Як мошенники використовують штучний інтелект у банківських аферах

Штучний інтелект наділив мошенників можливістю обійти перевірки на спуфінг та верифікацію голосу, що дозволяє їм виготовляти фальшиві документи ідентифікації та фінансові документи досить швидко. Їх методи стали все більш винахідливими з розвитком генеративних технологій. Як споживачі можуть захистити себе, а що можуть зробити фінансові установи, щоб допомогти?

1. Діпфейки покращують аферу підставної особи

Штучний інтелект дозволив здійснити найбільшу в історії успішну аферу підставної особи. У 2024 році британська інженерна консалтингова компанія Arup — втрачала близько 25 мільйонів доларів після того, як мошенники обманули співробітника компанії під час відеоконференції, переконавши його перевести кошти. Вони створили цифрові копії справжніх керівників вищого рівня, включаючи фінансового директора.

Діпфейки використовують генераторні та дискримінативні алгоритми для створення цифрової копії та оцінки реалізму, що дозволяє їм переконливо імітувати обличчя та голос людини. З допомогою штучного інтелекту злочинці можуть створити таку копію, використовуючи лише одну хвилину аудіо та одну фотографію. Оскільки ці штучні зображення, аудіокліпи або відео можуть бути попередньо записані або транслюватися в прямому ефірі, вони можуть з’являтися будь-де.

2. Генеративні моделі надсилають фальшиві попередження про шахрайство

Генеративна модель може одночасно надсилати тисячі фальшивих попереджень про шахрайство. Припустимо, хтось зламав сайт компанії, що займається споживчою електронікою. Коли великі замовлення надходять, штучний інтелект дзвонить клієнтам, кажучи, що банк позначив транзакцію як шахрайську. Він просить номер рахунку та відповіді на питання безпеки, кажучи, що необхідно перевірити їхню особистість.

Терміновий дзвінок та припущення про шахрайство можуть переконати клієнтів надати свої банківські та особисті дані. Оскільки штучний інтелект може аналізувати великі об’єми даних за секунди, він може швидко посилатися на реальні факти, щоб зробити дзвінок більш переконливим.

3. Персоналізація штучного інтелекту сприяє захопленню рахунку

Хотя кіберзлочинець міг би вибити пароль, нескінченно пробуючи різні варіанти, вони часто використовують вкрадені дані для входу в систему. Вони негайно змінюють пароль, резервну електронну адресу та номер телефону для багатофакторної аутентифікації, щоб запобігти справжньому власнику рахунку вибити їх.

Персоналізація — це найнебезпечніша зброя, яку може мати мошенник. Вони часто націлюються на людей під час пікових періодів трафіку, коли відбувається багато транзакцій — наприклад, у Чорну п’ятницю — щоб зробити складніше моніторинг за шахрайством. Алгоритм міг би налаштувати час відправлення повідомлень на основі щоденної рутини людини, звичок покупок або переваг повідомлень, що робить їх більш схильними до взаємодії.

Розширені можливості генерації мови та швидкої обробки дозволяють створювати велику кількість електронних листів, здійснювати спуфінг доменів та персоналізацію контенту. Навіть якщо мошенники надсилають у 10 разів більше повідомлень, кожне з них буде виглядати автентично, переконливо та актуально.

4. Генеративний штучний інтелект оновлює аферу з фальшивим сайтом

Генеративні технології можуть робити все — від створення дизайну до організації контенту. Мошенник може заплатити копійки за створення та редагування фальшивого сайту інвестицій, кредитування або банківських послуг без коду за кілька секунд.

На відміну від традиційної фішингової сторінки, він може оновлюватися в режимі реального часу та реагувати на взаємодію. Наприклад, якщо хтось зателефонує на вказаний номер телефону або використає функцію живого чату, він може бути підключений до моделі, навченої діяти як фінансовий радник або працівник банку.

У одному з таких випадків мошенники клонували платформу Exante. Глобальна фінтех-компанія надає користувачам доступ до понад 1 мільйона фінансових інструментів у десятках ринків, тому жертви думали, що вони легітимно інвестують. Однак вони невідомо для себе депонували кошти на рахунок JPMorgan Chase.

Наталія Тафт, керівник відділу комплаєнсу Exante, сказала, що компанія виявила “багато” подібних афер, що свідчить про те, що перший випадок не був ізольованим. Тафт сказала, що мошенники зробили чудову роботу, клонуючи інтерфейс сайту. Вона сказала, що, ймовірно, для цього були використані інструменти штучного інтелекту, оскільки це “гра зі швидкістю”, і їм потрібно “влучити в якомога більше жертв, перш ніж їх викриють”.

5. Алгоритми обходять інструменти перевірки на живість

Перевірка на живість використовує біометричні дані в режимі реального часу, щоб визначити, чи є людина перед камерою реальною та чи відповідає вона ідентифікатору власника рахунку. Теоретично, обхід аутентифікації стає більш складним, що запобігає використання старих фотографій або відео. Однак це не так ефективно, як раніше, завдяки штучним інтелектом, що використовують глибокі фейки.

Кіберзлочинці могли б використовувати цю технологію для імітації реальних людей, щоб прискорити захоплення рахунку. Альтернативно, вони могли б обманути інструмент, переконавши його підтвердити фальшиву особу, що сприяє відмиванню грошей.

