Дипфейки на видеозвонках и пустые SMS-коды: почему верификация в 2026 году — это не то, что было раньше
В начале 2024 года бухгалтер одной гонконгской компании получил звонок в Zoom от финансового директора. Голос знакомый, лицо тоже. Директор попросил срочно перевести 25 миллионов долларов на счета партнеров — мол, сделка горит. Бухгалтер перевел. Только через несколько дней выяснилось, что на том конце был не человек, а дипфейк в реальном времени. Деньги ушли безвозвратно.
Это не киберпанк и не сюжет для Netflix. Это реальный кейс, после которого компании по всему миру начали пересматривать подходы к удаленной верификации. К 2026 году ситуация стала еще острее: Всемирный экономический форум признал мошенничество с использованием AI главной киберугрозой для бизнеса — опаснее программ-вымогателей.
Что изменилось за два года
Если честно, проблема не в том, что мошенников стало больше. Проблема в том, что технологии стали доступнее.
Для создания убедительного дипфейка нужны были специальные навыки и оборудование.
Это делается через веб-сервисы за пару долларов. Появился целый рынок "мошенничество как услуга" (Fraud-as-a-Service) — можешь заказать готовый видеозвонок с подменой лица, даже если в программировании ноль.
Дипфейки научились работать в реальном времени. То есть мошенник общается с вами в Zoom, а нейросеть тут же накладывает на его лицо маску другого человека. Человеческий глаз это уже не распознает. Традиционные способы проверки типа "попросите повернуть голову" больше не работают — система обрабатывает движения мгновенно.
Почему SMS-коды перестали быть защитой
Мы привыкли к двухфакторной аутентификации: ввел пароль — получил SMS — подтвердил. Казалось бы, надежно. Но к 2026 году эта схема дала трещину в нескольких местах.
Это когда мошенники делают дубликат вашей SIM-карты. В Казахстане в 2025 году около 22% случаев интернет-мошенничества были связаны именно с телефонным фродом.
ИИН многих казахстанцев оказались в открытом доступе. Имея ИИН и доступ к номеру телефона, можно попытаться оформить микрозайм на чужое имя.
Комбинация реальных ИИН с вымышленными именами и AI-фото. Финансовый сектор потерял на таких схемах 12,5 млрд долларов в 2025 году.
Понятно, что SMS-код сам по себе не доказывает ничего, кроме того, что у кого-то есть доступ к телефону. А доступ может быть временным, украденным или перехваченным.
Как государство отреагировало
Казахстан в этом плане среагировал быстро. С января 2026 года вступил в силу Цифровой кодекс, который обязал компании, работающие с базами данных больше 100 тысяч человек, использовать многофакторную аутентификацию с биометрией.
Плюс ввели жесткие правила для мобильных операторов:
- Не больше 10 SIM-карт на одного человека (чтобы прикрыть "фермы" номеров)
- Обязательная биометрия при регистрации нового номера
- Интеграция с Антифрод-центром Нацбанка для блокировки подозрительных звонков в режиме реального времени
Отдельно запустили Национальную биометрическую систему аутентификации. Это не просто база фотографий — это инфраструктура, которая связывает цифровой профиль человека с его физическими параметрами. Доступ к госуслугам теперь часто требует подтверждения через Face ID.
Что такое Liveness Detection и зачем он нужен
Хорошо, биометрия — это понятно. Сканируем лицо, сверяем с базой. Но что мешает мошеннику просто показать камере фотографию нужного человека? Или запустить видео с записью?
Здесь в дело вступает технология Liveness Detection — проверка "живости". Современные системы не просто смотрят на лицо. Они анализируют:
Система все проверяет сама, пользователь просто смотрит в камеру. Быстро, удобно, но требует мощного алгоритма. Точность современных решений — около 99,9%.
Система просит выполнить случайные действия: повернуть голову, улыбнуться, моргнуть. Это сложнее обмануть, но неудобнее для пользователя.
