Bagaimana Penipu Menggunakan AI dalam Penipuan Perbankan

AI telah memberdayakan penipu untuk menghindari pemeriksaan anti-spoofing dan verifikasi suara, memungkinkan mereka untuk menghasilkan identitas dan dokumen keuangan palsu dengan sangat cepat. Metode mereka telah menjadi semakin inventif seiring dengan perkembangan teknologi generatif. Bagaimana konsumen dapat melindungi diri mereka, dan apa yang dapat lembaga keuangan lakukan untuk membantu?

1. Deepfakes Meningkatkan Penipuan Impostor

AI memungkinkan penipu melakukan penipuan impostor terbesar yang pernah tercatat. Pada tahun 2024, perusahaan konsultasi teknik Arup yang berbasis di Inggris kehilangan sekitar $25 juta setelah penipu berhasil menipu seorang staf untuk melakukan transfer dana selama konferensi video langsung. Mereka telah mengkloning secara digital para pemimpin senior, termasuk direktur keuangan.

Deepfakes menggunakan algoritma generator dan discriminator untuk membuat duplikat digital dan mengevaluasi realisme, memungkinkan mereka untuk meniru fitur wajah dan suara seseorang dengan sangat meyakinkan. Dengan AI, penipu dapat membuat satu hanya dengan satu menit audio dan satu foto. Karena gambar, audio, atau video palsu ini dapat direkam sebelumnya atau langsung, mereka dapat muncul di mana saja.

2. Model Generatif Mengirim Peringatan Penipuan Palsu

Model generatif dapat mengirim ribuan peringatan penipuan palsu secara bersamaan. Bayangkan seseorang meretas situs web elektronik konsumen. Ketika pesanan besar masuk, AI mereka menelepon pelanggan, mengatakan bahwa bank telah menandai transaksi sebagai penipuan. Mereka meminta nomor akun dan jawaban atas pertanyaan keamanan, mengatakan bahwa mereka harus memverifikasi identitas mereka.

Panggilan yang mendesak dan implikasi penipuan dapat membujuk pelanggan untuk memberikan informasi perbankan dan pribadi mereka. Karena AI dapat menganalisis sejumlah besar data dalam hitungan detik, mereka dapat dengan cepat merujuk pada fakta-fakta nyata untuk membuat panggilan lebih meyakinkan.

3. Personalisasi AI Memfasilitasi Pengambilalihan Akun

Sementara penipu dapat menggunakan brute-force untuk menebak kata sandi, mereka sering menggunakan kredensial login yang dicuri. Mereka segera mengubah kata sandi, alamat email cadangan, dan nomor autentikasi multifaktor untuk mencegah pemilik akun asli mengusir mereka. Profesional keamanan siber dapat membela diri terhadap taktik ini karena mereka memahami playbook. AI memperkenalkan variabel yang tidak diketahui, yang melemahkan pertahanan mereka.

Personalisasi adalah senjata paling berbahaya yang dapat digunakan penipu. Mereka sering menargetkan orang selama periode lalu lintas puncak ketika banyak transaksi terjadi — seperti Black Friday — untuk membuatnya lebih sulit untuk memantau penipuan. Algoritma dapat menyesuaikan waktu pengiriman berdasarkan rutinitas, kebiasaan belanja, atau preferensi pesan seseorang, membuat mereka lebih mungkin untuk berinteraksi.

Pengembangan bahasa lanjutan dan pemrosesan cepat memungkinkan generasi email massal, spoofing domain, dan personalisasi konten. Bahkan jika penipu mengirim 10 kali lebih banyak pesan, setiap pesan akan tampak asli, persuasif, dan relevan.

4. AI Generatif Merevitalisasi Penipuan Situs Web Palsu

Teknologi generatif dapat melakukan segalanya, dari merancang wireframe hingga mengatur konten. Penipu dapat membayar beberapa sen untuk membuat dan mengedit situs web investasi, pinjaman, atau perbankan palsu tanpa kode dalam hitungan detik.

