Comment les escrocs utilisent l'IA dans la fraude bancaire

L'IA a permis aux fraudeurs de contourner les contrôles anti-usurpation d'identité et la vérification vocale, leur permettant ainsi de produire des pièces d'identité et des documents financiers contrefaits avec une rapidité remarquable. Leurs méthodes sont devenues de plus en plus inventives avec l'évolution des technologies génératives. Comment les consommateurs peuvent-ils se protéger et que peuvent faire les institutions financières pour les aider ?

1. Les deepfakes renforcent l'arnaque à l'imposteur 

L'IA a permis la plus grande escroquerie par imposteur jamais enregistrée. En 2024, Arup, une société de conseil en ingénierie basée au Royaume-Uni, perdu environ 25 millions de dollars Après que des fraudeurs ont piégé un employé pour lui faire transférer des fonds lors d'une visioconférence en direct, ils ont cloné numériquement de véritables dirigeants, dont le directeur financier.  

Les deepfakes utilisent des algorithmes générateurs et discriminateurs pour créer une copie numérique et évaluer le réalisme, ce qui leur permet d'imiter de manière convaincante les traits du visage et la voix d'une personne. Grâce à l'IA, les criminels peuvent en créer une. en utilisant seulement une minute d'un son et d'une photographie. Ces images artificielles, clips audio ou vidéos pouvant être préenregistrés ou diffusés en direct, peuvent apparaître n'importe où.

2. Les modèles génératifs envoient de faux avertissements de fraude

Un modèle génératif peut envoyer simultanément des milliers de fausses alertes à la fraude. Imaginez quelqu'un piratant un site web d'électronique grand public. À mesure que des commandes importantes arrivent, l'IA appelle les clients pour les informer que la banque a signalé la transaction comme frauduleuse. Elle leur demande leur numéro de compte et les réponses à leurs questions de sécurité, les invitant à vérifier leur identité. 

Un appel urgent et les implications d'une fraude peuvent inciter les clients à divulguer leurs informations bancaires et personnelles. L'IA, capable d'analyser de vastes quantités de données en quelques secondes, peut rapidement se référer à des faits réels pour rendre l'appel plus convaincant.

3. La personnalisation de l'IA facilite la prise de contrôle des comptes 

Bien qu'un cybercriminel puisse s'introduire par force brute en devinant sans cesse des mots de passe, il utilise souvent des identifiants volés. Il modifie immédiatement le mot de passe, l'adresse e-mail de secours et le numéro d'authentification multifacteur pour empêcher le véritable titulaire du compte de l'expulser. Les professionnels de la cybersécurité peuvent se défendre contre ces tactiques car ils en connaissent les tenants et aboutissants. L'IA introduit des variables inconnues, ce qui affaiblit leurs défenses. 

La personnalisation est l'arme la plus dangereuse dont disposent les escrocs. Ils ciblent souvent les personnes. pendant les périodes de pointe de trafic Lorsque de nombreuses transactions ont lieu, comme le Black Friday, pour rendre la détection des fraudes plus difficile. Un algorithme pourrait adapter les heures d'envoi en fonction des habitudes d'achat, des habitudes d'achat ou des préférences de messagerie d'une personne, augmentant ainsi sa probabilité d'engagement.

La génération avancée de langage et le traitement rapide permettent la génération massive d'e-mails, l'usurpation de domaine et la personnalisation de contenu. Même si des individus malveillants envoient dix fois plus de messages, chacun paraîtra authentique, convaincant et pertinent.

4. L'IA générative réorganise l'arnaque des faux sites Web

La technologie générative permet de tout faire, de la conception de maquettes à l'organisation de contenu. Un escroc peut débourser une fortune pour créer et modifier en quelques secondes un faux site web d'investissement, de prêt ou de banque, sans code. 

Contrairement à une page d'hameçonnage classique, elle peut se mettre à jour en temps quasi réel et répondre aux interactions. Par exemple, si une personne appelle le numéro de téléphone indiqué ou utilise le chat en direct, elle peut être connectée à un modèle formé pour se comporter comme un conseiller financier ou un employé de banque. 

Dans un cas similaire, des escrocs ont cloné la plateforme Exante. Cette fintech mondiale donne accès à plus d'un million d'instruments financiers sur des dizaines de marchés. Les victimes pensaient donc investir légalement. Or, elles déposaient des fonds sans le savoir sur un compte JPMorgan Chase.

Natalia Taft, responsable de la conformité chez Exante, a déclaré que l'entreprise avait découvert « un certain nombre » d'escroqueries similaires, ce qui suggère que la première n'était pas un cas isolé. a déclaré que les escrocs ont fait un excellent travail Clonage de l'interface du site web. Elle a expliqué que les outils d'IA l'avaient probablement créé parce qu'il s'agissait d'un « jeu de rapidité » et qu'ils devaient « toucher le plus de victimes possible avant d'être démantelés ».

5. Les algorithmes contournent les outils de détection de vivacité

La détection de l'activité utilise la biométrie en temps réel pour déterminer si la personne devant la caméra est réelle et correspond à l'identité du titulaire du compte. En théorie, contourner l'authentification devient plus complexe, empêchant ainsi l'utilisation d'anciennes photos ou vidéos. Cependant, cette méthode est moins efficace qu'auparavant, en raison des deepfakes alimentés par l'IA. 

Les cybercriminels pourraient utiliser cette technologie pour imiter de vraies personnes et accélérer le piratage de comptes. Ils pourraient également piéger l'outil afin qu'il vérifie une fausse identité, facilitant ainsi le trafic d'argent. 