Есть еще одна засада — инъекционные атаки. Это когда мошенник не показывает подделку камере, а вообще обходит камеру стороной и напрямую подсовывает в приложение заранее записанный видеофайл. По данным отчетов, количество таких атак выросло на 40% в 2025 году. Поэтому серьезные системы проверяют целостность SDK — смотрят, не запущен ли на телефоне эмулятор или виртуальная камера.
Как это работает на практике (на примере TrustContract)
Когда мы разрабатывали TrustContract, задача была понятной: сделать удаленное подписание документов таким же юридически надежным, как встреча с нотариусом, но без геморроя с поездками и очередями.
Проблема в том, что просто "нажать кнопку в приложении" — это риск. Нажать может кто угодно. Поэтому мы собрали цепочку из двух проверок, которые срабатывают автоматически.
Когда человек вводит ИИН для подписания договора, система обращается к государственной базе и спрашивает: "Этот номер телефона действительно зарегистрирован на этого человека?" Если нет — процесс останавливается.
Пользователь просто смотрит в камеру смартфона несколько секунд. Система:
- Проверяет, что перед камерой живой человек (Liveness)
- Сверяет полученный снимок с эталонным фото из госбазы
- Вшивает биометрический хеш в метаданные документа
Все это занимает секунд 5–10. Но дает юридическую защиту, которую раньше можно было получить только при личной встрече.
Почему это важно для бизнеса (кроме безопасности)
Есть такая штука — "дружественный фрод" (friendly fraud). Это когда человек сам совершает покупку или берет заем, а потом говорит: "Это был не я, меня взломали, верните деньги". По статистике Mastercard, количество таких диспутов растет на 24% в год.
С биометрией эта схема рассыпается. Суды в Казахстане уже выработали практику: если у компании есть Face-хеш и логи прохождения Liveness-теста, иск отклоняется в 99% случаев.
Для HR это тоже критично. Когда нанимаешь удаленно разработчика из другого города, хочется быть уверенным, что трудовой договор подписал именно этот человек, а не кто-то под его именем.
Для работы с нерезидентами вообще незаменимо. У иностранца может не быть ИИН или регистрации в БМГ, но паспорт есть. Face ID позволяет верифицировать его по загранпаспорту и легально заключить договор.
Что дальше
Технологии не стоят на месте, и мошенники тоже. Эксперты уже говорят о следующем этапе — "агентской коммерции", когда AI-помощники будут совершать покупки и подписывать документы от имени людей. Это поставит новые вопросы: как подтвердить, что человек действительно давал своему цифровому двойнику такие полномочия?
Ответ, скорее всего, будет в риск-ориентированной идентификации. Системы будут анализировать не только лицо, но и контекст: где находится человек, с какого устройства заходит, как ведет себя, соответствует ли это его обычным паттернам. Мультимодальная проверка вместо одной биометрии.
Но это уже следующая итерация. Пока что главная задача — закрыть дыры, которые есть сейчас. И честно говоря, дыр еще достаточно.
Резюме без пафоса
Мир не стал безопаснее. Просто изменились правила игры. То, что работало в 2023 году (SMS-коды, простые пароли), сейчас уже не защищает. Дипфейки стали дешевыми и массовыми, SIM-карты легко клонируются, а синтетические личности плодятся как на конвейере.
Биометрия — не панацея. Но на сегодня это единственный способ с приемлемой точностью понять, что на другом конце провода реальный человек, а не нейросеть или мошенник с чужим телефоном.
В TrustContract мы объединили государственную сверку (БМГ) и технологии распознавания лиц (Face ID + Liveness) в один процесс. Это не идеально — технологии взламываются, дорабатываются, улучшаются. Но пока что это лучшее, что есть на рынке для защиты удаленного подписания документов.
Если работаете с договорами, займами, HR-документами — стоит подумать о переходе на такие решения. Не потому что модно, а потому что альтернатива — это риск проснуться с чужим долгом или потерять деньги из-за оспоренной сделки.
И да, регуляторы уже приняли решение за вас. Цифровой кодекс 2026 сделал биометрию обязательной для компаний с большими базами данных. Так что это не вопрос "хотим ли мы", а вопрос "как лучше внедрить".
Внедрить TrustID