วิธีการที่นักต้มตุ๋นใช้ AI ในการฉ้อโกงธนาคาร

AI ได้เพิ่มขีดความสามารถให้กับคนต้มตุ๋นในการหลบหลีกการตรวจสอบการปลอมแปลงและยืนยันตัวตนผ่านเสียง ทำให้พวกเขาสามารถสร้างเอกสารประจำตัวและเอกสารทางการเงินปลอมได้อย่างรวดเร็ว วิธีการของพวกเขากลายเป็นเรื่องที่คิดค้นได้มากขึ้นเมื่อเทคโนโลยีการสร้างข้อมูลพัฒนาขึ้น ผู้บริโภคสามารถป้องกันตัวเองได้อย่างไร และสถาบันการเงินสามารถช่วยเหลือได้อย่างไร?

1. Deepfakes เพิ่มการปลอมตัวให้กับคนต้มตุ๋น

AI ทำให้คนต้มตุ๋นสามารถปลอมตัวเป็นคนอื่นได้สำเร็จมากที่สุด ในปี 2024 บริษัทที่ปรึกษาด้านวิศวกรรม Arup ในสหราชอาณาจักร สูญเสียเงินประมาณ 25 ล้านดอลลาร์ หลังจากคนต้มตุ๋นหลอกลวงพนักงานให้โอนเงินระหว่างการประชุมวิดีโอแบบสด พวกเขาได้สร้างตัวตนปลอมของผู้บริหารระดับสูง รวมถึงประธานเจ้าหน้าที่ฝ่ายการเงิน

Deepfakes ใช้อัลกอริทึมแบบ generator และ discriminator เพื่อสร้างตัวตนปลอมและประเมินความสมจริง ทำให้สามารถเลียนแบบลักษณะใบหน้าและเสียงของคนได้เชื่อถือได้ ด้วย AI คนร้ายสามารถสร้างตัวตนปลอมได้ โดยใช้เวลาเพียง 1 นาที และรูปถ่ายเพียง 1 รูป เนื่องจากรูปภาพ เสียง หรือวิดีโอปลอมเหล่านี้สามารถบันทึกหรือส่งแบบเรียลไทม์ได้ จึงสามารถปรากฏที่ไหนก็ได้

2. โมเดลการสร้างข้อมูลส่งการแจ้งเตือนการฉ้อโกงปลอม

โมเดลการสร้างข้อมูลสามารถส่งการแจ้งเตือนการฉ้อโกงปลอมได้พร้อมกันหลายพันครั้ง ลองนึกภาพถึงการแฮกเว็บไซต์อุปกรณ์ผู้บริโภค เมื่อมีการสั่งซื้อขนาดใหญ่ AI จะโทรหาลูกค้า โดยบอกว่าธนาคารได้ระบุการทำธุรกรรมนั้นว่าเป็นการฉ้อโกง และขอให้ลูกค้าให้หมายเลขบัญชีและคำตอบของคำถามความปลอดภัย โดยบอกว่าต้องยืนยันตัวตน

การโทรที่เร่งด่วนและผลกระทบของการฉ้อโกงสามารถชักชวนให้ลูกค้าให้ข้อมูลธนาคารและข้อมูลส่วนบุคคลของตน เนื่องจาก AI สามารถวิเคราะห์ข้อมูลจำนวนมากในเวลาเพียงไม่กี่วินาที จึงสามารถอ้างอิงข้อเท็จจริงที่แท้จริงเพื่อทำให้การโทรนั้นเชื่อถือได้มากขึ้น

3. AI การปรับให้เหมาะสมเพิ่มการยึดบัญชี

ในขณะที่คนร้ายไซเบอร์อาจพยายามยึดบัญชีโดยการเดากระบวนการผ่านรหัสผ่านอย่างไม่มีที่สิ้นสุด พวกเขามักจะใช้ข้อมูลเข้าใช้ที่ถูกขโมย พวกเขาจะเปลี่ยนรหัสผ่าน อีเมลย้อนกลับ และหมายเลขการยืนยันตัวตนแบบหลายขั้นตอนเพื่อป้องกันไม่ให้เจ้าของบัญชีจริงออกจากบัญชี ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์สามารถป้องกันตัวได้เพราะพวกเขารู้จักเล่นของคนร้าย AI นำตัวแปรที่ไม่รู้จักมา ซึ่งทำให้การป้องกันของพวกเขาอ่อนแอลง

