Дипфейки и спуфинг-атаки: какие бывают и как им противостоять

Отмечайте пункты, которые поставщик подтверждает документами, настройками или демо. Прогресс и итоговый вывод обновляются автоматически, отметки сохраняются в браузере.

1 Режимы проверки и сценарии работы 0/5

Активный режим легко объяснить клиенту, пассивный почти не меняет путь пользователя. Зрелый сервис поддерживает оба режима и умеет переключаться по риску.

Поддерживается пассивный режим (1–2 секунды без действий пользователя)
Поддерживается активный режим (моргнуть, повернуть голову, произнести фразу)
Есть гибридный сценарий: пассивная проверка по умолчанию, активная — по риску
Правила переключения настраиваются под продукт (кредит, кошелёк, биржа, P2P)
Описан запасной сценарий (fallback): подсказка, повторная попытка, ручная проверка

2 Защита от спуфинга и дипфейков 0/5

Базовая модель должна закрывать дешёвые атаки, а зрелый антифрод — противостоять подмене лица в реальном времени.

Распознаёт атаку с распечатанным фото (print attack)
Распознаёт воспроизведение фото или видео с экрана (replay attack)
Распознаёт атаку с 3D-маской (силикон, латекс, печать)
Учитывает риск дипфейка в реальном времени (live deepfake) в связке с другими сигналами
Анализирует лицо, цифровой след устройства и поведение видеопотока

Красный флаг: поставщик обещает «100 % защиту от дипфейков». В биометрическом антифроде такая формулировка некорректна — зрелый вендор объясняет границы модели и сценарии повторной проверки.

3 Стандарты и применимость в KYC 0/3

В техническом задании требование лучше описывать через обнаружение атак предъявления (PAD): какие подмены должен распознавать сервис и где проходит граница его применимости.

Поставщик описывает классы атак: фото, видео с экрана, 3D-маска, дипфейк в реальном времени
Понятно, как решение соотносится с ГОСТ Р 58624.3-2019 или ISO/IEC 30107-3
Указано, к какой версии продукта, SDK/API и сценарию захвата относятся подтверждающие документы

Что проверить: совпадает ли заявленная конфигурация с реальным сценарием площадки: канал захвата, SDK/API, устройство и правила эскалации.

4 Биометрия, роли и журнал решений 0/6

Liveness работает с биометрическими персональными данными. Поставщик должен быть понятен compliance, юристам и команде, которая будет разбирать спорные проверки.

Понятно, где обрабатывается образец: устройство, контур поставщика, контур заказчика или ГИС ЕБС
Указано, сохраняется ли образец после проверки или используется однократно
Распределены роли: оператор ПДн, обработчик по поручению, ответственный за биометрическое взаимодействие
Канал передачи биометрии защищён, есть описание модели угроз
В журнал попадают request_id, дата и время, версия модели, статус проверки и итоговый вердикт
Можно восстановить ход проверки при споре, жалобе клиента или запросе партнёра

5 Интеграция, UX и работа с отказами 0/7

Интеграция должна поддерживать разные точки KYC-процесса: быстрый веб-сценарий, финальную проверку в приложении, повторную попытку и ручную эскалацию.

Есть мобильный SDK для iOS и Android с управляемым захватом видеопотока
Есть веб-захват изображения (web capture) для лид-форм и веб-воронки
Есть API для встраивания в собственный KYC-процесс
API можно расширить под несколько стран: страна и тип документа, язык, локальные правила хранения
Liveness можно включать при регистрации, входе с нового устройства, смене реквизитов и крупных операциях
При плохом свете, блике или старой камере пользователь получает понятную подсказку
Есть повторная попытка, активный сценарий и перевод заявки на ручную проверку при неуверенном результате

Чек-лист не заполнен

Начните с режимов проверки и применимости в KYC

Отметьте пункты, которые поставщик подтверждает документами, описанием сценариев или демо. Итоговый вывод появится после ответов во всех разделах.

Как выбрать liveness-поставщика в 2026 году