Свяжитесь с нами:

Как мошенники используют ИИ в банковском мошенничестве

Информационная безопасность

Как мошенники используют ИИ в банковском мошенничестве

mm
опубликованный
обновлено

ИИ дал мошенникам возможность обходить проверки на антиспуфинг и голосовую верификацию, что позволяет им производить поддельные удостоверения личности и финансовые документы с невероятной скоростью. Их методы становятся все более изобретательными по мере развития генеративных технологий. Как потребители могут защитить себя и что могут сделать финансовые учреждения, чтобы помочь?

1. Дипфейки усиливают мошенничество самозванцев 

ИИ позволил осуществить крупнейшую успешную аферу самозванца, когда-либо зарегистрированную. В 2024 году базирующаяся в Великобритании компания Arup — инженерно-консалтинговая фирма — потерял около 25 миллионов долларов после того, как мошенники обманом заставили сотрудника перевести средства во время прямой видеоконференции. Они создали цифровые клоны настоящих руководителей высшего звена, включая финансового директора.  

Deepfakes используют алгоритмы генератора и дискриминатора для создания цифрового дубликата и оценки реалистичности, что позволяет им убедительно имитировать черты лица и голос человека. С помощью ИИ преступники могут создать его используя только одну минуту аудио и одной фотографии. Поскольку эти искусственные изображения, аудиоклипы или видео могут быть записаны заранее или транслироваться в прямом эфире, они могут появляться где угодно.

2. Генеративные модели отправляют ложные предупреждения о мошенничестве

Генеративная модель может одновременно отправлять тысячи фальшивых предупреждений о мошенничестве. Представьте себе, что кто-то взламывает сайт бытовой электроники. Когда поступают крупные заказы, их ИИ звонит клиентам и сообщает, что банк пометил транзакцию как мошенническую. Он запрашивает номер их счета и ответы на контрольные вопросы, говоря, что он должен подтвердить их личность. 

Срочный звонок и намек на мошенничество могут убедить клиентов отказаться от своей банковской и личной информации. Поскольку ИИ может анализировать огромные объемы данных за считанные секунды, он может быстро ссылаться на реальные факты, чтобы сделать звонок более убедительным.

3. Персонализация ИИ облегчает захват аккаунта 

Хотя киберпреступник может взломать систему методом подбора, бесконечно угадывая пароли, он часто использует украденные учетные данные для входа. Они немедленно меняют пароль, резервный адрес электронной почты и номер многофакторной аутентификации, чтобы настоящий владелец учетной записи не выгнал их. Специалисты по кибербезопасности могут защититься от этих тактик, потому что они понимают схему. ИИ вводит неизвестные переменные, что ослабляет их защиту. 

Персонализация — самое опасное оружие мошенника. Они часто выбирают в качестве цели людей в периоды пиковой нагрузки когда происходит много транзакций — например, в Черную пятницу — чтобы было сложнее отслеживать мошенничество. Алгоритм может адаптировать время отправки на основе рутины человека, его привычек в покупках или предпочтений в сообщениях, что повышает вероятность их взаимодействия.

Расширенная генерация языка и быстрая обработка позволяют производить массовую генерацию электронной почты, подмену домена и персонализацию контента. Даже если злоумышленники отправят в 10 раз больше сообщений, каждое из них будет казаться подлинным, убедительным и релевантным.

4. Генеративный ИИ модернизирует мошенничество с поддельными сайтами

Генеративная технология может делать все: от проектирования каркасов до организации контента. Мошенник может заплатить копейки за доллар, чтобы создать и отредактировать поддельный, не требующий кода инвестиционный, кредитный или банковский сайт за считанные секунды. 

В отличие от обычной фишинговой страницы, она может обновляться практически в режиме реального времени и реагировать на взаимодействие. Например, если кто-то звонит по указанному номеру телефона или использует функцию чата, его можно подключить к модели, обученной действовать как финансовый консультант или банковский служащий. 

В одном из таких случаев мошенники клонировали платформу Exante. Глобальная финтех-компания предоставляет пользователям доступ к более чем 1 миллиону финансовых инструментов на десятках рынков, поэтому жертвы думали, что они законно инвестируют. Однако они неосознанно вносили средства на счет JPMorgan Chase.

Наталья Тафт, глава отдела по обеспечению соответствия компании Exante, заявила, что компания обнаружила «довольно много» подобных случаев мошенничества, что позволяет предположить, что первый случай не был единичным. Тафт сказал, что мошенники отлично поработали клонирование интерфейса веб-сайта. Она сказала, что инструменты ИИ, вероятно, создали его, потому что это «игра на скорость», и они должны «поразить как можно больше жертв, прежде чем их выведут из строя».

5. Алгоритмы обходят инструменты обнаружения жизнеспособности

Определение живости использует биометрию в реальном времени, чтобы определить, является ли человек перед камерой реальным и соответствует ли он идентификатору владельца учетной записи. Теоретически обход аутентификации становится более сложным, не давая людям использовать старые фотографии или видео. Однако это не так эффективно, как раньше, благодаря подделкам на основе искусственного интеллекта. 

Киберпреступники могут использовать эту технологию, чтобы имитировать реальных людей, чтобы ускорить захват аккаунтов. В качестве альтернативы они могут обмануть инструмент, заставив его проверить поддельную личность, что облегчит отмывание денег. 

