Connect with us

Как мошенники используют ИИ в банковских мошенничествах

Кибербезопасность

Как мошенники используют ИИ в банковских мошенничествах

mm
Published
Updated

ИИ наделил мошенников возможностью обходить проверки на подделку и проверку голоса, что позволяет им производить поддельные удостоверения личности и финансовые документы удивительно быстро. Их методы становятся все более изобретательными, поскольку технология генерации эволюционирует. Как могут потребители защитить себя, и что могут сделать финансовые учреждения, чтобы помочь?

1. Дипфейки улучшают мошенничество с самозванцем

ИИ позволил совершить самое большое успешное мошенничество с самозванцем, когда-либо зарегистрированное. В 2024 году британская компания Arup — инженерно-консультационная фирма — потеряла около 25 миллионов долларов после того, как мошенники обманули сотрудника, заставив его перевести средства во время видеоконференции. Они цифровым образом клонировали реальных руководителей высшего звена, включая финансового директора.

Дипфейки используют генераторные и дискриминационные алгоритмы для создания цифровой копии и оценки реализма, что позволяет им убедительно имитировать чьи-то черты лица и голос. С помощью ИИ преступники могут создать одну за одну минуту аудио и одну фотографию. Поскольку эти искусственные изображения, аудиоклипы или видео могут быть предварительно записаны или прямыми, они могут появляться где угодно.

2. Генеративные модели отправляют фальшивые предупреждения о мошенничестве

Генеративная модель может одновременно отправлять тысячи фальшивых предупреждений о мошенничестве. Представьте, что кто-то взломал сайт потребительской электроники. Когда приходят крупные заказы, их ИИ звонит клиентам, говоря, что банк пометил транзакцию как мошенническую. Он запрашивает их номер счета и ответы на вопросы безопасности, говоря, что должен проверить их личность.

Срочный звонок и намек на мошенничество могут убедить клиентов раскрыть свою банковскую и личную информацию. Поскольку ИИ может проанализировать огромные объемы данных за считанные секунды, он может быстро сослаться на реальные факты, чтобы сделать звонок более убедительным.

3. Персонализация ИИ облегчает захват учетной записи

Хотя киберпреступник мог бы взломать учетную запись, бесконечно угадывая пароли, они часто используют украденные учетные данные для входа. Они сразу же меняют пароль, резервный адрес электронной почты и номер многофакторной аутентификации, чтобы предотвратить реального владельца учетной записи от исключения их. Кибербезопасные специалисты могут защититься от этих тактик, потому что они понимают сценарий. ИИ вводит неизвестные переменные, которые ослабляют их оборону.

Персонализация — это самое опасное оружие, которое может иметь мошенник. Они часто нацеливаются на людей в периоды пикового трафика, когда происходит много транзакций — как в Черную пятницу — чтобы сделать более трудным мониторинг за мошенничеством. Алгоритм может адаптировать время отправки на основе режима человека, привычек покупок или предпочтений сообщений, что делает их более склонными к взаимодействию.

Продвинутая генерация языка и быстрая обработка позволяют производить массовую генерацию электронной почты, подделку доменов и персонализацию контента. Даже если злоумышленники отправляют в 10 раз больше сообщений, каждое из них будет казаться аутентичным, убедительным и актуальным.

4. Генеративный ИИ обновляет мошенничество с фальшивым сайтом

Генеративная технология может делать все — от проектирования макетов до организации контента. Мошенник может заплатить копейки, чтобы создать и отредактировать фальшивый, безкодовый инвестиционный, кредитный или банковский сайт в течение секунд.

В отличие от обычной фишинговой страницы, он может обновляться почти в режиме реального времени и реагировать на взаимодействие. Например, если кто-то звонит по указанному номеру телефона или использует функцию живого чата, он может быть подключен к модели, обученной вести себя как финансовый консультант или банковский сотрудник.

В одном таком случае мошенники клонировали платформу Exante. Глобальная финтех-компания дает пользователям доступ к более чем 1 миллиону финансовых инструментов на десятках рынков, поэтому жертвы думали, что они легитимно инвестируют. Однако они невольно вносили средства на счет JPMorgan Chase.

Наталия Тафт, руководитель отдела соблюдения правил Exante, сказала, что компания обнаружила «некоторое количество» подобных мошенничеств, что предполагает, что первое не было изолированным случаем. Тафт сказала, что мошенники отлично скопировали интерфейс сайта. Она сказала, что ИИ-инструменты, вероятно, создали его, потому что это «игра в скорость», и им нужно «попасть как можно больше жертв, прежде чем их удалят».

5. Алгоритмы обходят инструменты обнаружения живости

Обнаружение живости использует биометрические данные в режиме реального времени, чтобы определить, является ли человек перед камерой реальным и соответствует ли он удостоверению личности владельца учетной записи. Теоретически, обход аутентификации становится более сложным, предотвращая использование старых фотографий или видео. Однако это не так эффективно, как раньше, благодаря ИИ-обученным дипфейкам.

Киберпреступники могут использовать эту технологию, чтобы имитировать реальных людей, чтобы ускорить захват учетной записи. Альтернативно, они могут обмануть инструмент, заставив его подтвердить фальшивую личность, что облегчает отмывание денег.

