Jak oszuści wykorzystują sztuczną inteligencję w oszustwach bankowych

Sztuczna inteligencja umożliwiła oszustom omijanie kontroli antyspoofingowych i weryfikacji głosowej, co pozwoliło im na niezwykle szybkie tworzenie fałszywych dokumentów tożsamości i dokumentów finansowych. Ich metody stały się coraz bardziej pomysłowe w miarę rozwoju technologii generatywnej. W jaki sposób konsumenci mogą się chronić i co mogą zrobić instytucje finansowe, aby pomóc?

1. Deepfake’i wzmacniają oszustwa oszustów 

Sztuczna inteligencja umożliwiła największe udane oszustwo oszustwa, jakie kiedykolwiek odnotowano. W 2024 r. Arup z siedzibą w Wielkiej Brytanii — firma konsultingowa z branży inżynieryjnej — stracił około 25 milionów dolarów po tym, jak oszuści oszukali pracownika, aby przelał środki podczas wideokonferencji na żywo. Cyfrowo sklonowali prawdziwych liderów wyższego szczebla, w tym dyrektora finansowego.  

Deepfakes używają algorytmów generatora i dyskryminatora do tworzenia cyfrowego duplikatu i oceny realizmu, co pozwala im przekonująco naśladować czyjeś rysy twarzy i głos. Dzięki sztucznej inteligencji przestępcy mogą tworzyć jeden używając tylko jednej minuty audio i pojedynczej fotografii. Ponieważ te sztuczne obrazy, klipy audio lub wideo mogą być nagrane wcześniej lub na żywo, mogą pojawić się w dowolnym miejscu.

2. Modele generatywne wysyłają fałszywe ostrzeżenia o oszustwach

Model generatywny może jednocześnie wysyłać tysiące fałszywych ostrzeżeń o oszustwach. Wyobraź sobie kogoś włamującego się na stronę internetową z elektroniką użytkową. Gdy przychodzą duże zamówienia, ich sztuczna inteligencja dzwoni do klientów, mówiąc, że bank oznaczył transakcję jako oszukańczą. Prosi o numer konta i odpowiedzi na pytania bezpieczeństwa, mówiąc, że musi zweryfikować ich tożsamość. 

Pilne wezwanie i sugestia oszustwa mogą przekonać klientów do podania swoich danych bankowych i osobistych. Ponieważ AI może analizować ogromne ilości danych w ciągu kilku sekund, może szybko odwołać się do prawdziwych faktów, aby wezwanie było bardziej przekonujące.

3. Personalizacja AI ułatwia przejmowanie kont 

Podczas gdy cyberprzestępca może brutalnie włamać się, nieustannie zgadując hasła, często używa skradzionych danych logowania. Natychmiast zmienia hasło, zapasowy adres e-mail i numer uwierzytelniania wieloskładnikowego, aby uniemożliwić prawdziwemu posiadaczowi konta wyrzucenie ich. Specjaliści od cyberbezpieczeństwa mogą bronić się przed tymi taktykami, ponieważ rozumieją zasady gry. AI wprowadza nieznane zmienne, co osłabia ich obronę. 

Personalizacja jest najniebezpieczniejszą bronią, jaką może mieć oszust. Często atakują ludzi w okresach szczytowego natężenia ruchu gdy ma miejsce wiele transakcji — jak w Czarny Piątek — aby utrudnić monitorowanie oszustw. Algorytm mógłby dostosować czasy wysyłania na podstawie rutyny danej osoby, jej nawyków zakupowych lub preferencji dotyczących wiadomości, co zwiększyłoby prawdopodobieństwo, że zaangażuje się ona w interakcję.

Zaawansowana generacja języka i szybkie przetwarzanie umożliwiają masową generację wiadomości e-mail, podszywanie się pod domenę i personalizację treści. Nawet jeśli źli aktorzy wyślą 10 razy więcej wiadomości, każda z nich będzie wydawać się autentyczna, przekonująca i istotna.

4. Generative AI odnawia oszustwo związane z fałszywą witryną internetową

Technologia generatywna może zrobić wszystko, od projektowania modeli szkieletowych po organizowanie treści. Oszust może zapłacić grosze za dolara, aby w ciągu kilku sekund stworzyć i edytować fałszywą witrynę inwestycyjną, pożyczkową lub bankową bez kodu. 