การปรับให้เหมาะสมเป็นอาวุธที่อันตรายที่สุดที่คนต้มตุ๋นสามารถมีได้ พวกเขามักจะเลือกเป้าหมายคนที่ ในช่วงเวลาที่มีการจราจรหนาแน่น เมื่อมีการทำธุรกรรมจำนวนมาก เช่น วัน Black Friday เพื่อให้ตรวจสอบการฉ้อโกงได้ยากขึ้น อัลกอริทึมสามารถปรับเวลาในการส่งตามกิจวัตรของบุคคล นิสัยการช้อปปิ้ง หรือการตั้งค่าข้อความ ทำให้พวกเขาเกิดความสนใจมากขึ้น

การสร้างภาษาขั้นสูงและการประมวลผลที่รวดเร็วทำให้เกิดการสร้างอีเมลจำนวนมาก การปลอมโดเมน และการปรับให้เหมาะสมของเนื้อหา แม้ว่าคนร้ายจะส่งข้อความจำนวนมากถึง 10 เท่า แต่ละข้อความจะดูเหมือนจริง มีพลัง 설득 และเกี่ยวข้อง

4. AI การสร้างข้อมูลใหม่ปลอมแปลงการฉ้อโกงเว็บไซต์

เทคโนโลยีการสร้างข้อมูลใหม่สามารถทำทุกอย่างตั้งแต่การออกแบบโครงร่างไปจนถึงการจัดระเบียบเนื้อหา คนร้ายสามารถจ่ายเงินเพียงเศษเสี้ยวของดอลลาร์เพื่อสร้างและแก้ไขเว็บไซต์ปลอมแบบไม่ต้องเขียนโค้ดสำหรับการลงทุน การให้กู้ยืม หรือธนาคารภายในไม่กี่วินาที

ไม่เหมือนกับเว็บไซต์ปลอมแบบดั้งเดิม มันสามารถอัปเดตแบบเรียลไทม์และตอบสนองต่อการโต้ตอบ ตัวอย่างเช่น หากใครสักคนโทรไปที่หมายเลขโทรศัพท์ที่แสดงหรือใช้คุณสมบัติชैटสด พวกเขาอาจเชื่อมต่อกับโมเดลที่ได้รับการฝึกฝนให้ทำหน้าที่เป็นที่ปรึกษาทางการเงินหรือพนักงานธนาคาร

ในกรณีหนึ่ง คนร้ายได้ปลอมแปลงแพลตฟอร์ม Exante บริษัทฟินเทคระดับโลกที่ให้ผู้ใช้เข้าถึงเครื่องมือทางการเงินมากกว่า 1 ล้านรายการในหลายตลาด ดังนั้นเหยื่อจึงคิดว่าตนเองกำลังลงทุนอย่างถูกต้อง แต่โดยไม่ทราบตัวตน พวกเขากำลังฝากเงินเข้าบัญชีของ JPMorgan Chase

Natalia Taft หัวหน้าฝ่ายปฏิบัติตามกฎระเบียบของ Exante กล่าวว่าบริษัทพบ “หลายกรณี” ของการฉ้อโกงดังกล่าว ซึ่งบ่งชี้ว่ากรณีแรกไม่ใช่กรณีแยกออกมา Taft กล่าวว่าคนร้ายทำได้ดีเยี่ยม ในการปลอมแปลงอินเทอร์เฟซเว็บไซต์ เธอกล่าวว่าเครื่องมือ AI น่าจะสร้างขึ้นเพราะเป็น “เกมความเร็ว” และพวกเขาต้อง “โจมตีเหยื่อได้มากที่สุดก่อนที่จะถูกปิด”

5. อัลกอริทึมหลบเลี่ยงเครื่องมือตรวจจับการมีชีวิต

การตรวจจับการมีชีวิตใช้ไบโอเมตริกซ์แบบเรียลไทม์เพื่อกำหนดว่าบุคคลที่อยู่หน้ากล้องเป็นคนจริงและตรงกับบัตรประจำตัวของเจ้าของบัญชีหรือไม่ ในทฤษฎี การปลอมแปลงการยืนยันตัวตนจะยากขึ้น ซึ่งจะป้องกันไม่ให้คนใช้รูปภาพหรือวิดีโอเก่า แต่ไม่ได้ใช้งานได้ดีเหมือนเดิมแล้ว เนื่องจากมี AI ที่มี deepfakes

คนร้ายไซเบอร์อาจใช้เทคโนโลยีนี้เพื่อเลียนแบบคนจริงเพื่อเร่งการยึดบัญชี หรืออาจหลอกเครื่องมือให้ยืนยันตัวตนปลอม ทำให้การฉ้อโกงการโอนเงินได้

