Connect with us

Comment les escrocs utilisent l’IA dans les fraudes bancaires

Cybersécurité

Comment les escrocs utilisent l’IA dans les fraudes bancaires

mm
Published
Updated

L’IA a permis aux fraudeurs de contourner les vérifications anti-contrefaçon et la vérification vocale, leur permettant de produire des documents d’identification et financiers contrefaits de manière remarquablement rapide. Leurs méthodes sont devenues de plus en plus ingénieuses à mesure que la technologie générative évolue. Comment les consommateurs peuvent-ils se protéger, et que peuvent faire les institutions financières pour les aider ?

1. Les deepfakes améliorent l’arnaque de l’imposteur

L’IA a permis la plus grande arnaque d’imposture enregistrée. En 2024, Arup, une société de conseil en ingénierie basée au Royaume-Uni — a perdu environ 25 millions de dollars après que des fraudeurs aient trompé un membre du personnel pour qu’il transfère des fonds pendant une conférence vidéo en direct. Ils avaient cloné numériquement de vrais dirigeants de la direction, y compris le directeur financier.

Les deepfakes utilisent des algorithmes de générateur et de discriminateur pour créer un double numérique et évaluer le réalisme, leur permettant de simuler de manière convaincante les caractéristiques faciales et la voix de quelqu’un. Avec l’IA, les criminels peuvent créer un en utilisant seulement une minute d’audio et une seule photographie. Puisque ces images, clips audio ou vidéos artificielles peuvent être préenregistrées ou en direct, elles peuvent apparaître n’importe où.

2. Les modèles génératifs envoient des avertissements de fraude fictifs

Un modèle génératif peut envoyer simultanément des milliers d’avertissements de fraude fictifs. Imaginez quelqu’un qui pirate un site Web de produits électroniques grand public. Lorsque de grosses commandes arrivent, leur IA appelle les clients, disant que la banque a signalé la transaction comme frauduleuse. Il demande leur numéro de compte et les réponses à leurs questions de sécurité, disant qu’il doit vérifier leur identité.

L’appel urgent et l’implication de fraude peuvent convaincre les clients de fournir leurs informations bancaires et personnelles. Puisque l’IA peut analyser de vastes quantités de données en quelques secondes, elle peut rapidement référencer des faits réels pour rendre l’appel plus convaincant.

3. La personnalisation de l’IA facilite la prise de contrôle du compte

Alors qu’un cybercriminel pourrait forcer son chemin en devinant sans fin les mots de passe, ils utilisent souvent des informations de connexion volées. Ils changent immédiatement le mot de passe, l’adresse e-mail de sauvegarde et le numéro d’authentification multifacteur pour empêcher le véritable propriétaire du compte de les expulser. Les professionnels de la cybersécurité peuvent se défendre contre ces tactiques car ils comprennent le livre de jeu. L’IA introduit des variables inconnues, ce qui affaiblit leur défense.

La personnalisation est l’arme la plus dangereuse qu’un escroc puisse avoir. Ils ciblent souvent les gens pendant les périodes de pointe lorsque de nombreuses transactions ont lieu — comme le Vendredi noir — pour rendre plus difficile la surveillance de la fraude. Un algorithme pourrait adapter les heures d’envoi en fonction de la routine d’une personne, de ses habitudes d’achat ou de ses préférences de message, les rendant plus susceptibles de s’engager.

La génération de langage avancée et le traitement rapide permettent la génération de courriels de masse, le spoofing de domaine et la personnalisation de contenu. Même si les mauvais acteurs envoient 10 fois plus de messages, chacun semblera authentique, persuasif et pertinent.

4. L’IA générative réaménage l’arnaque du site Web fictif

La technologie générative peut tout faire, de la conception de gabarits à l’organisation de contenu. Un escroc peut payer quelques centimes pour créer et éditer un site Web fictif d’investissement, de prêt ou de banque sans code en quelques secondes.