Tidak seperti halaman phishing konvensional, situs web ini dapat diperbarui hampir secara real-time dan merespons interaksi. Misalnya, jika seseorang menelepon nomor telepon yang terdaftar atau menggunakan fitur obrolan langsung, mereka dapat terhubung ke model yang dilatih untuk bertindak seperti penasihat keuangan atau karyawan bank.

Dalam satu kasus, penipu mengkloning platform Exante. Perusahaan fintech global ini memberikan pengguna akses ke lebih dari 1 juta instrumen keuangan di puluhan pasar, sehingga korban berpikir mereka secara sah berinvestasi. Namun, mereka secara tidak sengaja mendepositkan dana ke rekening JPMorgan Chase.

Natalia Taft, kepala kepatuhan Exante, mengatakan bahwa perusahaan menemukan “beberapa” penipuan serupa, menunjukkan bahwa yang pertama bukanlah kasus terisolasi. Taft mengatakan bahwa penipu melakukan pekerjaan yang sangat baik dalam mengkloning antarmuka situs web. Dia mengatakan bahwa alat AI kemungkinan besar menciptakannya karena ini adalah “permainan kecepatan,” dan mereka harus “mengenai sebanyak mungkin korban sebelum ditutup.”

5. Algoritma Menghindari Alat Deteksi Kehidupan

Deteksi kehidupan menggunakan biometrik waktu nyata untuk menentukan apakah orang di depan kamera nyata dan sesuai dengan ID pemilik akun. Secara teori, menghindari autentikasi menjadi lebih sulit, mencegah orang menggunakan foto atau video lama. Namun, ini tidak seefektif dulu, berkat deepfake yang ditenagai AI.

Penipu dapat menggunakan teknologi ini untuk meniru orang nyata untuk mempercepat pengambilalihan akun. Alternatifnya, mereka dapat menipu alat untuk memverifikasi persona palsu, memfasilitasi money muling.

Penipu tidak perlu melatih model untuk melakukan ini — mereka dapat membayar versi pra-latih. Salah satu solusi perangkat lunak klaim bahwa mereka dapat menghindari lima alat deteksi kehidupan paling populer yang digunakan perusahaan fintech dengan pembelian satu kali seharga $2.000. Iklan untuk alat seperti ini melimpah di platform seperti Telegram, menunjukkan kemudahan penipuan perbankan modern.

6. Identitas AI Memungkinkan Penipuan Akun Baru

Penipu dapat menggunakan teknologi generatif untuk mencuri identitas seseorang. Di web gelap, banyak tempat menawarkan dokumen negara bagian palsu seperti paspor dan lisensi mengemudi. Selain itu, mereka menyediakan foto selfie dan catatan keuangan palsu.

Identitas sintetis adalah persona palsu yang dibuat dengan menggabungkan detail nyata dan palsu. Misalnya, nomor Keamanan Sosial mungkin nyata, tetapi nama dan alamat tidak. Sebagai hasilnya, mereka lebih sulit dideteksi dengan alat konvensional. Laporan Tren Penipuan dan Identitas 2021 menunjukkan bahwa sekitar 33% dari positif palsu yang dilihat Equifax adalah identitas sintetis.

Penipu profesional dengan anggaran yang murah hati dan ambisi tinggi menciptakan identitas baru dengan alat generatif. Mereka mengembangkan persona, membangun riwayat keuangan dan kredit. Tindakan yang sah ini menipu perangkat lunak know-your-customer, memungkinkan mereka untuk tetap tidak terdeteksi. Akhirnya, mereka memaksimalkan kredit dan menghilang dengan pendapatan bersih positif.

Meskipun proses ini lebih kompleks, itu terjadi secara pasif. Algoritma canggih yang dilatih pada teknik penipuan dapat bereaksi secara real-time. Mereka tahu kapan harus melakukan pembelian, membayar utang kartu kredit, atau mengambil pinjaman seperti manusia, membantu mereka menghindari deteksi.