Les escrocs n'ont pas besoin d'entraîner un modèle pour y parvenir : ils peuvent acheter une version pré-entraînée. Une solution logicielle prétend pouvoir contourner cinq L'un des outils de détection d'activité les plus populaires utilisés par les entreprises fintech pour un achat unique de 2,000 XNUMX $. Les publicités pour ce type d'outils abondent sur des plateformes comme Telegram, démontrant la facilité avec laquelle la fraude bancaire moderne se pratique.

6. Les identités IA permettent la fraude aux nouveaux comptes

Les fraudeurs peuvent utiliser la technologie générative pour usurper l'identité d'une personne. Sur le dark web, de nombreux sites proposent de faux documents d'État, comme des passeports et des permis de conduire. Ils fournissent également de faux selfies et de faux relevés financiers. 

Une identité synthétique est une identité créée en combinant des informations réelles et fictives. Par exemple, le numéro de sécurité sociale peut être réel, mais le nom et l'adresse ne le sont pas. Par conséquent, ils sont plus difficiles à détecter avec les outils conventionnels. Le rapport 2021 sur les tendances en matière d'identité et de fraude indique environ 33% de faux positifs Equifax considère qu'il s'agit d'identités synthétiques. 

Des escrocs professionnels aux budgets généreux et aux ambitions ambitieuses se créent de nouvelles identités grâce à des outils génératifs. Ils cultivent leur identité en établissant un historique financier et de crédit. Ces actions légitimes trompent les logiciels de connaissance client, leur permettant de passer inaperçus. Ils finissent par épuiser leur crédit et disparaissent avec des revenus nets positifs. 

Bien que ce processus soit plus complexe, il se déroule de manière passive. Des algorithmes avancés, entraînés aux techniques de fraude, peuvent réagir en temps réel. Ils savent quand effectuer un achat, rembourser une dette de carte de crédit ou contracter un prêt, comme un humain, ce qui leur permet d'échapper à la détection.

Ce que les banques peuvent faire pour se défendre contre ces escroqueries liées à l'IA

Les consommateurs peuvent se protéger en créant des mots de passe complexes et en faisant preuve de prudence lorsqu'ils partagent leurs informations personnelles ou leurs comptes. Les banques devraient redoubler d'efforts pour se défendre contre la fraude liée à l'IA, car elles sont responsables de la sécurisation et de la gestion des comptes.

1. Utiliser des outils d'authentification multifactorielle

Les deepfakes ayant compromis la sécurité biométrique, les banques devraient plutôt privilégier l'authentification multifactorielle. Même si un escroc parvient à voler les identifiants de connexion d'une personne, il ne peut pas y accéder. 

Les institutions financières devraient conseiller à leurs clients de ne jamais divulguer leur code MFA. L'IA est un outil puissant pour les cybercriminels, mais elle ne peut pas contourner de manière fiable les codes d'accès à usage unique sécurisés. L'hameçonnage est l'un des seuls moyens qu'elle utilise pour y parvenir.

2. Améliorer les normes de connaissance du client

La KYC est une norme de services financiers exigeant des banques qu'elles vérifient l'identité, le profil de risque et les dossiers financiers de leurs clients. Bien que les prestataires de services opérant dans des zones d'ombre juridique ne soient pas techniquement soumis à la KYC, de nouvelles règles impactent la DeFi. n'entrera pas en vigueur jusqu’en 2027 — c’est une bonne pratique à l’échelle de l’industrie. 

Les identités synthétiques, dotées d'un historique de transactions légitime et soigneusement entretenu depuis des années, sont convaincantes, mais sujettes aux erreurs. Par exemple, une simple ingénierie rapide peut forcer un modèle génératif à révéler sa véritable nature. Les banques devraient intégrer ces techniques à leurs stratégies.

3. Utiliser l'analyse comportementale avancée 

Une bonne pratique pour lutter contre l'IA consiste à combattre le feu par le feu. L'analyse comportementale, basée sur un système d'apprentissage automatique, peut collecter simultanément une quantité considérable de données sur des dizaines de milliers de personnes. Elle peut tout suivre, des mouvements de souris aux journaux d'accès horodatés. Un changement soudain indique une prise de contrôle de compte. 

Bien que les modèles avancés puissent imiter les habitudes d'achat ou de crédit d'une personne s'ils disposent de suffisamment de données historiques, ils ne sauront pas comment imiter la vitesse de défilement, les modèles de balayage ou les mouvements de la souris, ce qui donne aux banques un avantage subtil.

4. Effectuer des évaluations complètes des risques 

Les banques devraient procéder à une évaluation des risques lors de la création d'un compte afin de prévenir la fraude et de refuser les ressources des mules financières. Elles peuvent commencer par rechercher les divergences de nom, d'adresse et de numéro de sécurité sociale. 

Bien que les identités synthétiques soient convaincantes, elles ne sont pas infaillibles. Une recherche approfondie dans les archives publiques et les réseaux sociaux révélerait qu'elles sont apparues récemment. Un professionnel pourrait les supprimer avec le temps, empêchant ainsi le trafic d'argent et la fraude financière.

Une limite temporaire de blocage ou de transfert en attente de vérification pourrait empêcher les acteurs malveillants de créer et de supprimer massivement des comptes. Si rendre le processus moins intuitif pour les utilisateurs réels peut engendrer des frictions, cela pourrait permettre aux consommateurs d'économiser des milliers, voire des dizaines de milliers de dollars à long terme.

Protéger les clients contre les escroqueries et les fraudes liées à l'IA

L'IA pose un sérieux problème aux banques et aux entreprises de technologie financière, car les acteurs malveillants n'ont pas besoin d'être experts, ni même de posséder de solides compétences techniques, pour exécuter des escroqueries sophistiquées. De plus, ils n'ont pas besoin de créer un modèle spécialisé. Ils peuvent simplement débrider une version générique. Ces outils étant très accessibles, les banques doivent se montrer proactives et vigilantes.