คนร้ายไม่จำเป็นต้องฝึกโมเดลเพื่อทำเช่นนี้ พวกเขาสามารถซื้อโมเดลที่ฝึกไว้แล้วได้ ซอฟต์แวร์โซลูชัน อ้างว่าสามารถหลบเลี่ยงเครื่องมือตรวจจับการมีชีวิต 5 ชิ้นที่ใช้กันมากที่สุด ที่บริษัทฟินเทคใช้สำหรับการซื้อครั้งเดียวในราคา 2,000 ดอลลาร์ การโฆษณาเครื่องมือเหล่านี้มีมากมายบนแพลตฟอร์ม เช่น Telegram ซึ่งแสดงให้เห็นถึงความง่ายของการฉ้อโกงธนาคารสมัยใหม่

6. ตัวตน AI ทำให้เกิดการฉ้อโกงบัญชีใหม่

คนร้ายสามารถใช้เทคโนโลยีการสร้างข้อมูลใหม่เพื่อขโมยตัวตนของบุคคล ในตลาดมืด มีหลายสถานที่ที่ให้เอกสารปลอมที่ออกโดยรัฐ เช่น พาสปอร์ตและใบขับขี่ นอกเหนือจากนั้น พวกเขายังให้ภาพถ่ายปลอมและบันทึกทางการเงิน

ตัวตนปลอมเป็นตัวตนปลอมที่สร้างขึ้นโดยการผสมผสานรายละเอียดที่แท้จริงและปลอมแปลง ตัวอย่างเช่น หมายเลขประกันสังคมอาจเป็นของแท้ แต่ชื่อและที่อยู่ไม่ใช่ ดังนั้นจึงยากต่อการตรวจจับด้วยเครื่องมือแบบดั้งเดิม รายงานแนวโน้มการฉ้อโกงและการปลอมตัวในปี 2021 แสดงให้เห็นว่า ประมาณ 33% ของผลลัพธ์เท็จ ที่ Equifax เห็นเป็นตัวตนปลอม

คนร้ายที่มีงบประมาณที่มั่งคั่งและความทะเยอทะยานสร้างตัวตนใหม่ด้วยเครื่องมือการสร้างข้อมูลใหม่ พวกเขาพัฒนาตัวตน โดยสร้างประวัติทางการเงินและเครดิต เมื่อกระทำการอย่างถูกต้อง ทำให้พวกเขาหลบเลี่ยงการตรวจจับได้ สุดท้าย พวกเขาจะใช้เครดิตสูงสุดและหายไปพร้อมกับผลกำไรที่เป็นบวก

แม้ว่ากระบวนการนี้จะซับซ้อนกว่า แต่ก็เกิดขึ้นแบบพาสซีฟ อัลกอริทึมที่ได้รับการฝึกฝนจากเทคนิคการฉ้อโกงสามารถตอบสนองได้แบบเรียลไทม์ พวกเขารู้ว่าเมื่อใดควรซื้อของ จ่ายหนี้บัตรเครดิต หรือยืมเงินเหมือนมนุษย์ ซึ่งช่วยให้พวกเขาหลบเลี่ยงการตรวจจับ

สิ่งที่ธนาคารสามารถทำเพื่อป้องกันการฉ้อโกง AI เหล่านี้

ผู้บริโภคสามารถป้องกันตัวเองได้โดยการสร้างรหัสผ่านที่ซับซ้อนและใช้ความระมัดระวังเมื่อแบ่งปันข้อมูลส่วนบุคคลหรือข้อมูลบัญชี ธนาคารควรทำมากกว่านั้นในการป้องกันการฉ้อโกงที่เกี่ยวข้องกับ AI เนื่องจากพวกเขามีหน้าที่รับผิดชอบในการรักษาความปลอดภัยและจัดการบัญชี

1. ใช้เครื่องมือการยืนยันตัวตนแบบหลายขั้นตอน

เนื่องจาก deepfakes ได้ประนีประนอมความปลอดภัยทางชีวภาพ ธนาคารจึงควรพึ่งพาการยืนยันตัวตนแบบหลายขั้นตอนแทน แม้ว่าคนร้ายจะขโมยข้อมูลเข้าใช้ของใครสักคนสำเร็จ แต่ก็ไม่สามารถเข้าถึงได้

สถาบันการเงินควรบอกลูกค้าว่าไม่ควรแบ่งปันรหัส MFA ของตน AI เป็นเครื่องมือที่ทรงพลังสำหรับคนร้ายไซเบอร์ แต่ไม่สามารถหลบเลี่ยงรหัสผ่านแบบหนึ่งครั้งได้อย่างน่าเชื่อถือ รูปแบบการฟิชชิ่งเป็นวิธีเดียวที่จะพยายามทำเช่นนั้น

