サイバーセキュリティ
AIを使用した銀行詐欺における詐欺師の手口
AIは、詐欺師がアンチスプーフィングチェックとボイス認証を回避し、偽の身分証明書と金融文書を驚くほど短時間で生成できるようにしました。ジェネレーティブ技術が進化するにつれて、彼らの方法はますます発明的になりました。消費者は自分を守るために何ができるのでしょうか。金融機関はどのようにして助けることができるのでしょうか。
1. ディープフェイクがインポスタースキャムを強化する
AIは、記録に残る最大のインポスタースキャムを可能にしました。2024年、イギリスのエンジニアリングコンサルティング会社Arup — 2500万ドルを失ったことです。詐欺師は、スタッフの一人を、生のビデオ会議中に資金を転送するように欺きました。彼らは、デジタルで上級管理職を複製しました。包括的な財務担当者を含みます。
ディープフェイクは、ジェネレーターとディスクリミネーター アルゴリズムを使用して、デジタル複製を作成し、リアリズムを評価します。誰かの顔の特徴や声のトーンをリアルに模倣することができます。AIを使用すると、1分間のオーディオと1枚の写真だけで作成できます。人工的な画像、オーディオクリップ、またはビデオは、事前に録音されたものまたはライブのものとして、どこにでも表示できます。
2. ジェネレーティブモデルが偽の詐欺警告を送信する
ジェネレーティブモデルは、同時に数千の偽の詐欺警告を送信できます。消費者向けウェブサイトにハッキングしたとします。大量の注文が入ると、AIが顧客に電話し、銀行が取引を詐欺としてフラグを設定したと伝えます。アカウント番号とセキュリティ質問の答えを求め、身分を確認する必要があると伝えます。
緊急の電話と詐欺の可能性は、顧客が銀行や個人情報を提供するように説得する可能性があります。AIは数秒で大量のデータを分析できるため、電話をより説得力を持たせるために実際の事実をすぐに参照できます。
3. AIのパーソナライゼーションがアカウント乗っ取りを容易にする
サイバー犯罪者は、パスワードを無限に推測してアカウントにアクセスすることもできますが、通常は盗まれたログイン資格情報を使用します。すぐにパスワード、バックアップメール、多要素認証番号を変更して、本物のアカウント所有者が追い出されるのを防ぎます。サイバーセキュリティ専門家は、これらの戦術に対して防御することができます。なぜなら、彼らはプレイブックを理解しているからです。AIは未知の変数を導入し、彼らの防御を弱体化させます。
パーソナライゼーションは、詐欺師が持つことができる最も危険な武器です。彼らは、多くの取引が発生するピーク時、たとえばブラックフライデーのような時期に、人々を標的にします。詐欺を監視することをより困難にします。アルゴリズムは、人の日常、ショッピング習慣、またはメッセージの設定に基づいて送信時刻を調整できます。そうすることで、関与する可能性が高くなります。
高度な言語生成と高速処理により、大量のメール生成、ドメインスプーフィング、コンテンツのパーソナライゼーションが可能になります。悪意のある行為者が10倍のメッセージを送信するとしても、各メッセージは本物のように、説得力があり、関連性があります。
4. ジェネレーティブ AIが偽のウェブサイトスキャムを刷新する
ジェネレーティブ技術は、ワイヤーフレームの設計からコンテンツの整理まで、すべてを実行できます。詐欺師は、投資、貸付、銀行のウェブサイトの偽のノーコードバージョンを作成および編集するために、少額の費用を支払うことができます。数秒以内に。
従来のフィッシングページとは異なり、ほぼリアルタイムで更新され、インタラクションに反応することができます。たとえば、誰かが記載された電話番号に電話したり、ライブチャット機能を使用したりすると、金融アドバイザーまたは銀行従業員のように行動するようにトレーニングされたモデルに接続できます。
ある場合、詐欺師はExanteプラットフォームを複製しました。グローバルフィンテック企業は、ユーザーに数十の市場で100万以上の金融商品へのアクセスを提供するため、被害者は本物の投資を行っていることを考えました。しかし、実際にはJPMorgan Chase口座に資金を預けていました。
Exanteのコンプライアンス責任者であるNatalia Taftは、会社が「かなり多くの」同様の詐欺を見つけたと述べ、最初のものは孤立したケースではなかったことを示唆しました。Taft 詐欺師はウェブサイトのインターフェイスを複製することを非常にうまくやってのけたと述べました。彼女は、AIツールがそれを作成した可能性が高いと述べました。なぜなら、それは「スピードゲーム」であり、「可能な限り多くの被害者を攻撃する」必要があるからです。
5. アルゴリズムが生体認証ツールを回避する
生体認証は、リアルタイムのバイオメトリクスを使用して、カメラの前の人が本物であり、アカウント所有者のIDに一致するかどうかを判断します。理論的には、写真やビデオを使用して認証を回避することがより困難になります。ただし、AI駆動のディープフェイクの登場により、以前ほど効果的ではありません。
サイバー犯罪者は、このテクノロジーを使用して、リアルな人を模倣してアカウントの乗っ取りを加速させることができます。あるいは、ツールを偽の人物を検証するように欺くことで、資金洗浄を容易にすることができます。