Мошенникам не потрібно тренувати модель для цього — вони можуть купити попередньо треновану версію. Одне програмне рішення тверджує, що воно може обійти п’ять з найбільш поширених інструментів перевірки на живість, які фінтех-компанії використовують за одноразову плату в 2000 доларів. Реклама таких інструментів є повсюдною на платформах, таких як Telegram, що демонструє легкість сучасних банківських афер.

6. Ідентифікатори штучного інтелекту дозволяють здійснювати нові афери з рахунками

Мошенники можуть використовувати генеративні технології для крадіжки особистості людини. На темному сайті багато місць пропонують підроблені державні документи, такі як паспорти та водійські права. Крім того, вони пропонують фальшиві селфі та фінансові записи.

Синтетична ідентичність — це фабрикована особа, створена шляхом поєднання реальних та фальшивих даних. Наприклад, номер соціального страхування може бути реальним, але ім’я та адреса не є. Внаслідок цього вони важче виявити за допомогою традиційних інструментів. Звіт про тенденції ідентифікації та шахрайства 2021 року показує, що близько 33% хибних позитивів, які бачить Equifax, — це синтетичні ідентичності.

Професійні мошенники з великими бюджетами та високими амбіціями створюють нові ідентичності за допомогою генеративних інструментів. Вони культивують особу, створюючи фінансову та кредитну історію. Ці легітимні дії обманюють програмне забезпечення, що знає клієнта, дозволяючи їм залишатися непоміченими. Врешті-решт, вони максимально використовують свій кредит та зникають з чистим прибутком.

Хоча цей процес є більш складним, він відбувається пасивно. Розширені алгоритми, навчені на техніках шахрайства, можуть реагувати в режимі реального часу. Вони знають, коли потрібно зробити покупку, сплатити борг по кредитній картці або взяти кредит, як людина, що допомагає їм уникнути виявлення.

Що можуть зробити банки, щоб захиститися від цих афер штучного інтелекту

Споживачі можуть захистити себе, створивши складні паролі та проявляючи обережність при наданні особистої чи рахункової інформації. Банкам слід робити ще більше, щоб захиститися від афер, пов’язаних зі штучним інтелектом, оскільки вони відповідають за безпеку та управління рахунками.

1. Використовувати інструменти багатофакторної аутентифікації

Оскільки глибокі фейки скомпрометували біометричну безпеку, банки повинні покладатися на багатофакторну аутентифікацію. Навіть якщо мошенник успішно вкраде дані для входу в систему людини, він не зможе отримати доступ.

Фінансові установи повинні повідомити клієнтам, щоб вони ніколи не ділитися своїм кодом багатофакторної аутентифікації. Штучний інтелект — це потужний інструмент для кіберзлочинців, але він не може надійно обійти безпечні одноразові паролі. Фішинг — це один із небагатьох способів, яким він може спробувати зробити це.

2. Покращити стандарти перевірки клієнта

Перевірка клієнта — це стандарт фінансової служби, який вимагає від банків перевірити особистість клієнта, профіль ризику та фінансові записи. Хоча постачальники послуг, що працюють у юридично сірих зонах, не підлягають перевірці клієнта — нові правила, що впливають на DeFi не вступлять у силу до 2027 року — це галузевий стандарт.

Синтетичні ідентичності з роками легітимної, ретельно культивованої історії транзакцій переконливі, але схильні до помилок. Наприклад, проста інженерія підказок може змусити генеративну модель розкрити свою справжню природу. Банки повинні інтегрувати ці техніки в свої стратегії.

3. Використовувати розширені поведінкові аналітики

Найкраща практика боротьби зі штучним інтелектом — це боротьба вогнем із вогнем. Поведінкові аналітики, що працюють на основі системи машинного навчання, можуть зібрати величезну кількість даних про десятки тисяч людей одночасно. Вони можуть відстежувати все — від руху миші до журналів доступу з таймстампами. Раптова зміна вказує на захоплення рахунку.

Хоча розширені моделі можуть імітувати звички покупок або кредитну історію людини, якщо у них достатньо історичних даних, вони не знають, як імітувати швидкість прокрутки, шаблони ковзання або рух миші, що дає банкам тонку перевагу.

4. Провести комплексні оцінки ризику

Банки повинні проводити оцінки ризику під час створення рахунку, щоб запобігти новим аферам з рахунками та відмовити у ресурсах мошенникам з грошима. Вони можуть почати з пошуку розбіжностей у імені, адресі та номері соціального страхування.

Хоча синтетичні ідентичності переконливі, вони не є безпомилковими. Тщательний пошук публічних записів та соціальних мереж би показав, що вони з’явилися лише нещодавно. Професіонал міг би видалити їх, надавши достатньо часу, що запобігло б відмиванню грошей та фінансовим аферам.

Тимчасова затримка або обмеження трансферу в очікуванні верифікації могли б запобігти мошенникам створювати та скидувати рахунки масово. Хоча це може створити незручності для справжніх користувачів, це могло б зберегти споживачам тисячі або навіть десятки тисяч доларів у довгостроковій перспективі.

Захист клієнтів від афер штучного інтелекту та шахрайства

Штучний інтелект становить серйозну проблему для банків та фінтех-компаній, оскільки мошенникам не потрібно бути експертами або навіть технічно грамотними, щоб здійснювати складні афери. Крім того, їм не потрібно створювати спеціалізовану модель. Замість цього вони можуть використати загального призначення. Оскільки ці інструменти дуже доступні, банки повинні бути проактивними та суворими.