2. ปรับปรุงมาตรฐานการรู้จักลูกค้า

การรู้จักลูกค้าเป็นมาตรฐานการบริการทางการเงินที่กำหนดให้ธนาคารต้องยืนยันตัวตน ลักษณะการเสี่ยง และบันทึกทางการเงินของลูกค้า แม้ว่าผู้ให้บริการที่ดำเนินงานในพื้นที่สีเทาไม่ถูกขึ้นบัญชีในการรู้จักลูกค้า — กฎใหม่ที่ส่งผลกระทบต่อ DeFi จะไม่มีผลจนถึงปี 2027 — แต่เป็นแนวปฏิบัติที่ดีที่สุดในอุตสาหกรรม

ตัวตนปลอมที่มีประวัติการทำธุรกรรมที่ถูกต้องและดูแลอย่างรอบคอบเป็นเวลาหลายปี น่าเชื่อถือ แต่เต็มไปด้วยข้อผิดพลาด ตัวอย่างเช่น การออกแบบคำสั่งแบบง่ายๆ สามารถบังคับให้โมเดลการสร้างข้อมูลใหม่แสดงถึงธรรมชาติที่แท้จริงของมัน ธนาคารควรรวมเทคนิคเหล่านี้เข้ากับกลยุทธ์ของตน

3. ใช้การวิเคราะห์พฤติกรรมขั้นสูง

แนวปฏิบัติที่ดีที่สุดเมื่อต่อสู้กับ AI คือการต่อสู้ด้วยไฟ การวิเคราะห์พฤติกรรมที่ขับเคลื่อนด้วยระบบการเรียนรู้ของเครื่องสามารถรวบรวมข้อมูลจำนวนมากเกี่ยวกับคนหลายหมื่นคนในเวลาเดียวกัน สามารถติดตามทุกอย่างตั้งแต่การเคลื่อนไหวของเมาส์ไปจนถึงบันทึกการเข้าถึงแบบมีเวลา

แม้ว่าโมเดลขั้นสูงจะสามารถเลียนแบบนิสัยการซื้อของคนหรือพฤติกรรมเครดิตได้หากมีข้อมูลทางประวัติศาสตร์เพียงพอ แต่ก็ไม่ทราบว่าจะเลียนแบบรูปแบบการเลื่อนไถล การสัมผัส หรือการเคลื่อนไหวของเมาส์อย่างไร ทำให้ธนาคารมีข้อได้เปรียบเล็กน้อย

4. ดำเนินการประเมินความเสี่ยงอย่างครอบคลุม

ธนาคารควรดำเนินการประเมินความเสี่ยงในช่วงการสร้างบัญชีเพื่อป้องกันการฉ้อโกงบัญชีใหม่และปฏิเสธทรัพยากรจากคนร้ายที่ฉ้อโกง พวกเขาสามารถเริ่มต้นด้วยการค้นหาผลต่างในนาม ที่อยู่ และ SSN

แม้ว่าตัวตนปลอมจะมีความน่าเชื่อถือ แต่ก็ไม่สมบูรณ์แบบ การค้นหาอย่างละเอียดในบันทึกสาธารณะและสื่อโซเชียลจะแสดงให้เห็นว่าพวกเขาเพิ่งปรากฏขึ้นเมื่อเร็วๆ นี้ ผู้เชี่ยวชาญสามารถกำจัดพวกเขาได้หากมีเวลาเพียงพอ ซึ่งจะป้องกันการฉ้อโกงและการฉ้อโกงทางการเงิน

การถือครองชั่วคราวหรือการจำกัดการโอนก่อนการยืนยันตัวตนสามารถป้องกันไม่ให้คนร้ายสร้างและทิ้งบัญชีจำนวนมากได้ แม้ว่าการทำให้กระบวนการนี้น่าเข้าใจน้อยลงสำหรับผู้ใช้จริงอาจทำให้เกิดความขัดแย้ง แต่ก็สามารถช่วยผู้บริโภคได้หลายพันหรือหลายหมื่นดอลลาร์ในระยะยาว

การปกป้องลูกค้าจากการฉ้อโกง AI และการฉ้อโกง

AI เป็นปัญหาใหญ่สำหรับธนาคารและบริษัทฟินเทค เนื่องจากคนร้ายไม่จำเป็นต้องเป็นผู้เชี่ยวชาญ — หรือแม้แต่ผู้ที่มีความรู้ทางเทคนิค — เพื่อใช้การฉ้อโกงที่ซับซ้อน นอกจากนี้ยังไม่จำเป็นต้องสร้างโมเดลที่มีจุดประสงค์เฉพาะ จึงสามารถใช้โมเดลทั่วไปได้ เนื่องจากเครื่องมือเหล่านี้สามารถเข้าถึงได้ ธนาคารจึงต้องดำเนินการอย่าง积极และรอบคอบ