W przeciwieństwie do konwencjonalnej strony phishingowej, może ona aktualizować się w czasie niemal rzeczywistym i reagować na interakcję. Na przykład, jeśli ktoś zadzwoni pod podany numer telefonu lub skorzysta z funkcji czatu na żywo, może zostać połączony z modelem wyszkolonym do działania jak doradca finansowy lub pracownik banku. 

W jednym z takich przypadków oszuści sklonowali platformę Exante. Globalna firma fintech daje użytkownikom dostęp do ponad 1 miliona instrumentów finansowych na dziesiątkach rynków, więc ofiary myślały, że inwestują legalnie. Jednak nieświadomie wpłacały środki na konto JPMorgan Chase.

Natalia Taft, szefowa działu zgodności w Exante, powiedziała, że ​​firma znalazła „sporo” podobnych oszustw, co sugeruje, że pierwszy przypadek nie był odosobniony. Taft powiedział, że oszuści wykonali świetną robotę klonowanie interfejsu witryny. Powiedziała, że ​​narzędzia AI prawdopodobnie je stworzyły, ponieważ jest to „gra na szybkość” i muszą „uderzyć w jak najwięcej ofiar, zanim zostaną pokonane”.

5. Algorytmy pomijają narzędzia wykrywania żywotności

Wykrywanie żywotności wykorzystuje biometrię w czasie rzeczywistym, aby ustalić, czy osoba przed kamerą jest prawdziwa i pasuje do identyfikatora posiadacza konta. Teoretycznie omijanie uwierzytelniania staje się trudniejsze, uniemożliwiając ludziom korzystanie ze starych zdjęć lub filmów. Jednak nie jest już tak skuteczne, jak kiedyś, dzięki deepfake’om opartym na sztucznej inteligencji. 

Cyberprzestępcy mogliby wykorzystać tę technologię do naśladowania prawdziwych osób, aby przyspieszyć przejęcie konta. Alternatywnie mogliby oszukać narzędzie, aby zweryfikowało fałszywą personę, ułatwiając muling pieniędzy. 

Oszuści nie muszą szkolić modelu, aby to zrobić — mogą zapłacić za wstępnie wyszkoloną wersję. Jedno rozwiązanie programowe twierdzi, że może ominąć pięć z najbardziej znanych narzędzi do wykrywania żywotności, których firmy fintech używają do jednorazowego zakupu o wartości 2,000 USD. Reklamy takich narzędzi są liczne na platformach takich jak Telegram, co pokazuje łatwość współczesnych oszustw bankowych.

6. Tożsamości AI umożliwiają nowe oszustwa związane z kontami

Oszuści mogą używać technologii generatywnej, aby ukraść tożsamość osoby. W dark webie wiele miejsc oferuje podrobione dokumenty wydane przez państwo, takie jak paszporty i prawa jazdy. Poza tym oferują fałszywe selfie i zapisy finansowe. 

Syntetyczna tożsamość to wymyślona persona stworzona przez połączenie prawdziwych i fałszywych szczegółów. Na przykład numer ubezpieczenia społecznego może być prawdziwy, ale imię i nazwisko oraz adres nie. W rezultacie trudniej je wykryć za pomocą konwencjonalnych narzędzi. Raport Identity and Fraud Trends z 2021 r. pokazuje około 33% wyników fałszywie dodatnich Equifax widzi to jako tożsamość syntetyczną. 

Profesjonalni oszuści z hojnymi budżetami i wzniosłymi ambicjami tworzą nowe tożsamości za pomocą narzędzi generatywnych. Kultywują personę, tworząc historię finansową i kredytową. Te legalne działania oszukują oprogramowanie know-your-customer, pozwalając im pozostać niewykrytymi. Ostatecznie maksymalizują swój kredyt i znikają z dodatnimi dochodami netto. 

Chociaż proces ten jest bardziej złożony, odbywa się pasywnie. Zaawansowane algorytmy wyszkolone w technikach oszustw mogą reagować w czasie rzeczywistym. Wiedzą, kiedy dokonać zakupu, spłacić zadłużenie karty kredytowej lub zaciągnąć pożyczkę jak człowiek, co pomaga im uniknąć wykrycia.

