Connect with us

Як шахраї використовують штучний інтелект у банківських аферах

Кібербезпека

Як шахраї використовують штучний інтелект у банківських аферах

mm
Published
Updated

Штучний інтелект наділив шахраїв можливістю обійти перевірки на підміну голосу та верифікацію особи, що дозволяє їм швидко виготовляти підроблені документи, що підтверджують особу, та фінансові документи. Їхні методи стають дедалі винахідливішими з розвитком генерації технологій. Як споживачі можуть захистити себе, а що можуть зробити фінансові установи, щоб допомогти?

1. Діпфейки покращують аферу із самозванством

Штучний інтелект дозволив здійснити найбільшу в історії успішну аферу із самозванством. У 2024 році британська інженерна консалтингова компанія Arup — втратила близько 25 мільйонів доларів після того, як шахраї обманули співробітника компанії під час відеоконференції, переконавши його перевести кошти. Вони створили цифрові клони справжніх керівників вищого рівня, включаючи фінансового директора.

Діпфейки використовують генераторні та дискримінативні алгоритми для створення цифрової копії та оцінки реалізму, що дозволяє їм переконливо імітувати особу людини. З допомогою штучного інтелекту злочинці можуть створити одну за допомогою лише однієї хвилини аудіо та однієї фотографії. Оскільки ці штучні зображення, аудіокліпи чи відео можуть бути попередньо записані або транслюватися в прямому ефірі, вони можуть з’являтися будь-де.

2. Генеративні моделі надсилають підроблені попередження про шахрайство

Генеративна модель може одночасно надсилати тисячі підроблених попереджень про шахрайство. Припустимо, хтось зламав сайт компанії, що займається споживчою електронікою. Коли на сайті з’являються великі замовлення, штучний інтелект дзвонить клієнтам, кажучи, що банк позначив транзакцію як шахрайську. Він просить номер рахунку та відповіді на питання безпеки, кажучи, що це необхідно для верифікації особи.

Терміновий дзвінок та підозра у шахрайстві можуть переконати клієнтів надати інформацію про свій рахунок та особисті дані. Оскільки штучний інтелект може аналізувати великі об’єми даних за секунди, він може швидко посилатися на реальні факти, щоб зробити дзвінок більш переконливим.

3. Персоналізація штучного інтелекту полегшує захоплення рахунку

Хоча кіберзлочинець міг би вибити пароль, безперестанку намагаючись вгадати його, вони часто використовують вкрадені дані для входу в систему. Вони негайно змінюють пароль, резервну електронну адресу та номер телефону для багатофакторної аутентифікації, щоб запобігти справжньому власнику рахунку викинути їх. Спеціалісти з кібербезпеки можуть захиститися від цих тактик, оскільки вони знають, як діяти. Штучний інтелект вводить невідомі змінні, що ослаблює їхні захисти.

Персоналізація — це найнебезпечніша зброя, якою може володіти шахрай. Вони часто націлюються на людей під час пікових періодів трафіку, коли відбувається багато транзакцій — наприклад, у Чорну п’ятницю — щоб зробити складніше моніторинг за шахрайством. Алгоритм міг би налаштувати час відправлення на основі щоденної рутини людини, звичок покупок або переваг повідомлень, що робить їх більш схильними до взаємодії.

Розширені можливості генерації мови та швидка обробка дозволяють створювати велику кількість електронних листів, маскувати домени та персоналізувати вміст. Навіть якщо шахраї надсилають у 10 разів більше повідомлень, кожне з них буде виглядати автентично, переконливо та актуально.

4. Генеративний штучний інтелект оновлює аферу з підробним сайтом

Генеративна технологія може робити все, від створення дизайну до організації вмісту. Шахрай може заплатити копійки за створення та редагування підробного сайту інвестицій, кредитування або банку без коду впродовж секунд.

На відміну від звичайної фішингової сторінки, вона може оновлюватися майже в режимі реального часу та реагувати на взаємодію. Наприклад, якщо хтось телефонує на вказаний номер телефону або використовує функцію живого чату, він міг би бути підключений до моделі, навченої діяти як фінансовий радник або працівник банку.

У одному з таких випадків шахраї клонували платформу Exante. Глобальна фінтех-компанія дає користувачам доступ до понад 1 мільйона фінансових інструментів у десятках ринків, тому жертви думали, що вони легітимно інвестують. Однак вони невідомо для себе депонували кошти на рахунок JPMorgan Chase.

Наталія Тафт, керівник відділу дотримання вимог Exante, сказала, що компанія виявила «багато» подібних афер, що свідчить про те, що перша афера не була ізольованим випадком. Тафт казала, що шахраї добре клонували інтерфейс сайту. Вона сказала, що, ймовірно, штучний інтелект створив його, оскільки це «гра зі швидкістю», і їм потрібно «вразити якомога більше жертв, перш ніж їх знешкодять».

5. Алгоритми обходять інструменти виявлення живої особи

Виявлення живої особи використовує біометричні дані в режимі реального часу для визначення того, чи є людина перед камерою реальною та чи відповідає вона ідентифікатору особи. Теоретично, обхід аутентифікації стає складнішим, що запобігає використання старих фотографій або відео. Однак це не так ефективно, як раніше, завдяки штучному інтелекту, який використовує глибокі підробки.

Кіберзлочинці могли б використовувати цю технологію для імітування реальних людей, щоб прискорити захоплення рахунку. Альтернативно, вони могли б обманути інструмент, переконавши його верифікувати підробну особу, що полегшує фінансові махінації.