Мошенникам не нужно обучать модель, чтобы сделать это — они могут заплатить за предварительно обученную версию. Одно программное решение утверждает, что может обойти пять из самых известных инструментов обнаружения жизнеспособности, которые финтех-компании используют для единовременной покупки на сумму $2,000. Реклама таких инструментов в изобилии присутствует на таких платформах, как Telegram, что демонстрирует простоту современного банковского мошенничества.

6. Идентификаторы ИИ позволяют совершать мошенничество с новыми аккаунтами

Мошенники могут использовать генеративные технологии для кражи личности человека. В темной паутине много мест, где предлагают поддельные государственные документы, такие как паспорта и водительские права. Кроме того, они предоставляют поддельные селфи и финансовые записи. 

Синтетическая личность — это сфабрикованная персона, созданная путем объединения реальных и поддельных данных. Например, номер социального страхования может быть реальным, но имя и адрес — нет. В результате их сложнее обнаружить с помощью обычных инструментов. Отчет о тенденциях в области идентификации и мошенничества за 2021 год показывает примерно 33% ложных срабатываний Equifax видит синтетические идентификаторы. 

Профессиональные мошенники с щедрыми бюджетами и высокими амбициями создают новые личности с помощью генеративных инструментов. Они культивируют личность, создавая финансовую и кредитную историю. Эти законные действия обманывают программное обеспечение «знай своего клиента», позволяя им оставаться незамеченными. В конце концов они максимизируют свой кредит и исчезают с чистым положительным доходом. 

Хотя этот процесс более сложен, он происходит пассивно. Продвинутые алгоритмы, обученные методам мошенничества, могут реагировать в режиме реального времени. Они знают, когда совершать покупки, выплачивать задолженность по кредитной карте или брать кредит, как человек, что помогает им избежать обнаружения.

Что могут сделать банки для защиты от мошенничества с использованием искусственного интеллекта

Потребители могут защитить себя, создавая сложные пароли и проявляя осторожность при обмене личной или учетной информацией. Банкам следует делать еще больше для защиты от мошенничества, связанного с ИИ, поскольку они отвечают за безопасность и управление счетами.

1. Используйте инструменты многофакторной аутентификации

Поскольку deepfakes скомпрометировали биометрическую безопасность, банкам следует вместо этого полагаться на многофакторную аутентификацию. Даже если мошенник успешно украдет чьи-то учетные данные, он не сможет получить доступ. 

Финансовые учреждения должны сказать клиентам никогда не сообщать свой код MFA. ИИ — мощный инструмент для киберпреступников, но он не может надежно обойти безопасные одноразовые пароли. Фишинг — один из немногих способов, с помощью которых он может попытаться это сделать.

2. Улучшайте стандарты «Знай своего клиента»

KYC — это стандарт финансовых услуг, требующий от банков проверки личности клиентов, профилей риска и финансовых записей. Хотя поставщики услуг, работающие в правовых серых зонах, технически не подлежат KYC — новые правила, влияющие на DeFi не вступит в силу до 2027 года — это передовая отраслевая практика. 

Синтетические идентичности с многолетней, законной, тщательно обработанной историей транзакций убедительны, но подвержены ошибкам. Например, простая оперативная инженерия может заставить генеративную модель раскрыть свою истинную природу. Банкам следует интегрировать эти методы в свои стратегии.

3. Используйте расширенную поведенческую аналитику 

Лучшая практика в борьбе с ИИ — бороться с огнем огнем. Поведенческая аналитика, работающая на основе системы машинного обучения, может собирать колоссальный объем данных о десятках тысяч людей одновременно. Она может отслеживать все: от движения мыши до журналов доступа с временными метками. Внезапное изменение указывает на захват учетной записи. 

Хотя продвинутые модели могут имитировать покупательские или кредитные привычки человека, если у них достаточно исторических данных, они не будут знать, как имитировать скорость прокрутки, схемы проведения пальцем или движения мыши, что дает банкам небольшое преимущество.

4. Проведение комплексной оценки рисков 

Банки должны проводить оценку рисков при создании счетов, чтобы предотвратить мошенничество с новыми счетами и отказать в ресурсах денежным мулам. Они могут начать с поиска несоответствий в имени, адресе и SSN. 

Хотя синтетические личности убедительны, они не являются абсолютно надежными. Тщательный поиск в публичных записях и социальных сетях покажет, что они появились совсем недавно. Профессионал может удалить их, если у него будет достаточно времени, предотвращая отмывание денег и финансовое мошенничество.

Временное удержание или ограничение на перевод в ожидании проверки может помешать мошенникам создавать и массово сбрасывать аккаунты. Хотя процесс становится менее интуитивным для реальных пользователей, это может вызвать разногласия, в долгосрочной перспективе это может сэкономить потребителям тысячи или даже десятки тысяч долларов.

Защита клиентов от мошенничества и мошенничества с использованием искусственного интеллекта

ИИ представляет собой серьезную проблему для банков и финтех-компаний, поскольку мошенникам не нужно быть экспертами — или даже очень технически грамотными — для осуществления сложных мошеннических действий. Более того, им не нужно строить специализированную модель. Вместо этого они могут сделать джейлбрейк универсальной версии. Поскольку эти инструменты настолько доступны, банки должны быть активными и усердными.

Похожие темы:
mm

Зак Амос — технический писатель, специализирующийся на искусственном интеллекте. Он также является редактором функций в РеХак, где вы можете прочитать больше о его работах.