Cyberbeveiliging
Hoe scammers AI gebruiken in bankfraude
AI heeft fraudeurs in staat gesteld om anti-spoofingcontroles en stemverificatie te omzeilen, waardoor ze valse identificatie- en financiële documenten opmerkelijk snel kunnen produceren. Hun methoden zijn steeds inventiever geworden naarmate de generatieve technologie evolueert. Hoe kunnen consumenten zichzelf beschermen en wat kunnen financiële instellingen doen om te helpen?
1. Deepfakes verbeteren de imitatorscam
AI heeft de grootste succesvolle imitatorscam ooit mogelijk gemaakt. In 2024 verloor het VK-gebaseerde Arup — een ingenieursadviesbureau — ongeveer $25 miljoen nadat fraudeurs een personeelslid hadden bedrogen om fondsen over te maken tijdens een live videconferentie. Ze hadden digitale kopieën gemaakt van echte senior managementleiders, waaronder de chief financial officer.
Deepfakes gebruiken generator- en discriminatoralgoritmen om een digitale dubbelganger te maken en de realiteit te evalueren, waardoor ze iemands gezichtskenmerken en stem overtuigend kunnen imiteren. Met AI kunnen criminelen er een maken met slechts één minuut audio en één foto. Aangezien deze kunstmatige afbeeldingen, audiofragmenten of video’s vooraf opgenomen of live kunnen zijn, kunnen ze overal verschijnen.
2. Generatieve modellen sturen valse fraude-waarschuwingen
Een generatief model kan tegelijkertijd duizenden valse fraude-waarschuwingen sturen. Stel je voor dat iemand inbreekt in een website voor consumentenelektronica. Als er grote bestellingen binnenkomen, belt hun AI klanten op en zegt dat de bank de transactie als frauduleus heeft gemarkeerd. Het vraagt om hun rekeningnummer en de antwoorden op hun beveiligingsvragen, onder het mom van dat het hun identiteit moet verifiëren.
Het dringende telefoontje en de implicatie van fraude kunnen klanten ertoe brengen om hun bank- en persoonlijke gegevens prijs te geven. Aangezien AI grote hoeveelheden gegevens in seconden kan analyseren, kan het snel verwijzen naar echte feiten om het telefoontje overtuigender te maken.
3. AI-persoonlijkheid vergemakkelijkt account-overname
Terwijl een cybercrimineel zijn weg kon forceren door eindeloos wachtwoorden te raden, gebruiken ze vaak gestolen inloggegevens. Ze veranderen onmiddellijk het wachtwoord, de reserve-e-mail en het multifactorauthenticatienummer om te voorkomen dat de echte rekeninghouder hen eruit gooit. Cyberbeveiligingsprofessionals kunnen zich verdedigen tegen deze tactieken omdat ze het spelboek begrijpen. AI introduceert onbekende variabelen, waardoor hun verdediging verzwakt.
Persoonlijkheid is het gevaarlijkste wapen dat een scammer kan hebben. Ze mikken vaak op mensen tijdens piekverkeersperiodes wanneer veel transacties plaatsvinden — zoals Black Friday — om het moeilijker te maken om fraude te controleren. Een algoritme kan verzendtijden aanpassen op basis van iemands routine, winkelgewoonten of berichtvoorkeuren, waardoor ze meer geneigd zijn om te reageren.
Geavanceerde taalgeneratie en snelle verwerking maken massale e-mailgeneratie, domein-spoofing en inhoudspersoonlijkheid mogelijk. Zelfs als slechte actoren 10 keer zoveel berichten sturen, zal elk bericht authentiek, overtuigend en relevant lijken.
4. Generatieve AI vernieuwt de valse website-scam
Generatieve technologie kan alles doen, van het ontwerpen van wireframes tot het organiseren van inhoud. Een scammer kan voor een paar centen een valse, no-codebeleggings-, lenings- of bankwebsite maken en bewerken binnen seconden.
