Connect with us

Miten huijarit käyttävät tekoälyä pankkipetoksissa

Kyberturvallisuus

Miten huijarit käyttävät tekoälyä pankkipetoksissa

mm
Published
Updated

Tekoäly on antanut huijareille mahdollisuuden kiertää puhuvien tunnistusjärjestelmien ja äänen tunnistusjärjestelmien tarkastukset, mikä mahdollistaa väärennettyjen tunnistamis- ja rahoitusasiakirjojen nopean tuottamisen. Heidän menetelmänsä ovat kehittyneet yhä kekseliäämmiksi, kun generatiivinen teknologia kehittyy. Miten kuluttajat voivat suojella itseään, ja mitä rahoituslaitokset voivat tehdä auttamaan?

1. Deepfake parantaa huijauksen tehostetta

Tekoäly mahdollisti historian suurimman onnistuneen huijauksen. Vuonna 2024 Yhdistyneen kuningaskunnan Arup — insinöörikonsulttiyhtiö — hävisi noin 25 miljoonaa dollaria sen jälkeen, kun huijarit pettivät yhden henkilöstön jäsenen siirtämään varoja videoneuvottelun aikana. He olivat digitaalisesti kloonanneet oikean johtoryhmän, mukaan lukien talousjohtajan.

Deepfake käyttää generointi- ja diskriminaattorialgoritmeja digitaalisen kloonin luomiseen ja realismin arviointiin, mikä mahdollistaa jonkun kasvonpiirteiden ja äänen vakuuttavan matkinnan. Tekoälyllä rikolliset voivat luoda yhden vain yhden minuutin ääninäytteestä ja yhdestä valokuvasta. Koska nämä tekoälykuvat, ääniklipit tai videot voivat olla esikäynnistettyjä tai suoratoistettuja, ne voivat ilmestyä minne tahansa.

2. Generatiiviset mallit lähettävät väärennettyjä petosvaroituksia

Generatiivinen malli voi lähettää samanaikaisesti tuhansia väärennettyjä petosvaroituksia. Kuvitellaan, että joku murtautuu kuluttajaelektroniikkaan. Suuret tilaukset tulevat, ja heidän tekoälynsä soittaa asiakkaille ja kertoo, että pankki on merkinnut transaktion petokselliseksi. Se pyytää heidän tilinumeroa ja turvakuilun vastauksia, sanomalla, että se on pakko vahvistaa heidän identiteettinsä.

Kiireellinen puhelu ja petoksen viittaus voi vakuuttaa asiakkaat antamaan pankki- ja henkilökohtaisen tiedon. Koska tekoäly voi analysoida valtavat määrät dataa sekunneissa, se voi nopeasti viitata oikeisiin faktoihin tehdäkseen puhelun vakuuttavammaksi.

3. Tekoälymääräyksen avulla tehostetaan tiliyhtiöt

Vaikka kyberrikollinen voisi murtautua järjestelmään loputtomasti arvaamalla salasanoja, he usein käyttävät varastettuja kirjautumistietoja. He muuttavat välittömästi salasanan, varmistus-sähköpostin ja monen tekijän todennusnumeron estääkseen oikean tilinomistajan heittämisen ulos. Kyberturva-asiantuntijat voivat puolustautua näitä taktiikoita vastaan, koska he ymmärtävät pelikirjan. Tekoäly esittää tuntemattomia muuttujia, mikä heikentää heidän puolustustaan.

Määräytyminen on vaarallisin ase, jonka huijari voi omistaa. He usein kohdistavat ihmisiä huippuliikenteen aikana, kun tapahtuu paljon transaktioita — kuten Black Friday — tehdäkseen siitä vaikeamman valvoa petoksia. Algoritmi voisi mukauttaa lähetyksen aikaa henkilön rutiinin, ostotottumusten tai viestien mieltymysten mukaan, mikä tekee heistä todennäköisemmän osallistumisen.

Edistynyt kieligenerointi ja nopea prosessointi mahdollistavat massasähköpostien luomisen, verkkotunnusväärinkäytön ja sisällön määräytymisen. Vaikka pahantahtoiset toimijat lähettävät 10 kertaa enemmän viestejä, kunkin viestin näyttää aidolta, vakuuttavalta ja relevantilta.

4. Generatiivinen tekoäly uudistaa väärennetyn sivuston huijauksen

Generatiivinen teknologia voi tehdä kaiken alkaen wireframin suunnittelusta sisällön järjestelyyn. Huijari voi maksaa vaivaisen summan luodakseen ja muokatakseen väärennetyn, koodittoman sijoitus-, laina- tai pankkisivuston sekunneissa.

