Как бесплатные приложения для кэшбэка крадут вашу биометрию за три секунды верификации
Источник фото: Ilya Moskovets globallookpress.com
Быстрая регистрация, пара кликов, улыбка в камеру — и на счёт капает обещанный кэшбэк. Звучит как мечта экономного человека. Но за этими тремя секундами одобрения заявки часто скрывается нечто большее, чем просто приятный бонус. Бесплатные приложения для возврата денег за покупки в последнее время всё чаще оказываются ловушкой для биометрических данных. И это не страшилка из новостей, а реальная схема, которая набирает обороты в России
Пользователь скачивает яркое приложение, которое обещает щедрые бонусы за обычные походы в магазин. Всё легально, отзывы вроде бы нормальные. Но при попытке вывести первые деньги или активировать «суперкэшбэк» система вдруг просит подтвердить личность. Быстро и без напряга — просто посмотреть в камеру и сказать пару слов. Мол, так безопаснее, и бонусы сразу разблокируются.
Человек соглашается. На всё уходит не больше трёх секунд. Камера снимает лицо под разными углами, микрофон записывает обрывок фразы. Искусственный интеллект внутри приложения обрабатывает эти данные, и — о чудо — верификация пройдена, кэшбэк начислен. Пользователь доволен, не подозревая, что только что добровольно отдал незнакомцам свой цифровой слепок.
Почему лицо и голос опаснее пароля
В отличие от обычного пароля, который можно сменить за пять минут, лицо и голос не поменяешь. А утечка этих данных открывает перед мошенниками почти безграничные возможности.
Самый очевидный сценарий — доступ к деньгам. Многие банки сегодня используют голосовую биометрию: достаточно сказать фразу вроде «подтверждаю перевод», и операция проходит. Имея чистую запись голоса жертвы, злоумышленники могут попытаться обмануть систему.
Но это лишь вершина айсберга. С развитием технологий дипфейков злоумышленники научились создавать реалистичные видеоролики, где лицо жертвы говорит чужим голосом. Представьте, что ваш пожилой родственник получает видео от «вас» с мольбой срочно перевести деньги на счёт. Учитывая, что записано всё с вашего разрешения в приложении для кэшбэка — такая атака вполне реальна.
Кроме того, похищенные биометрические наборы активно продаются в даркнете. Их используют для взлома аккаунтов на «Госуслугах», в соцсетях, в рабочих сервисах, где требуется подтверждение личности по лицу. Пользователь даже не сразу поймёт, что кто-то действует от его имени.
Зачем разработчикам приложений красть биометрию, если можно просто показывать рекламу и зарабатывать честно? Ответ прост: биометрические данные стоят дорого. Один качественный набор с лицом и голосом на чёрном рынке может уйти за сотни долларов. А если приложение установили миллион человек, пусть даже пятая часть прошла такую «верификацию», — получается колоссальная база для преступников.
При этом само приложение может исправно платить кэшбэк какое-то время, чтобы ни у кого не возникало подозрений. Но его настоящая цель — не возвращать деньги, а собирать информацию.
В мае 2025 года в России ужесточили ответственность за утечки биометрии. Штрафы стали многократно выше, а саму кражу биометрических данных теперь выделяют в отдельные составы правонарушений. Однако закон — это всё-таки реактивная вещь. Пока чиновники пишут поправки, мошенники придумывают новые схемы. И спасать свои данные каждому приходится самостоятельно.
Как не стать жертвой
Никогда не передавайте биометрию приложениям, которые вы не до конца понимаете. Даже если они очень хвалят кэшбэк.
Вот несколько рабочих правил, которые помогут остаться в безопасности:
Не давайте доступ к камере и микрофону непроверенным программам. Особенно тем, которые появились из рекламы или ссылок от незнакомцев.
Не проходите «быструю верификацию» по лицу и голосу ради бонусов. Настоящие банки и государственные сервисы могут запросить биометрию, но только в своём официальном приложении и с понятным объяснением зачем. Кэшбэк-сервисы к таким не относятся.
Внимательно читайте разрешения при установке. Если программа для возврата денег просит доступ к камере, а не к чеку или геолокации — это уже подозрительно.
И главное: помните, что бесплатное — не значит безопасное. Особенно когда речь идёт о трёх секундах вашего внимания. За эти секунды вы можете отдать мошенникам то, что потом будете расхлёбывать годами. Сменить скомпрометированный пароль легко. А вот сменить лицо или голос — никак.