Connect with us

Como os Golpistas Usam a IA nos Golpes Bancários

Cibersegurança

Como os Golpistas Usam a IA nos Golpes Bancários

mm
Published
Updated

A IA empoderou os golpistas a contornar verificações anti-spoofing e verificação de voz, permitindo que eles produzam identificações e documentos financeiros falsos de forma surpreendentemente rápida. Seus métodos se tornaram cada vez mais inventivos à medida que a tecnologia geradora evolui. Como os consumidores podem se proteger e o que as instituições financeiras podem fazer para ajudar?

1. Deepfakes Melhoram o Golpe do Impostor

A IA permitiu o maior golpe de impostor já registrado. Em 2024, a Arup — uma empresa de consultoria de engenharia com sede no Reino Unido — perdeu cerca de $25 milhões após golpistas enganarem um funcionário para transferir fundos durante uma conferência de vídeo ao vivo. Eles haviam clonado digitalmente líderes seniores de gestão, incluindo o diretor financeiro.

Os deepfakes usam algoritmos de gerador e discriminador para criar um duplo digital e avaliar a realidade, permitindo que eles imitem convincentemente as características faciais e a voz de alguém. Com a IA, os criminosos podem criar um usando apenas um minuto de áudio e uma única fotografia. Como essas imagens, clipes de áudio ou vídeos artificiais podem ser pré-gravados ou ao vivo, eles podem aparecer em qualquer lugar.

2. Modelos Geradores Enviar Avisos Falsos de Fraude

Um modelo gerador pode enviar simultaneamente milhares de avisos falsos de fraude. Imagine alguém hackeando um site de eletrônicos. À medida que grandes pedidos chegam, a IA liga para os clientes, dizendo que o banco sinalizou a transação como fraudulenta. Ele solicita o número da conta e as respostas para as perguntas de segurança, dizendo que deve verificar a identidade.

A ligação urgente e a implicação de fraude podem persuadir os clientes a fornecer informações bancárias e pessoais. Como a IA pode analisar vastas quantidades de dados em segundos, ela pode rapidamente referenciar fatos reais para tornar a ligação mais convincente.

3. A Personalização da IA Facilita a Tomada de Conta

Embora um cibercriminoso possa forçar sua entrada por meio de uma força bruta, eles geralmente usam credenciais de login roubadas. Eles imediatamente alteram a senha, o e-mail de backup e o número de autenticação de múltiplos fatores para evitar que o titular real da conta os expulse. Profissionais de segurança cibernética podem defender-se contra essas táticas porque entendem o roteiro. A IA introduz variáveis desconhecidas, o que enfraquece suas defesas.

A personalização é a arma mais perigosa que um golpista pode ter. Eles frequentemente visam pessoas durante períodos de tráfego de pico quando muitas transações ocorrem — como o Black Friday — para tornar mais difícil monitorar a fraude. Um algoritmo pode ajustar os horários de envio com base na rotina, hábitos de compras ou preferências de mensagem de uma pessoa, tornando-a mais provável de engajar.

Geração de linguagem avançada e processamento rápido permitem a geração em massa de e-mails, spoofing de domínio e personalização de conteúdo. Mesmo que os atores ruins enviem 10 vezes mais mensagens, cada uma parecerá autêntica, persuasiva e relevante.

4. A IA Geradora Reformula o Golpe do Site Falso

A tecnologia geradora pode fazer tudo, desde o design de wireframes até a organização de conteúdo. Um golpista pode pagar centavos para criar e editar um site falso de investimento, empréstimo ou bancário sem código dentro de segundos.

Ao contrário de uma página de phishing convencional, ela pode ser atualizada em tempo quase real e responder à interação. Por exemplo, se alguém ligar para o número de telefone listado ou usar o recurso de bate-papo ao vivo, eles podem ser conectados a um modelo treinado para agir como um consultor financeiro ou funcionário de banco.

Em um caso assim, os golpistas clonaram a plataforma Exante. A empresa global de fintech fornece aos usuários acesso a mais de 1 milhão de instrumentos financeiros em dezenas de mercados, então as vítimas pensaram que estavam investindo legitimamente. No entanto, estavam depositando fundos inadvertidamente em uma conta do JPMorgan Chase.

Natalia Taft, chefe de conformidade da Exante, disse que a empresa encontrou “muitos” golpes semelhantes, sugerindo que o primeiro não foi um caso isolado. Taft disse que os golpistas fizeram um excelente trabalho clonando a interface do site. Ela disse que as ferramentas de IA provavelmente criaram porque é um “jogo de velocidade” e eles devem “atingir o máximo de vítimas possível antes de serem removidos”.

5. Algoritmos Contornam Ferramentas de Detecção de Vida

A detecção de vida usa biometria em tempo real para determinar se a pessoa na frente da câmera é real e corresponde à ID do titular da conta. Em teoria, contornar a autenticação se torna mais desafiador, impedindo que as pessoas usem fotos ou vídeos antigos. No entanto, não é tão eficaz quanto costumava ser, graças aos deepfakes impulsionados por IA.

Cibercriminosos podem usar essa tecnologia para imitar pessoas reais para acelerar a tomada de conta. Alternativamente, eles podem enganar a ferramenta para verificar uma persona falsa, facilitando o branqueamento de dinheiro.

Os golpistas não precisam treinar um modelo para fazer isso — eles podem pagar por uma versão pré-treinada. Uma solução de software afirma que pode contornar cinco das principais ferramentas de detecção de vida que as empresas de fintech usam por uma compra única de $2.000. Anúncios para ferramentas como essa são abundantes em plataformas como o Telegram, demonstrando a facilidade da fraude bancária moderna.