Toisin kuin perinteinen phishingsivu, se voi päivittyä lähes reaaliajassa ja reagoida vuorovaikutukseen. Esimerkiksi, jos joku soittaa listaan puhelinnumeron tai käyttää live-keskustelutoimintoa, he voivat olla yhteydessä malliin, joka on koulutettu toimimaan rahoitusneuvonantajana tai pankkityöntekijänä.

Yhdessä tapauksessa huijarit kloonasivat Exante-alustan. Globaali fintech-yritys antaa käyttäjille pääsyn yli miljoonaan rahoitusvälineeseen kymmenissä markkinoissa, joten uhrit luulivat, että he olivat todella sijoittamassa. Todellisuudessa he tunsivat tietämättömästi varoja JPMorgan Chasen tilille.

Exanten mukaisen määräyksen johtaja Natalia Taft sanoi, että yritys löysi ”melko monta” samanlaista huijausta, mikä viittaa siihen, ettei ensimmäinen ollut erillinen tapaus. Taft sanoi, että huijarit tekivät erinomaisen työn kloonaten sivuston käyttöliittymän. Hän sanoi, että tekoälytyökalut luultavasti loivat sen, koska se on ”nopeuspeli”, ja heidän on ”osallistuttava mahdollisimman moniin uhreihin ennen kuin heidät poistetaan”.

5. Algoritmit ohittavat elävyyden tunnistusvälineet

Elävyyden tunnistus käyttää reaaliaikaisia biometrisiä tietoja määrittämään, onko kameran edessä oleva henkilö aito ja vastaako se tilinomistajan ID: tä. Teoriassa tunnistusjärjestelmien ohittaminen tulee haasteellisemmaksi, estäen ihmisiä käyttämästä vanhoja valokuvia tai videoita. Kuitenkin se ei ole yhtä tehokas kuin ennen, kiitos tekoälypohjaiset deepfake -teknologiat.

Kyberrikolliset voivat käyttää tätä teknologiaa matkimaan oikeita ihmisiä nopeuttaakseen tilin kaappauksen. Vaihtoehtoisesti he voivat huijata työkalun vahvistamaan väärennetyn henkilöllisyyden, helpottaen rahan pesua.

Huijarit eivät tarvitse koulutusmallia tähän — he voivat maksaa esikoulutetun version. Yksi ohjelmistopäätös väittää, että se voi ohittaa viisi merkittävintä elävyyden tunnistusvälinettä, joita fintech-yritykset käyttävät yhden kerran ostamalla 2 000 dollarin kertamaksulla. Mainoksia tällaisista työkaluista on runsaasti alustoilla, kuten Telegram, osoittaen modernin pankkipetoksen helppoutta.

6. Tekoälyidentiteetit mahdollistavat uuden tilin petoksen

Huijarit voivat käyttää generatiivista teknologiaa varastamaan henkilön identiteetin. Pimeässä verkossa on monia paikkoja, jotka tarjoavat väärennettyjä valtion myöntämiä asiakirjoja, kuten passi- ja ajokortteja. Sen lisäksi he tarjoavat väärennettyjä itsevalokuvia ja taloudellisia tietoja.

Synteettinen identiteetti on keksitty persona, joka on luotu yhdistämällä aitoja ja väärennettyjä yksityiskohtia. Esimerkiksi sosiaaliturvatunnus voi olla aito, mutta nimi ja osoite eivät ole. Seurauksena ne ovat vaikeampia havaita perinteisillä työkaluilla. Vuoden 2021 Identiteetti- ja petostrendiraportti osoittaa, että noin 33% vääriä positiivisia Equifax näkee ovat synteettisiä identiteettejä.

Ammattimaiset huijarit, joilla on runsaat budjetit ja korkeat tavoitteet, luovat uusia identiteettejä generatiivisilla työkaluilla. He kasvattavat personaa, perustamalla taloudellisen ja luottoluokituksen historian. Nämä legitiimit toimet pettävät tuntemisen asiakkaan ohjelmistoa, jolloin he voivat pysyä havaitsemattomina. Lopulta he maksavat luoton loppuun ja katoavat positiivisella tuloksella.

Vaikka tämä prosessi on monimutkaisempi, se tapahtuu passiivisesti. Edistyneet algoritmit, jotka on koulutettu petostekniikoilla, voivat reagoida reaaliajassa. He tietävät, milloin tehdä ostos, maksaa luottokortin velkaa tai ottaa lainaa kuin ihminen, auttaen heitä välttämään havaitsemisen.