詐欺師はモデルをトレーニングする必要はありません。代わりに、事前にトレーニングされたバージョンを購入することができます。あるソフトウェアソリューション は、1回限りの購入で2000ドルで、金融テクノロジー会社が使用する5つの最も著名な生体認証ツールのうちの1つを回避できると主張しています。Telegramのようなプラットフォームでのツールの広告は、現代の銀行詐欺の容易さを示しています。
6. AI IDが新しいアカウント詐欺を可能にする
詐欺師は、ジェネレーティブ技術を使用して、人のIDを盗むことができます。ダークウェブ上の多くの場所では、偽の州発行文書、パスポート、運転免許証などを提供しています。その他には、偽のセルフ写真や財務記録も提供しています。
合成IDは、実在の詳細と偽の詳細を組み合わせて作成された架空の人物です。たとえば、社会保障番号は実在のものですが、名前と住所は実在しません。したがって、従来のツールでは検出がより困難になります。2021年のIDと詐欺のトレンドレポートは、約 33%の誤検知 をEquifaxが見るのは、合成IDであると示しています。
予算と野心のあるプロの詐欺師は、ジェネレーティブツールを使用して新しいIDを作成します。彼らは、金融および信用履歴を含む人物を作成します。これらの合法的な行動は、顧客を知るソフトウェアを欺き、検出されないままにします。最終的には、利益を上げて姿を消します。
このプロセスはより複雑ですが、パッシブに発生します。詐欺技術にトレーニングされた高度なアルゴリズムは、リアルタイムで反応します。購入するとき、信用カードの負債を支払うとき、またはローンを申し込むときに、人間のように行動することができます。これにより、検出を逃れることができます。
銀行がこれらのAIスキャムから守るためにできること
消費者は、複雑なパスワードを作成し、個人またはアカウント情報を共有する際に注意を払うことで自分を守ることができます。銀行は、AI関連の詐欺から守るためにさらに多くのことを行う必要があります。なぜなら、彼らはアカウントのセキュリティと管理に責任があるからです。
1. マルチファクタ認証ツールを使用する
ディープフェイクがバイオメトリックセキュリティを妥協したため、銀行は代わりにマルチファクタ認証に頼る必要があります。詐欺師が誰かのログイン資格情報を成功的に盗んだとしても、アクセスを取得することはできません。
金融機関は、顧客にMFAコードを共有しないように伝える必要があります。AIは強力なツールですが、安全なワンタイムパスコードを回避することはできません。フィッシングは、それを試みることができる唯一の方法です。
2. 知る顧客基準を改善する
知る顧客(KYC)は、銀行が顧客のID、リスクプロファイル、財務記録を確認することを要求する金融サービス基準です。DeFi に対する新しい規則が2027年まで発効しない法律の灰色地帯で運営しているサービスプロバイダーは、技術的にはKYCの対象にならない可能性がありますが、これは業界全体のベストプラクティスです。
長年の間、正当な取引履歴を慎重に作成した合成IDは、信頼性が高く、エラープローンですが、シンプルなプロンプトエンジニアリングで、ジェネレーティブモデルが本当の性質を明らかにすることができます。銀行は、これらのテクニックを戦略に統合する必要があります。
3. 高度な行動分析を使用する
AIと戦うベストプラクティスは、火で火を打つことです。マシンラーニングシステムによって動作する行動分析は、同時に数千人の人々に関する大量のデータを収集できます。マウスの動きからタイムスタンプ付きのアクセスログまで、すべてを追跡できます。突然の変化は、アカウントの乗っ取りを示します。
高度なモデルは、十分な履歴データがある場合、誰かの購入や信用習慣を模倣することができますが、スクロールスピード、スワイプパターン、またはマウスの動きを模倣することはできません。これにより、銀行は微妙なアドバンテージを得ることができます。
4. 包括的なリスク評価を実施する
銀行は、アカウント作成中にリスク評価を実施して、新しいアカウント詐欺を防ぎ、資金洗浄から資源を拒否する必要があります。名前、住所、SSNの不一致を検索することから始めることができます。
合成IDは信頼性が高く、エラープローンですが、完璧ではありません。パブリックレコードとソーシャルメディアの徹底的な検索により、最近存在したことがわかります。プロフェッショナルであれば、十分な時間があればそれらを除去して、資金洗浄と金融詐欺を防ぐことができます。
検証待ちの仮置きまたは転送制限は、悪意のある行為者が大量にアカウントを作成して廃棄するのを防ぐことができます。プロセスを実際のユーザーにとって直感的でないようにすることは、摩擦を生み出す可能性がありますが、消費者にとって長期的には数千ドル、または数万ドルを節約する可能性があります。
AIスキャムと詐欺から顧客を守る
AIは、銀行とフィンテック会社にとって深刻な問題を引き起こします。なぜなら、悪意のある行為者が専門家である必要はなく、技術的に熟練している必要もなく、複雑なスキャムを実行できるようになったからです。また、特別なモデルを構築する必要もありません。代わりに、汎用バージョンをジャイルブレイクできます。これらのツールが非常にアクセスしやすいため、銀行は積極的で、尽力する必要があります。