Contrairement à une page de phishing conventionnelle, il peut se mettre à jour en quasi-temps réel et répondre à l’interaction. Par exemple, si quelqu’un appelle le numéro de téléphone répertorié ou utilise la fonction de chat en direct, il pourrait être connecté à un modèle formé pour agir comme un conseiller financier ou un employé de banque.

Dans un tel cas, des escrocs ont cloné la plate-forme Exante. La société de fintech mondiale donne aux utilisateurs l’accès à plus d’un million d’instruments financiers dans des dizaines de marchés, les victimes pensaient donc qu’elles investissaient légitimement. Cependant, ils déposaient sans le savoir des fonds sur un compte JPMorgan Chase.

Natalia Taft, responsable de la conformité d’Exante, a déclaré que la société a trouvé « quelques » arnaques similaires, suggérant que la première n’était pas un cas isolé. Taft a déclaré que les escrocs ont fait un excellent travail en clonant l’interface du site Web. Elle a déclaré que des outils d’IA ont probablement créé cela car c’est un « jeu de vitesse », et qu’ils doivent « toucher autant de victimes que possible avant d’être supprimés ».

5. Les algorithmes contournent les outils de détection de vivacité

La détection de vivacité utilise des biométries en temps réel pour déterminer si la personne devant la caméra est réelle et correspond à l’ID du titulaire du compte. En théorie, contourner l’authentification devient plus difficile, empêchant les gens d’utiliser de vieilles photos ou vidéos. Cependant, ce n’est plus aussi efficace qu’avant, grâce aux deepfakes alimentés par l’IA.

Les cybercriminels pourraient utiliser cette technologie pour simuler de vraies personnes pour accélérer la prise de contrôle du compte. Alternativement, ils pourraient tromper l’outil pour vérifier une fausse personne, facilitant le blanchiment d’argent.

Les escrocs n’ont pas besoin de former un modèle pour faire cela — ils peuvent payer pour une version préformée. Une solution logicielle prétend qu’elle peut contourner cinq des outils de détection de vivacité les plus importants que les sociétés de fintech utilisent pour un achat unique de 2 000 dollars. Les publicités pour des outils comme celui-ci sont abondantes sur des plateformes comme Telegram, démontrant la facilité de la fraude bancaire moderne.

6. Les identités IA permettent une nouvelle fraude de compte

Les fraudeurs peuvent utiliser la technologie générative pour voler l’identité d’une personne. Sur le dark web, de nombreux endroits proposent des documents d’État contrefaits comme des passeports et des permis de conduire. Au-delà de cela, ils fournissent de fausses selfies et dossiers financiers.

Une identité synthétique est une personne fictive créée en combinant des détails réels et faux. Par exemple, le numéro de sécurité sociale peut être réel, mais le nom et l’adresse ne le sont pas. En conséquence, ils sont plus difficiles à détecter avec des outils conventionnels. Le rapport sur les tendances de l’identité et de la fraude de 2021 montre qu’environ 33 % de faux positifs que Equifax voit sont des identités synthétiques.

Des escrocs professionnels avec des budgets généreux et des ambitions élevées créent de nouvelles identités avec des outils génératifs. Ils cultivent la personnalité, établissant un historique financier et de crédit. Ces actions légitimes trompent les logiciels de connaissance du client, leur permettant de rester détectés. Finalement, ils maxent leur crédit et disparaissent avec des gains nets positifs.

Bien que ce processus soit plus complexe, il se produit de manière passive. Des algorithmes avancés formés sur les techniques de fraude peuvent réagir en temps réel. Ils savent quand effectuer un achat, rembourser une dette de carte de crédit ou contracter un prêt comme un humain, les aidant à échapper à la détection.

Ce que les banques peuvent faire pour se défendre contre ces arnaques IA

Les consommateurs peuvent se protéger en créant des mots de passe complexes et en faisant preuve de prudence lorsqu’ils partagent des informations personnelles ou de compte. Les banques devraient faire encore plus pour se défendre contre la fraude liée à l’IA, car elles sont responsables de la sécurité et de la gestion des comptes.