Мошенникам не нужно обучать модель, чтобы сделать это — они могут заплатить за предварительно обученную версию. Одно программное решение утверждает, что оно может обойти пять из наиболее известных инструментов обнаружения живости, используемых финтех-компаниями, за единовременную покупку в размере 2000 долларов. Реклама таких инструментов многочисленна на платформах như Telegram, демонстрируя легкость современных банковских мошенничеств.

6. ИИ-идентификаторы позволяют совершать мошенничество с новыми учетными записями

Мошенники могут использовать генеративную технологию, чтобы украсть чью-то личность. На темной сети есть много мест, где предлагаются поддельные государственные документы, такие как паспорта и водительские права. Кроме того, они предоставляют фальшивые селфи и финансовые записи.

Синтетическая идентификация — это фабрикованная личность, созданная путем объединения реальных и фальшивых деталей. Например, номер социального страхования может быть реальным, но имя и адрес не являются. В результате они более трудно обнаружимы с помощью обычных инструментов. Отчет о тенденциях идентификации и мошенничестве за 2021 год показывает, что примерно 33% ложных положительных результатов, которые видит Equifax, являются синтетическими идентификациями.

Профессиональные мошенники с щедрыми бюджетами и высокими амбициями создают новые идентификации с помощью генеративных инструментов. Они культивируют личность, устанавливая финансовую и кредитную историю. Эти легитимные действия обманывают программное обеспечение «знай своего клиента», позволяя им оставаться незамеченными. В конце концов, они максимально используют свой кредит и исчезают с положительным доходом.

Хотя этот процесс более сложен, он происходит пассивно. Продвинутые алгоритмы, обученные методам мошенничества, могут реагировать в режиме реального времени. Они знают, когда сделать покупку, погасить долг по кредитной карте или взять кредит, как человек, что помогает им избежать обнаружения.

Что банки могут сделать, чтобы защититься от этих ИИ-мошенничеств

Потребители могут защитить себя, создавая сложные пароли и проявляя осторожность при обмене личной или учетной информацией. Банки должны сделать еще больше, чтобы защититься от ИИ-связанных мошенничеств, потому что они отвечают за безопасность и управление учетными записями.

1. Используйте инструменты многофакторной аутентификации

Поскольку дипфейки скомпрометировали биометрическую безопасность, банки должны полагаться на многофакторную аутентификацию. Даже если мошенник успешно украдет чьи-то учетные данные для входа, он не сможет получить доступ.

Финансовые учреждения должны сообщить клиентам, чтобы они никогда не делились своим кодом МФА. ИИ — это мощный инструмент для киберпреступников, но он не может надежно обойти безопасные одноразовые пароли. Фишинг — это один из способов, которым он может попытаться сделать это.

2. Улучшите стандарты «знай своего клиента»

«Знай своего клиента» — это финансовый сервисный стандарт, требующий от банков проверять личность клиентов, профили риска и финансовые записи. Хотя сервисные провайдеры, действующие в серых зонах, не подлежат технически «знай своего клиента» — новые правила, влияющие на DeFi не вступят в силу до 2027 года — это отраслевой стандарт.

Синтетические идентификации с годами, легитимными, тщательно культивированными историями транзакций являются убедительными, но ошибочными. Например, простая инженерия подсказок может заставить генеративную модель раскрыть свою истинную природу. Банки должны интегрировать эти методы в свои стратегии.

3. Используйте продвинутые поведенческие аналитики

Лучшая практика при борьбе с ИИ — это бороться огнем с огнем. Поведенческие аналитики, работающие на основе системы машинного обучения, могут собирать огромное количество данных на десятках тысяч людей одновременно. Они могут отслеживать все — от движения мыши до журналов доступа с временными метками. Внезапное изменение указывает на захват учетной записи.

Хотя продвинутые модели могут имитировать привычки покупок или кредитные привычки человека, если у них достаточно исторических данных, они не будут знать, как имитировать скорость прокрутки, шаблоны свайпов или движения мыши, что дает банкам тонкое преимущество.

4. Проводите комплексные оценки рисков

Банки должны проводить оценки рисков во время создания учетной записи, чтобы предотвратить мошенничество с новыми учетными записями и отказать в ресурсах для отмывания денег. Они могут начать с поиска несоответствий в имени, адресе и номере ССН.

Хотя синтетические идентификации являются убедительными, они не являются безупречными. Тщательный поиск публичных записей и социальных сетей раскроет, что они только что появились. Профессионал может удалить их, если у него будет достаточно времени, предотвращая отмывание денег и финансовые мошенничества.

Временная задержка или ограничение перевода в ожидании верификации может предотвратить создание и сброс учетных записей мошенниками. Хотя процесс может стать менее интуитивным для реальных пользователей, он может сэкономить потребителям тысячи или даже десятки тысяч долларов в долгосрочной перспективе.

Защита клиентов от ИИ-мошенничеств и мошенничеств

ИИ представляет серьезную проблему для банков и финтех-компаний, потому что злоумышленники не должны быть экспертами — или даже очень технически грамотными — чтобы совершать сложные мошенничества. Более того, они не должны создавать специализированную модель. Вместо этого они могут взломать общую версию. Поскольку эти инструменты так доступны, банки должны быть активными и бдительными.

mm

Zac Amos - это технический писатель, который фокусируется на искусственном интеллекте. Он также является редактором рубрики в ReHack, где вы можете прочитать больше его работ.