Apa yang Dapat Dilakukan Bank untuk Melawan Penipuan AI Ini

Konsumen dapat melindungi diri mereka dengan membuat kata sandi yang kompleks dan berhati-hati saat berbagi informasi pribadi atau akun. Bank harus melakukan lebih banyak lagi untuk melawan penipuan yang terkait dengan AI karena mereka bertanggung jawab untuk mengamankan dan mengelola akun.

1. Menggunakan Alat Autentikasi Multifaktor

Karena deepfakes telah mengompromikan keamanan biometrik, bank harus mengandalkan autentikasi multifaktor sebagai gantinya. Bahkan jika penipu berhasil mencuri kredensial login seseorang, mereka tidak dapat mengakses akun.

Lembaga keuangan harus memberitahu pelanggan untuk tidak pernah berbagi kode MFA mereka. AI adalah alat yang kuat untuk penipu, tetapi tidak dapat dengan andal menghindari kode sandi satu kali yang aman. Phishing adalah salah satu cara yang dapat mereka coba untuk melakukannya.

2. Meningkatkan Standar Know-Your-Customer

Know-Your-Customer adalah standar layanan keuangan yang memerlukan bank untuk memverifikasi identitas, profil risiko, dan catatan keuangan pelanggan. Sementara penyedia layanan yang beroperasi di area abu-abu tidak secara teknis tunduk pada Know-Your-Customer — aturan baru yang mempengaruhi DeFi tidak akan berlaku sampai 2027 — ini adalah praktik terbaik industri.

Identitas sintetis dengan riwayat transaksi yang sah dan panjang beberapa tahun adalah meyakinkan tetapi rentan terhadap kesalahan. Misalnya, teknik prompt engineering sederhana dapat memaksa model generatif untuk mengungkapkan sifat aslinya. Bank harus mengintegrasikan teknik-teknik ini ke dalam strategi mereka.

3. Menggunakan Analitik Perilaku Lanjutan

Praktik terbaik saat melawan AI adalah melawan api dengan api. Analitik perilaku yang ditenagai oleh sistem pembelajaran mesin dapat mengumpulkan sejumlah besar data pada puluhan ribu orang secara bersamaan. Ini dapat melacak segalanya, dari gerakan mouse hingga log akses bertimestamp. Perubahan mendadak menunjukkan pengambilalihan akun.

Sementara model canggih dapat meniru kebiasaan pembelian atau kredit seseorang jika mereka memiliki cukup data historis, mereka tidak akan tahu cara meniru kecepatan gulir, pola gesek, atau gerakan mouse, memberi bank keunggulan yang halus.

4. Melakukan Penilaian Risiko Komprehensif

Bank harus melakukan penilaian risiko selama pembuatan akun untuk mencegah penipuan akun baru dan menolak sumber daya dari money muling. Mereka dapat memulai dengan mencari ketidaksesuaian dalam nama, alamat, dan SSN.

Meskipun identitas sintetis meyakinkan, mereka tidak tanpa cela. Pencarian menyeluruh atas catatan publik dan media sosial akan mengungkap bahwa mereka hanya muncul baru-baru ini. Seorang profesional dapat menghapusnya dengan cukup waktu, mencegah money muling dan penipuan keuangan.

Penguncian sementara atau batas transfer yang menunggu verifikasi dapat mencegah penipu membuat dan membuang akun secara massal. Sementara membuat proses ini kurang intuitif bagi pengguna nyata dapat menyebabkan gesekan, ini dapat menyelamatkan konsumen ribuan atau bahkan puluhan ribu dolar dalam jangka panjang.

Melindungi Pelanggan dari Penipuan dan Penipuan AI

AI memposkan masalah serius bagi bank dan perusahaan fintech karena penipu tidak perlu menjadi ahli — atau bahkan sangat melek teknis — untuk melakukan penipuan yang canggih. Selain itu, mereka tidak perlu membangun model khusus. Sebaliknya, mereka dapat meng-jailbreak versi umum. Karena alat-alat ini sangat mudah diakses, bank harus proaktif dan teliti.