Шахраї не потребують навчання моделі для цього — вони можуть купити попередньо навчену версію. Одне програмне рішення тверджує, що воно може обійти п’ять з найбільш поширених інструментів виявлення живої особи, які використовують фінтех-компанії, за одну покупку в розмірі 2000 доларів. Реклама таких інструментів є повсюдною на платформах, таких як Telegram, що демонструє легкість сучасного банківського шахрайства.

6. Ідентифікації штучного інтелекту дозволяють нове шахрайство з рахунками

Шахраї можуть використовувати генеративну технологію для крадіжки особи людини. На темному сайті багато місць пропонують підроблені державні документи, такі як паспорти та водійські права. Окрім того, вони пропонують підроблені селфі та фінансові документи.

Синтетична ідентичність — це сфабрикована особа, створена шляхом поєднання реальних та підроблених деталей. Наприклад, номер соціального страхування може бути реальним, але ім’я та адреса — ні. В результаті вони складніше виявляються за допомогою традиційних інструментів. Звіт про тенденції ідентифікації та шахрайства за 2021 рік показує, що близько 33% хибних позитивних результатів, які бачить Equifax, — це синтетичні ідентичності.

Професійні шахраї з великими бюджетами та високими амбіціями створюють нові ідентичності за допомогою генеративних інструментів. Вони культивують особу, створюючи фінансову та кредитну історію. Ці легітимні дії обманюють програмне забезпечення «знай свого клієнта», дозволяючи їм залишатися невиявленими. Врешті-решт, вони максимально використовують свій кредит та зникають з чистим прибутком.

Хоча цей процес складніший, він відбувається пасивно. Розширені алгоритми, навчені на техніках шахрайства, можуть реагувати в режимі реального часу. Вони знають, коли робити покупку, сплачувати борг по кредитній картці чи брати кредит, як людина, що допомагає їм уникнути виявлення.

Що можуть зробити банки, щоб захиститися від цих афер штучного інтелекту

Споживачі можуть захистити себе, створивши складні паролі та проявляючи обережність при наданні особистої чи інформації про рахунок. Банкам слід робити ще більше, щоб захиститися від афер, пов’язаних зі штучним інтелектом, оскільки вони відповідають за захист та управління рахунками.

1. Використовувати інструменти багатофакторної аутентифікації

Оскільки глибокі підробки скомпрометували біометричну безпеку, банки повинні покладатися на багатофакторну аутентифікацію. Навіть якщо шахрай успішно вкраде дані для входу в систему людини, він не зможе отримати доступ.

Фінансові установи повинні повідомити клієнтам ніколи не надавати свій код багатофакторної аутентифікації. Штучний інтелект — це потужний інструмент для кіберзлочинців, але він не може надійно обійти безпечні одноразові паролі. Фішинг — це один із способів, яким він може спробувати зробити це.

2. Покращити стандарти «знай свого клієнта»

«Знай свого клієнта» — це стандарт фінансових послуг, який вимагає від банків верифікувати особу клієнта, профіль ризику та фінансові документи. Хоча постачальники послуг, які діють у юридично сумнівних зонах, не підлягають «знай свого клієнта» — нові правила, які впливають на DeFi не вступлять у силу до 2027 року — це загальна найкраща практика галузі.

Синтетичні ідентичності з багаторічними, легітимними, ретельно культивованими історіями транзакцій переконливі, але схильні до помилок. Наприклад, проста інженерія запитів може змусити генеративну модель розкрити свою справжню природу. Банки повинні інтегрувати ці техніки у свої стратегії.

3. Використовувати розширені поведінкові аналітичні дані

Найкраща практика боротьби зі штучним інтелектом — це боротьба вогнем із вогнем. Поведінкові аналітичні дані, що працюють за допомогою системи машинного навчання, можуть зібрати величезну кількість даних про десятки тисяч людей одночасно. Вони можуть відстежувати все, від руху миші до тайм-кодованих журналів доступу. Раптова зміна вказує на захоплення рахунку.

Хоча розширені моделі можуть імітувати звички покупок чи кредитної історії людини, якщо у них достатньо історичних даних, вони не знають, як імітувати швидкість прокрутки, шаблони ковзання чи рух миші, що дає банкам тонку перевагу.

4. Провести комплексні оцінки ризику

Банки повинні проводити оцінки ризику під час створення рахунку, щоб запобігти шахрайству з новим рахунком та відмовити у ресурсах фінансовим махінаціям. Вони можуть почати з пошуку розбіжностей у імені, адресі та номері соціального страхування.

Хоча синтетичні ідентичності переконливі, вони не є безпомилковими. Тщательний пошук публічних записів та соціальних мереж би показав, що вони з’явилися лише нещодавно. Професіонал міг би видалити їх, надавши достатньо часу, що запобігло б фінансовим махінаціям та шахрайству.

Тимчасова затримка або обмеження на перевід коштів у очікуванні верифікації могли б запобігти створенню та скиданню рахунків масово. Хоча це може створити незручності для справжніх користувачів, це могло б врятувати споживачів тисячі або навіть десятки тисяч доларів у довгостроковій перспективі.

Захист клієнтів від афер штучного інтелекту та шахрайства

Штучний інтелект становить серйозну проблему для банків та фінтех-компаній, оскільки шахраї не потребують бути експертами — або навіть досить технічно грамотними — щоб виконувати складні афери. Окрім того, їм не потрібно створювати спеціалізовану модель. Замість цього вони можуть використовувати загального призначення. Оскільки ці інструменти настільки доступні, банки повинні бути проактивними та суворими.

mm

Zac Amos є технічним письменником, який зосереджується на штучному інтелекті. Він також є редактором рубрики у ReHack, де ви можете прочитати більше його робіт.