Cybersikkerhet
Hvordan svindlere bruker AI i bankbedragerier
AI har gitt svindlerne mulighet til å unngå anti-spoofing-kontroller og stemmeverifisering, og lar dem produsere falske identitetsdokumenter og finansielle dokumenter svært raskt. Deres metoder har blitt stadig mer oppfinnsomme ettersom generativ teknologi utvikles. Hvordan kan forbrukerne beskytte seg selv, og hva kan finansielle institusjoner gjøre for å hjelpe?
1. Deepfakes forbedrer imposter-svindel
AI gjorde det mulig for svindlerne å gjennomføre den største imposter-svindelen noensinne registrert. I 2024 tapte det Storbritannia-baserte selskapet Arup — et ingeniørkonsulentselskap — om lag 25 millioner dollar etter at svindlerne lurte en ansatt til å overføre midler under en direkte videokonferanse. De hadde digitalt klonet virkelige ledere, inkludert finansdirektøren.
Deepfakes bruker generator- og diskrimineringsalgoritmer til å lage en digital kopi og vurdere realisme, og lar dem overbevisende etterligne noen sin ansiktsuttrykk og stemme. Med AI kan kriminelle lage en bare ved hjelp av ett minutt med lyd og et enkelt fotografi. Siden disse kunstige bildene, lydklipp eller videoer kan være forhåndsinnspilt eller direkte, kan de dukke opp hvor som helst.
2. Generative modeller sender falske svindelvarsel
En generativ modell kan samtidig sende tusenvis av falske svindelvarsel. Forestill deg at noen hacker seg inn på en forbruker-elektronikk-nettsted. Når store bestillinger kommer inn, ringer deres AI kunder og sier at banken har flagget transaksjonen som svindel. Det ber om kundens kontonummer og svarene på deres sikkerhetsspørsmål, og sier at det må verifisere deres identitet.
Det急 call og implikasjonen av svindel kan overbevise kundene om å gi fra seg deres bank- og personlige informasjon. Siden AI kan analysere store mengder data på sekunder, kan det raskt referere til faktiske fakta for å gjøre samtalen mer overbevisende.
3. AI-personalisering fasiliteter konto- overtakelse
Mens en cyberkriminell kunne bruke brute force-metoden for å gjette seg frem til passord, bruker de ofte stjålne innloggingsopplysninger. De endrer umiddelbart passordet, reserve-e-post og multifaktor-autentiseringsnummer for å forhindre den ekte konto-eieren fra å kaste dem ut. Sikkerhetseksperter kan forsvare seg mot disse taktikkene fordi de forstår spillreglene. AI introduserer ukjente variabler, som svekker deres forsvar.
Personligisering er det farligste våpenet en svindler kan ha. De må ofte målrette mennesker under topp-trafikkperioder når mange transaksjoner skjer — som Black Friday — for å gjøre det vanskeligere å overvåke for svindel. En algoritme kunne tilpasse sendetid basert på en persons rutine, handlevaner eller meldingspreferanser, og gjøre dem mer sannsynlig til å engasjere.
Avansert språkgenerering og rask prosessering muliggjør masse-e-post-generering, domene-spoofing og innholdspersonalisering. Selv om dårlige aktører sender 10 ganger så mange meldinger, vil hver enkelt melding se autentisk, overbevisende og relevant ut.
4. Generativ AI revolusjonerer den falske nettside-svindel
Generativ teknologi kan gjøre alt fra å designe wireframes til å organisere innhold. En svindler kan betale noen få øre for å lage og redigere en falsk, kodefri investerings-, lån- eller bank-nettsted innen få sekunder.
I motsetning til en konvensjonell phishing-side kan den oppdatere i nær sanntid og reagere på interaksjon. For eksempel, hvis noen ringer det oppførte telefonnummeret eller bruker live-chatt-funksjonen, kan de bli koblet til en modell som er trent til å oppføre seg som en finansiell rådgiver eller bankansatt.
I et slikt tilfelle klonet svindlerne Exante-plattformen. Det globale fintech-selskapet gir brukerne tilgang til over 1 million finansielle instrumenter i dusinvis av markeder, så ofrene trodde de investerte legitimt. Men de deponerte uvisst midler i en JPMorgan Chase-konto.
Natalia Taft, Exantes compliance-sjef, sa at selskapet fant «ganske få» lignende svindel, noe som tyder på at den første ikke var et isolert tilfelle. Taft sa at svindlerne gjorde en utmerket jobb med å klone nettstedets grensesnitt. Hun sa at AI-verktøy sannsynligvis skapte det, fordi det er en «hastighetsspill», og de må «treffe så mange ofre som mulig før de blir tatt ned».
5. Algoritmer unngår liveness-detektering-verktøy
Liveness-detektering bruker sanntids-biometri for å bestemme om personen foran kameraet er ekte og matcher konto-eierens ID. I teorien blir det vanskeligere å omgå autentisering, og hindrer mennesker fra å bruke gamle fotografier eller videoer. Men det er ikke like effektivt som det var tidligere, takket være AI-drevne deepfakes.
Cyberkriminelle kunne bruke denne teknologien til å etterligne ekte mennesker for å akselerere konto-overtakelse. Alternativt kunne de lure verktøyet til å verifisere en falsk persona, og lette penger-muling.