6. Identidades de IA Permitem Nova Fraude de Conta

Os golpistas podem usar a tecnologia geradora para roubar a identidade de alguém. Na dark web, muitos lugares oferecem documentos falsos emitidos pelo estado, como passaportes e carteiras de motorista. Além disso, eles fornecem fotos falsas e registros financeiros.

Uma identidade sintética é uma persona fabricada criada combinando detalhes reais e falsos. Por exemplo, o número do Seguro Social pode ser real, mas o nome e o endereço não são. Como resultado, eles são mais difíceis de detectar com ferramentas convencionais. O relatório de Tendências de Identidade e Fraude de 2021 mostra que cerca de 33% de falsos positivos que a Equifax vê são identidades sintéticas.

Golpistas profissionais com orçamentos generosos e ambições altas criam novas identidades com ferramentas geradoras. Eles cultivam a persona, estabelecendo um histórico financeiro e de crédito. Essas ações legítimas enganam o software de conhecimento do cliente, permitindo que eles permaneçam indetectados. Eventualmente, eles maximizam seu crédito e desaparecem com lucros líquidos positivos.

Embora esse processo seja mais complexo, ele ocorre passivamente. Algoritmos avançados treinados em técnicas de fraude podem reagir em tempo real. Eles sabem quando fazer uma compra, pagar dívidas de cartão de crédito ou solicitar um empréstimo como um humano, ajudando-os a escapar da detecção.

O que os Bancos Podem Fazer para se Defender Contra Esses Golpes de IA

Os consumidores podem se proteger criando senhas complexas e exercendo cautela ao compartilhar informações pessoais ou de conta. Os bancos devem fazer mais para se defender contra a fraude relacionada à IA, pois são responsáveis por proteger e gerenciar contas.

1. Empregar Ferramentas de Autenticação de Múltiplos Fatores

Como os deepfakes comprometeram a segurança biométrica, os bancos devem confiar na autenticação de múltiplos fatores. Mesmo que um golpista roube com sucesso as credenciais de login de alguém, eles não podem acessar.

As instituições financeiras devem dizer aos clientes para nunca compartilhar o código de autenticação de múltiplos fatores. A IA é uma ferramenta poderosa para cibercriminosos, mas não pode contornar códigos de passagem de tempo seguros. O phishing é uma das únicas maneiras pelas quais ele pode tentar fazer isso.

2. Melhorar os Padrões de Conhecimento do Cliente

O conhecimento do cliente é um padrão de serviço financeiro que exige que os bancos verifiquem a identidade dos clientes, perfis de risco e registros financeiros. Embora os prestadores de serviços que operam em áreas cinzentas legais não estejam tecnicamente sujeitos ao conhecimento do cliente — novas regras que afetam a DeFi não entrarão em vigor até 2027 — é uma prática recomendada em toda a indústria.

Identidades sintéticas com históricos de transações legítimos e cultivados ao longo de anos são convincentes, mas propensos a erros. Por exemplo, a engenharia de prompt simples pode forçar um modelo gerador a revelar sua verdadeira natureza. Os bancos devem integrar essas técnicas em suas estratégias.

3. Usar Análise de Comportamento Avançada

Uma prática recomendada ao combater a IA é lutar fogo com fogo. A análise de comportamento alimentada por um sistema de aprendizado de máquina pode coletar uma quantidade tremenda de dados sobre dezenas de milhares de pessoas simultaneamente. Ela pode rastrear tudo, desde o movimento do mouse até logs de acesso com carimbo de data e hora. Uma mudança súbita indica a tomada de conta.

Embora os modelos avançados possam imitar os hábitos de compra ou crédito de alguém se tiverem dados históricos suficientes, eles não saberão como imitar a velocidade de rolagem, padrões de deslize ou movimentos do mouse, dando aos bancos uma vantagem sutil.

4. Realizar Avaliações de Risco Abrangentes

Os bancos devem realizar avaliações de risco durante a criação de contas para prevenir a fraude de nova conta e negar recursos aos mulos de dinheiro. Eles podem começar procurando discrepâncias no nome, endereço e SSN.

Embora as identidades sintéticas sejam convincentes, elas não são infalíveis. Uma busca minuciosa de registros públicos e mídias sociais revelaria que elas apenas surgiram recentemente. Um profissional poderia removê-las, dado tempo suficiente, impedindo o branqueamento de dinheiro e a fraude financeira.

Um hold temporário ou limite de transferência pendente de verificação poderia impedir que atores ruins criem e descartem contas em massa. Embora tornar o processo menos intuitivo para usuários reais possa causar fricção, poderia economizar aos consumidores milhares ou até dezenas de milhares de dólares a longo prazo.

Proteger os Clientes Contra Golpes e Fraude de IA

A IA representa um problema sério para os bancos e as empresas de fintech porque os atores ruins não precisam ser especialistas — ou mesmo tecnicamente literatos — para executar golpes sofisticados. Além disso, eles não precisam construir um modelo especializado. Em vez disso, eles podem quebrar um modelo de propósito geral. Como essas ferramentas são tão acessíveis, os bancos devem ser proativos e diligentes.

mm

Zac Amos é um escritor de tecnologia que se concentra em inteligência artificial. Ele também é o editor de recursos do ReHack, onde você pode ler mais sobre seu trabalho.