as a «new evolutionary stage» and an «industry standard» that will drive the development of digital services and ensure a high level of security.
However, cybersecurity experts are less optimistic. Alexander Podobnykh, a forensic expert and head of the Association of Information Security Service Heads (ARSIB) Committee on Digital Asset Security and Fraud Counteraction, emphasizes that biometrics are effective only as part of a comprehensive cybersecurity system, encompassing both technical and organizational measures, alongside high user awareness. Despite the convenience and speed that make biometrics popular in banking and fintech applications, their implementation requires caution.
Vulnerability to Cybercriminals and Social Engineering
The main drawbacks of biometrics include the inability to change data if compromised, privacy concerns during collection, potential failures due to changes in appearance or poor network connectivity, high implementation costs, and the need for adequate legislative regulation. Podobnykh warns that databases of biometric data are highly attractive targets for hackers, necessitating proactive and continuously improving security systems, potentially leveraging blockchain and GOST cryptography.
The core issue, however, is not just the technical vulnerabilities of biometrics but the prevalence of social engineering in Russian fraud schemes. Most thefts occur not due to system breaches, but because individuals themselves are persuaded by fraudsters to transfer their own money. According to the Prosecutor General`s Office, IT crimes increased by 13% last year, with two-thirds of these being perpetrated through social engineering.
Ignat Likhunov, an attorney and founder of the Cartesius legal agency, confirms that in such cases, «no breach occurs,» as the victim personally authorizes the transactions.
Complicating access, for instance, through multi-factor authentication, can be particularly beneficial for protecting vulnerable groups like children, for whom virtual assets often hold significant value. In these scenarios, additional verification steps become not just a formality but a critically important barrier. They not only create technical obstacles (e.g., requiring a parent`s fingerprint) but also provide a moment for reflection, interrupting the process and allowing adults to intervene. Thus, effective combat against social engineering demands thoughtful and conscious application of security technologies, rather than their simplification.
Pros and Cons of Technological Progress
Despite a 2.3% decrease in the overall number of IT crimes, the total damage from such offenses in Russia for the first seven months of 2025 surged by 16%, reaching 119.6 billion rubles, according to the Ministry of Internal Affairs. This indicates that fraudsters are stealing larger sums through fewer attacks. Information security expert Anton Redozubov commented on whether biometrics can reverse this trend.
— Are banks` high hopes for biometrics as a fraud defense justified?
— Indeed, existing biometric verification algorithms, especially for facial recognition, achieve up to 99.74% accuracy. Combined with other anti-fraud practices, this makes them nearly impenetrable to fraudsters. Unfortunately, this protection is ineffective when a real client, manipulated by social engineering, confirms an operation.
— What are the main advantages of biometrics?
— The strong point is that such biometrics, particularly facial recognition, are almost impossible to fake. Past examples, like creating a fingerprint of Germany`s Defense Minister to bypass TouchID on an iPhone 5S in 2014, are outdated; modern technologies have advanced significantly. While older systems and voice biometrics might be vulnerable to spoofing, bypassing facial biometrics remains extremely challenging. Fraudulent activities can also occur by exploiting other vulnerabilities and bypassing the verification itself.
— What are the main risks associated with this technology?
— A weak point of biometrics is the high number of false negatives, where a legitimate person cannot pass verification due to factors like contact lenses or other changes in appearance. Theoretically, facial biometric data could be stolen, but creating a realistic image that passes verification is currently extremely difficult. Such risks are higher for voice biometrics.
— If Russian banks widely adopt biometrics, will this infringe on client rights?
— I do not foresee negative consequences from banks using biometrics. It sounds peculiar when people claim that without biometrics, a client won`t be able to access an ATM. We have long grown accustomed to technological advancements. We moved from car keys needing to be turned in the door to keyless entry, and from inserting cards into ATMs to paying with phones. These changes are perceived as progress. Biometrics in ATMs do not replace the card; they supplement it as a means to prevent theft. The issue is not fearing the technology itself but learning to use it to our advantage—just as we once learned to use touchscreens instead of button phones.