1. Utiliser des outils d’authentification multifacteur

Puisque les deepfakes ont compromis la sécurité biométrique, les banques devraient s’appuyer sur l’authentification multifacteur. Même si un escroc parvient à voler les informations de connexion de quelqu’un, il ne peut pas accéder.

Les institutions financières devraient dire à leurs clients de ne jamais partager leur code d’authentification multifacteur. L’IA est un outil puissant pour les cybercriminels, mais elle ne peut pas contourner de manière fiable des codes de passe à usage unique sécurisés. Le phishing est l’une des seules façons dont il peut tenter de le faire.

2. Améliorer les normes de connaissance du client

La connaissance du client est une norme de service financier qui oblige les banques à vérifier l’identité, les profils de risque et les dossiers financiers des clients. Même si les fournisseurs de services opérant dans des zones grises juridiques ne sont pas techniquement soumis à la connaissance du client — de nouvelles règles impactant les plateformes DeFi n’entreront en vigueur qu’en 2027 — il s’agit d’une pratique exemplaire à l’échelle de l’industrie.

Les identités synthétiques avec des antécédents transactionnels légitimes de plusieurs années sont convaincantes mais sujettes à erreur. Par exemple, un simple ingénierie de prompt peut forcer un modèle génératif à révéler sa véritable nature. Les banques devraient intégrer ces techniques dans leurs stratégies.

3. Utiliser des analyses de comportement avancées

Une pratique exemplaire pour lutter contre l’IA est de lutter contre le feu avec le feu. Les analyses de comportement alimentées par un système d’apprentissage automatique peuvent collecter une quantité considérable de données sur des dizaines de milliers de personnes simultanément. Il peut suivre tout, du mouvement de la souris aux journaux d’accès horodatés. Un changement soudain indique une prise de contrôle du compte.

Alors que des modèles avancés peuvent simuler les habitudes d’achat ou de crédit d’une personne si ils ont suffisamment de données historiques, ils ne sauront pas simuler la vitesse de défilement, les modèles de balayage ou les mouvements de la souris, donnant aux banques un avantage subtil.

4. Effectuer des évaluations de risque complètes

Les banques devraient effectuer des évaluations de risque lors de la création de compte pour prévenir la fraude de nouveau compte et refuser des ressources aux mules d’argent. Ils peuvent commencer par rechercher des incohérences dans le nom, l’adresse et le numéro de sécurité sociale.

Bien que les identités synthétiques soient convaincantes, elles ne sont pas infaillibles. Une recherche approfondie des dossiers publics et des réseaux sociaux révélerait qu’ils n’ont existé que récemment. Un professionnel pourrait les supprimer étant donné suffisamment de temps, empêchant le blanchiment d’argent et la fraude financière.

Une rétention temporaire ou une limite de transfert en attente de vérification pourrait empêcher les mauvais acteurs de créer et de décharger des comptes en masse. Même si le processus est moins intuitif pour les utilisateurs réels, il pourrait économiser aux consommateurs des milliers ou même des dizaines de milliers de dollars à long terme.

Protéger les clients des arnaques et de la fraude IA

L’IA pose un problème grave pour les banques et les sociétés de fintech, car les mauvais acteurs n’ont pas besoin d’être des experts — ou même très techniquement lettrés — pour exécuter des arnaques sophistiquées. De plus, ils n’ont pas besoin de construire un modèle spécialisé. Au lieu de cela, ils peuvent pirater une version à usage général. Puisque ces outils sont si accessibles, les banques doivent être proactives et vigilantes.

mm

Zac Amos est un écrivain technique qui se concentre sur l'intelligence artificielle. Il est également le rédacteur en chef des fonctionnalités chez ReHack, où vous pouvez lire davantage de ses travaux.