Miten pankit voivat puolustautua näitä tekoälyhuijauksia vastaan

Kuluttajat voivat suojella itseään luomalla monimutkaisia salasanoja ja varovaisuutta jakamalla henkilökohtaisia tai tilitietoja. Pankit tulisi tehdä enemmän puolustautuakseen tekoälyyn liittyvää petosta vastaan, koska he ovat vastuussa tilien turvallisuudesta ja hallinnasta.

1. Käytä monen tekijän todennusvälineitä

Koska deepfake on vaarantanut biometrisen turvallisuuden, pankit tulisi luottaa monen tekijän todennukseen. Vaikka huijari varastaisi jonkun kirjautumistiedot onnistuneesti, he eivät voi päästä sisään.

Rahoituslaitokset tulisi kertoa asiakkaille äläkä jaksa heidän MFA-koodiaan. Tekoäly on voimakas työkalu kyberrikollisille, mutta se ei voi luotettavasti ohittaa turvallisia yksikertaisia salasanoja. Phishing on yksi tapa, jolla se voi yrittää tehdä niin.

2. Paranna tuntemisen asiakkaan standardeja

Tuntemisen asiakas on rahoituspalvelun standardi, joka edellyttää pankkeja vahvistamaan asiakkaiden identiteetin, riskiprofiilin ja taloudellisen tilin. Vaikka palveluntarjoajat, jotka toimivat laittomassa harmaassa alueessa, eivät ole teknisesti alaisia tuntemisen asiakkaan sääntöjä — uudet säännöt, jotka vaikuttavat DeFi: ei tule voimaan ennen vuotta 2027 — se on teollisuuden laaja parhaisiin käytäntöihin kuuluva asia.

Synteettiset identiteetit, joilla on vuosien pituiset, legitiimit, huolellisesti kasvatetut transaktiohistoriat, ovat vakuuttavia mutta virhealttiita. Esimerkiksi yksinkertainen kehyskysely voi pakottaa generatiivisen mallin paljastamaan sen todellisen luonteen. Pankit tulisi integroida nämä tekniikat strategioihinsa.

3. Käytä edistynyttä käyttäytymisanalytiikkaa

Paras käytäntö tekoälyn torjumiseksi on taistella tulta vastaan. Käyttäytymisanalytiikka, jota ohjaa koneoppimisen järjestelmä, voi kerätä valtavan määrän tietoja kymmenistä tuhansista ihmisistä samanaikaisesti. Se voi seurata kaikkea hiiren liikkeestä aikaleimatuista pääsylokeihin. Äkillinen muutos osoittaa tilin kaappauksen.

Vaikka edistyneet mallit voivat matkia jonkun ostotottumuksia tai luottokäyttäytymistä, jos heillä on tarpeeksi historiatietoja, he eivät tiedä, miten matkia rullausnopeutta, vieritysmallia tai hiiren liikkeitä, mikä antaa pankkeille hienon edun.

4. Suorita kattavat riskinarviot

Pankit tulisi suorittaa riskinarvioita tilin luomisen yhteydessä estääkseen uuden tilin petosta ja kieltääkseen rahoitusta rahapelien avustajilta. He voivat aloittaa etsimällä ristiriitoja nimessä, osoitteessa ja sosiaaliturvatunnusnumerossa.

Vaikka synteettiset identiteetit ovat vakuuttavia, ne eivät ole virheettömiä. Tarkan hakun julkisia tietoja ja sosiaalisen median kautta paljastaa, että ne ilmestyivät vasta äskettäin. Ammattilainen voisi poistaa ne riittävän ajan kuluttua, estäen rahanpesun ja taloudellisen petoksen.

Väliaikainen pidäke tai siirtoraja odottaa vahvistusta voisi estää pahantahtoiset toimijat luomasta ja dumpaamasta tilejä joukkoon. Vaikka prosessin tekeminen vähemmän intuitiiviseksi oikeille käyttäjille voi aiheuttaa kitkaa, se voi säästää kuluttajille tuhansia tai jopa kymmeniä tuhansia dollareita pitkällä aikavälillä.

Asiakkaiden suojaaminen tekoälyhuijauksilta ja petoksilta

Tekoäly aiheuttaa vakavan ongelman pankkeille ja fintech-yrityksille, koska pahantahtoiset toimijat eivät tarvitse olla asiantuntijoita — tai edes teknisesti kirjavia — suorittaakseen kehittyneitä huijauksia. Lisäksi he eivät tarvitse erikoistuneen mallin rakentamista. Sen sijaan he voivat vangita yleispätevän version. Koska nämä työkalut ovat niin helposti saatavilla, pankit on oltava proaktiivisia ja tarkkaavaisia.

mm

Zac Amos on teknologiakirjoittaja, joka keskittyy tekoälyyn. Hän on myös ReHack:in toimittaja, jossa voit lukea enemmän hänen työstään.