In tegenstelling tot een conventionele phishing-pagina kan het bijna in real-time worden bijgewerkt en reageren op interactie. Als iemand bijvoorbeeld het vermelde telefoonnummer belt of de live chat-functie gebruikt, kan hij worden verbonden met een model dat is getraind om als financieel adviseur of bankmedewerker te handelen.
In een dergelijk geval hebben scammers de Exante-platform gekloond. Het wereldwijde fintech-bedrijf geeft gebruikers toegang tot meer dan 1 miljoen financiële instrumenten in tientallen markten, dus de slachtoffers dachten dat ze legitiem belegden. Echter, ze stortten onbewust geld op een JPMorgan Chase-rekening.
Natalia Taft, hoofd van de compliance van Exante, zei dat het bedrijf “tamelijk veel” soortgelijke scams vond, wat suggereert dat de eerste geen geïsoleerd geval was. Taft zei dat de scammers een uitstekende job hadden gedaan bij het klonen van de website-interface. Ze zei dat AI-hulpmiddelen waarschijnlijk de website hebben gemaakt omdat het een “snelheidsspel” is en ze “zo veel mogelijk slachtoffers moeten raken voordat ze worden verwijderd”.
5. Algoritmen omzeilen liveness-detectietools
Liveness-detectie gebruikt real-time biometrie om te bepalen of de persoon voor de camera echt is en overeenkomt met de ID van de rekeninghouder. In theorie wordt het omzeilen van verificatie moeilijker, waardoor het voor mensen moeilijker wordt om oude foto’s of video’s te gebruiken. Echter, het is niet zo effectief als het vroeger was, dankzij AI-geactiveerde deepfakes.
Cybercriminelen kunnen deze technologie gebruiken om echte mensen na te bootsen om account-overname te versnellen. Alternatief kunnen ze het hulpmiddel ertoe brengen om een valse persoon te verifiëren, waardoor geldwassen wordt gefaciliteerd.
Scammers hoeven geen model te trainen om dit te doen — ze kunnen een vooraf getrainde versie kopen. Een software-oplossing beweert dat het vijf van de meest prominente liveness-detectietools kan omzeilen die fintech-bedrijven gebruiken voor een eenmalige aankoop van $2.000. Advertenties voor tools zoals deze zijn overvloedig op platforms zoals Telegram, wat de eenvoud van moderne bankfraude demonstreert.
6. AI-identiteiten maken nieuwe accountfraude mogelijk
Fraudeurs kunnen generatieve technologie gebruiken om iemands identiteit te stelen. Op het dark web zijn er veel plaatsen die vervalste door de overheid uitgegeven documenten aanbieden, zoals paspoorten en rijbewijzen. Daarnaast bieden ze valse selfies en financiële dossiers.
Een synthetische identiteit is een gefabriceerde persoon die is gemaakt door echte en valse details te combineren. Bijvoorbeeld, het sociale verzekeringsnummer kan echt zijn, maar de naam en het adres zijn dat niet. Als gevolg daarvan zijn ze moeilijker te detecteren met conventionele tools. Het rapport over identiteits- en fraude-trends uit 2021 toont aan dat ongeveer 33% van de valse positieven die Equifax ziet synthetische identiteiten zijn.
Professionele scammers met royale budgetten en hoge ambities creëren nieuwe identiteiten met generatieve tools. Ze cultiveren de persoon, waarbij ze een financiële en kredietgeschiedenis opbouwen. Deze legitieme acties bedriegen know-your-customer-software, waardoor ze onopgemerkt blijven. Uiteindelijk halen ze hun krediet op en verdwijnen ze met een nettowinst.
Hoewel dit proces complexer is, gebeurt het passief. Geavanceerde algoritmen die zijn getraind op fraude-technieken, kunnen in real-time reageren. Ze weten wanneer ze een aankoop moeten doen, kredietkaartschuld moeten afbetalen of een lening moeten afsluiten, net als een mens, waardoor ze onopgemerkt blijven.