Svindlerne trenger ikke å trene en modell for å gjøre dette — de kan betale for en forhånds trenet versjon. Et programvare-løsning hevdet at det kan unngå fem av de mest prominente liveness-detektering-verktøyene fintech-selskaper bruker for en engangs kjøp på 2 000 dollar. Reklame for verktøy som dette er vanlig på plattformer som Telegram, og demonstrerer lettheten av moderne bank-svindel.
6. AI-identiteter muliggjør ny konto-svindel
Svindlere kan bruke generativ teknologi til å stjele en persons identitet. På det mørke nettet finnes det mange steder som tilbyr forfalskede statlige utstedte dokumenter som pass og førerkort. Ut over det tilbyr de også falske selfies og finansielle dokumenter.
En syntetisk identitet er en fabrikkert persona skapt ved å kombinere ekte og falske detaljer. For eksempel kan personnummeret være ekte, men navnet og adressen er ikke. Som resultat er de vanskeligere å oppdage med konvensjonelle verktøy. 2021-identitet og svindel-trend-rapporten viser at omtrent 33% av falske positiver Equifax ser er syntetiske identiteter.
Profesjonelle svindlere med generøse budsjett og høye ambisjoner skaper nye identiteter med generative verktøy. De dyrker personaen, og etablerer en finansiell og kreditt-historie. Disse legitime handlingene lure know-your-customer-programvare, og lar dem forbli uoppdaget. Til slutt maksimerer de kreditt og forsvinner med positive inntekter.
Selv om denne prosessen er mer kompleks, skjer den passivt. Avanserte algoritmer trenet på svindel-teknikker kan reagere i sanntid. De vet når de skal gjøre et kjøp, betale av kredittkort-gjeld eller ta ut et lån som et menneske, og hjelper dem å unngå oppdagelse.
Hva banker kan gjøre for å forsvare seg mot disse AI-svindelene
Forbrukerne kan beskytte seg selv ved å lage komplekse passord og være forsiktige når de deler personlige eller konto-opplysninger. Banker bør gjøre enda mer for å forsvare seg mot AI-relatert svindel, fordi de er ansvarlige for å sikre og administrere kontoer.
1. Anvend multifaktor-autentisering-verktøy
Siden deepfakes har kompromittert biometrisk sikkerhet, bør banker stole på multifaktor-autentisering i stedet. Selv om en svindler lykkes i å stjele noen sin innloggingsinformasjon, kan de ikke få tilgang.
Finansielle institusjoner bør fortelle kundene at de aldri bør dele sin MFA-kode. AI er et kraftig verktøy for cyberkriminelle, men det kan ikke pålitelig omgå sikre engangskoder. Phishing er en av de få måtene det kan forsøke å gjøre det.
2. Forbedre know-your-customer-standarden
Know-your-customer er en finansiell tjeneste-standard som krever at banker verifiserer kundenes identiteter, risikoprofiler og finansielle dokumenter. Selv om tjenesteleverandører som opererer i juridiske gråsoner ikke teknisk sett er underlagt know-your-customer — nye regler som påvirker DeFi vil ikke tre i kraft før 2027 — er det en bransje-omfattende beste praksis.
Syntetiske identiteter med år-lange, legitime, omhyggelig dyrkede transaksjons-historier er overbevisende, men feil-utsatte. For eksempel kan enkel prompt-engineering tvinge en generativ modell til å avsløre sin sanne natur. Banker bør integrere disse teknikker i sine strategier.
3. Bruk avansert atferdsanalyse
En beste praksis når det gjelder å bekjempe AI er å bekjempe ild med ild. Atferdsanalyse drevet av et maskinlæringssystem kan samle inn en enorm mengde data på titusenvis av mennesker samtidig. Det kan spore alt fra musebevegelser til tidsstempel-tilgangslogger. En plutselig endring indikerer en konto-overtakelse.
Selv om avanserte modeller kan etterligne en persons kjøps- eller kreditt-vaner hvis de har nok historiske data, vil de ikke vite hvordan de skal etterligne skrollhastighet, sveiping-mønster eller musebevegelser, og gir banker en subtil fordel.
4. Utfør omfattende risikovurderinger
Banker bør utføre risikovurderinger under konto-opprettelse for å forhindre ny konto-svindel og nekte ressurser fra penger-muling. De kan starte med å søke etter uoverensstemmelser i navn, adresse og personnummer.
Selv om syntetiske identiteter er overbevisende, er de ikke feilfrie. En grundig søkning av offentlige registre og sosiale medier ville avsløre at de bare har eksistert i kort tid. En profesjonell kunne fjerne dem gitt nok tid, og forhindre penger-muling og finansiell svindel.
En midlertidig hold eller overføringsgrense som venter på verifisering kunne forhindre dårlige aktører fra å opprette og dumppe kontoer massevis. Selv om prosessen blir mindre intuitiv for ekte brukere, kan det spare forbrukerne tusenvis eller til og med titusenvis av dollar på lengre sikt.
Beskytte kunder fra AI-svindel og -svindel
AI utgjør et alvorlig problem for banker og fintech-selskaper, fordi dårlige aktører ikke trenger å være eksperter — eller til og med veldig teknisk kyndige — for å utføre sofistikerte svindel. Dessuten trenger de ikke å bygge en spesialisert modell. I stedet kan de jailbreak en generell modell. Siden disse verktøyene er så tilgjengelige, må banker være proaktive og flittige.