Co banki mogą zrobić, aby bronić się przed tymi oszustwami związanymi ze sztuczną inteligencją

Konsumenci mogą się chronić, tworząc złożone hasła i zachowując ostrożność podczas udostępniania danych osobowych lub informacji o koncie. Banki powinny zrobić jeszcze więcej, aby bronić się przed oszustwami związanymi z AI, ponieważ odpowiadają za zabezpieczanie i zarządzanie kontami.

1. Stosuj narzędzia uwierzytelniania wieloskładnikowego

Ponieważ deepfake'i naruszyły bezpieczeństwo biometryczne, banki powinny zamiast tego polegać na uwierzytelnianiu wieloczynnikowym. Nawet jeśli oszustowi uda się ukraść czyjeś dane logowania, nie będzie mógł uzyskać dostępu. 

Instytucje finansowe powinny powiedzieć klientom, aby nigdy nie udostępniali swojego kodu MFA. AI to potężne narzędzie dla cyberprzestępców, ale nie może niezawodnie ominąć bezpiecznych jednorazowych kodów dostępu. Phishing to jeden z nielicznych sposobów, w jaki może to zrobić.

2. Popraw standardy „Poznaj swojego klienta”

KYC to standard usług finansowych, który wymaga od banków weryfikacji tożsamości klientów, profili ryzyka i zapisów finansowych. Podczas gdy dostawcy usług działający w prawnych szarej strefie nie podlegają technicznie KYC — nowe zasady wpływające na DeFi nie wejdzie w życie do 2027 r. — jest to najlepsza praktyka w całej branży. 

Syntetyczne tożsamości z wieloletnimi, legalnymi, starannie kultywowanymi historiami transakcji są przekonujące, ale podatne na błędy. Na przykład prosta, szybka inżynieria może zmusić model generatywny do ujawnienia jego prawdziwej natury. Banki powinny zintegrować te techniki ze swoimi strategiami.

3. Użyj zaawansowanej analizy behawioralnej 

Najlepszą praktyką w walce z AI jest zwalczanie ognia ogniem. Analityka behawioralna oparta na systemie uczenia maszynowego może gromadzić ogromne ilości danych o dziesiątkach tysięcy osób jednocześnie. Może śledzić wszystko, od ruchu myszy po sygnatury czasowe dzienników dostępu. Nagła zmiana wskazuje na przejęcie konta. 

Choć zaawansowane modele potrafią naśladować zwyczaje zakupowe i kredytowe danej osoby, jeśli dysponują wystarczającą ilością danych historycznych, nie będą w stanie naśladować szybkości przewijania, wzorców przesuwania ani ruchów myszy, co daje bankom subtelną przewagę.

4. Przeprowadź kompleksową ocenę ryzyka 

Banki powinny przeprowadzać ocenę ryzyka podczas zakładania konta, aby zapobiec oszustwom na nowych kontach i odmówić dostępu do zasobów od mułów pieniężnych. Mogą zacząć od wyszukiwania rozbieżności w imieniu, adresie i numerze SSN. 

Choć syntetyczne tożsamości są przekonujące, nie są niezawodne. Dokładne przeszukanie rejestrów publicznych i mediów społecznościowych ujawniłoby, że pojawiły się niedawno. Profesjonalista mógłby je usunąć, gdyby miał wystarczająco dużo czasu, zapobiegając przemytowi pieniędzy i oszustwom finansowym.

Tymczasowe wstrzymanie lub limit transferu oczekujący na weryfikację może uniemożliwić nieuczciwym graczom masowe tworzenie i usuwanie kont. Podczas gdy uczynienie procesu mniej intuicyjnym dla prawdziwych użytkowników może powodować tarcia, może zaoszczędzić konsumentom tysiące, a nawet dziesiątki tysięcy dolarów w dłuższej perspektywie.

Ochrona klientów przed oszustwami i wyłudzeniami związanymi ze sztuczną inteligencją

AI stanowi poważny problem dla banków i firm fintech, ponieważ źli aktorzy nie muszą być ekspertami — ani nawet bardzo technicznie wykształceni — aby wykonywać wyrafinowane oszustwa. Co więcej, nie muszą budować specjalistycznego modelu. Zamiast tego mogą jailbreakować wersję ogólnego przeznaczenia. Ponieważ te narzędzia są tak łatwo dostępne, banki muszą być proaktywne i pilne.