Wat banken kunnen doen om zich te verdedigen tegen deze AI-scams
Consumenten kunnen zichzelf beschermen door complexe wachtwoorden te maken en voorzichtig te zijn bij het delen van persoonlijke of rekeninginformatie. Banken moeten nog meer doen om zich te verdedigen tegen AI-gerelateerde fraude, omdat ze verantwoordelijk zijn voor het beveiligen en beheren van rekeningen.
1. Gebruik multifactorauthenticatietools
Aangezien deepfakes biometrische beveiliging hebben aangetast, moeten banken multifactorauthenticatie gebruiken. Zelfs als een scammer iemands inloggegevens succesvol steelt, kan hij geen toegang krijgen.
Financiële instellingen moeten klanten vertellen dat ze hun MFA-code nooit moeten delen. AI is een krachtig hulpmiddel voor cybercriminelen, maar het kan geen veilige eenmalige wachtwoorden omzeilen. Phishing is een van de enige manieren waarop het dit kan proberen.
2. Verbeter de know-your-customer-standaarden
Know-your-customer is een financiële dienstennorm die banken verplicht om de identiteit, risicoprofielen en financiële dossiers van klanten te verifiëren. Hoewel dienstverleners die opereren in juridische grijze gebieden niet technisch onderworpen zijn aan know-your-customer — nieuwe regels die van invloed zijn op DeFi zullen pas in 2027 van kracht worden — is het een industrie-brede beste praktijk.
Synthetische identiteiten met jarenlange, legitieme, zorgvuldig gecultiveerde transactiegeschiedenissen zijn overtuigend maar foutgevoelig. Bijvoorbeeld, eenvoudige prompt-engineering kan een generatief model ertoe brengen om zijn ware aard te onthullen. Banken moeten deze technieken in hun strategieën integreren.
3. Gebruik geavanceerde behaviorale analyses
Een beste praktijk bij het bestrijden van AI is om vuur met vuur te bestrijden. Behaviorale analyses die worden aangedreven door een machine learning-systeem, kunnen een enorme hoeveelheid gegevens verzamelen over tienduizenden mensen tegelijk. Het kan alles volgen, van muisbewegingen tot getijdstempeltoegangslogboeken. Een plotselinge verandering geeft account-overname aan.
Hoewel geavanceerde modellen iemands aankoop- of kredietgewoonten kunnen imiteren als ze voldoende historische gegevens hebben, weten ze niet hoe ze muisbeweging, veegpatronen of muisbewegingen moeten imiteren, waardoor banken een subtiele voorsprong hebben.
4. Voer uitgebreide risicobeoordelingen uit
Banken moeten risicobeoordelingen uitvoeren tijdens accountcreatie om nieuwe accountfraude te voorkomen en middelen te ontkennen aan geldmuilders. Ze kunnen beginnen met het zoeken naar inconsistenties in naam, adres en SSN.
Hoewel synthetische identiteiten overtuigend zijn, zijn ze niet onfeilbaar. Een grondige zoekopdracht in openbare registers en sociale media zou onthullen dat ze pas recent in het bestaan zijn gekomen. Een professional kan ze verwijderen als hij voldoende tijd heeft, waardoor geldwassen en financiële fraude worden voorkomen.
Een tijdelijke hold of overdrachtslimiet in afwachting van verificatie kan voorkomen dat slechte actoren accounts massaal creëren en dumpen. Hoewel het proces minder intuïtief maken voor echte gebruikers enige wrijving kan veroorzaken, kan het consumenten duizenden of zelfs tienduizenden dollars besparen op lange termijn.
Klanten beschermen tegen AI-scams en fraude
AI vormt een ernstig probleem voor banken en fintech-bedrijven, omdat slechte actoren geen experts hoeven te zijn — of zelfs maar technisch onderlegd — om geavanceerde scams uit te voeren. Bovendien hoeven ze geen speciaal model te bouwen. In plaats daarvan kunnen ze een algemeen model jailbreaken. Aangezien deze tools zo toegankelijk zijn, moeten banken proactief en zorgvuldig zijn.
