诈骗者如何利用人工智能进行银行诈骗

人工智能让诈骗者得以绕过反欺诈检查和语音验证，以惊人的速度伪造身份证明和财务文件。随着生成技术的发展，他们的手段也越来越巧妙。消费者该如何保护自己？金融机构又能提供哪些帮助？

1. Deepfakes 增强了冒名顶替骗局 

人工智能促成了有史以来规模最大的诈骗案。2024年，总部位于英国的工程咨询公司奥雅纳（Arup）—— 损失约 25 万美元 诈骗分子在视频会议直播中诱骗一名员工转账。他们还通过数字方式克隆了真正的高级管理人员，包括首席财务官。  

Deepfakes 使用生成器和鉴别器算法来创建数字副本并评估真实性，使其能够令人信服地模仿某人的面部特征和声音。借助人工智能，犯罪分子可以创建一个 仅用一分钟 音频和一张照片。由于这些人造图像、音频片段或视频可以是预先录制的或现场直播的，因此它们可以出现在任何地方。

2. 生成模型发出虚假欺诈警告

生成模型可以同时发出数千条虚假的欺诈警告。想象一下有人入侵消费电子产品网站。当大额订单涌入时，他们的人工智能会致电客户，告知银行已将该交易标记为欺诈。它会要求客户提供账号和安全问题的答案，并声称必须验证他们的身份。 

紧急的电话和欺诈的暗示可能会诱使客户放弃银行和个人信息。由于人工智能可以在几秒钟内分析大量数据，它可以快速引用真实事实，使通话更具说服力。

3. AI个性化促进账户接管 

虽然网络犯罪分子可以通过不断猜测密码来暴力破解，但他们经常使用窃取的登录凭证。他们会立即更改密码、备用邮箱和多因素身份验证码，以防止真正的账户持有人将他们踢出账户。网络安全专业人员可以防御这些攻击手段，因为他们了解其中的套路。人工智能会引入未知变量，从而削弱他们的防御能力。 

个性化是骗子最危险的武器。他们经常针对个人 在交通高峰期 当发生大量交易时（例如“黑色星期五”），监控欺诈行为的难度会加大。算法可以根据用户的日常活动、购物习惯或消息偏好来定制发送时间，从而提高他们参与的可能性。

先进的语言生成和快速处理功能可实现批量电子邮件生成、域名欺骗和内容个性化。即使恶意攻击者发送 10 倍数量的消息，每一条消息都显得真实可信、具有说服力且切题。

4. 生成式人工智能革新虚假网站诈骗

生成技术无所不能，从设计线框图到组织内容。骗子只需花费极少的钱，就能在几秒钟内创建并编辑一个虚假的、无代码的投资、贷款或银行网站。 

与传统的钓鱼页面不同，它可以近乎实时更新并响应交互。例如，如果有人拨打列出的电话号码或使用实时聊天功能，他们可能会连接到一个经过训练的模型，该模型会伪装成财务顾问或银行职员。 

在一个案例中，诈骗者克隆了Exante平台。这家全球金融科技公司为用户提供数十个市场的超过1万种金融工具，因此受害者以为自己是在合法投资。然而，他们却在不知情的情况下将资金存入了摩根大通的账户。

Exante 合规主管 Natalia Taft 表示，公司发现了“不少”类似的骗局，这表明第一起案件并非个例。Taft 说诈骗者做得很好 克隆网站界面。她表示，人工智能工具之所以会创建这个网站，很可能是因为这是一个“速度游戏”，它们必须“在被击倒之前尽可能多地攻击受害者”。

5. 算法绕过活体检测工具

活体检测使用实时生物识别技术来判断摄像头前的人是否真实存在，并与账户持有人的身份证件相符。理论上，绕过身份验证变得更加困难，可以防止人们使用旧照片或视频。然而，由于人工智能驱动的深度伪造技术，这种方法的效果不如以往。 

网络犯罪分子可以利用这项技术模仿真人，加速账户接管。或者，他们可以诱骗该工具验证虚假身份，从而进行洗钱。 

诈骗者无需训练模型就能做到这一点——他们可以花钱购买预训练版本。一个软件解决方案 声称可以绕过五个 金融科技公司最常用的活体检测工具之一，一次性购买只需 2,000 美元。类似工具的广告在 Telegram 等平台上比比皆是，这充分表明了现代银行欺诈的便捷性。

6. 人工智能身份助长新账户欺诈

诈骗者可以利用生成技术窃取他人身份信息。暗网上有很多地方提供伪造的国家签发文件，例如护照和驾照。此外，他们还提供虚假的自拍照和财务记录。 

合成身份是通过结合真实和虚假信息而创建的虚构人物。例如，社保号码可能是真实的，但姓名和地址却不是。因此，它们更难用常规工具检测。《2021 年身份与欺诈趋势报告》大致显示 33% 的误报 Equifax 看到的是合成身份。 

拥有雄厚资金和远大抱负的专业骗子会利用各种工具创建新身份。他们精心打造角色，建立财务和信用记录。这些合法行为会骗过“了解你的客户”软件，使他们无法被发现。最终，他们会用尽信用额度，带着净收益消失得无影无踪。 

虽然这个过程更加复杂，但它是被动发生的。经过欺诈技术训练的高级算法可以实时做出反应。它们像人类一样知道何时购物、偿还信用卡债务或贷款，从而帮助它们逃避检测。

银行如何防范这些人工智能诈骗

消费者可以通过设置复杂的密码并在共享个人或账户信息时保持谨慎来保护自己。银行应该采取更多措施来防范与人工智能相关的欺诈行为，因为它们肩负着账户安全和管理的责任。

1. 使用多因素身份验证工具

由于深度伪造技术已经危及生物识别安全，银行应该转而采用多因素身份验证。即使诈骗者成功窃取了用户的登录凭证，他们也无法获得访问权限。 

金融机构应该告知客户切勿分享其 MFA 代码。人工智能是网络犯罪分子的强大工具，但它无法可靠地绕过安全的一次性密码。网络钓鱼是其唯一可行的方法之一。

2. 提高“了解你的客户”标准

KYC 是一项金融服务标准，要求银行验证客户身份、风险状况和财务记录。虽然在法律灰色地带运营的服务提供商严格来说不受 KYC 的约束，但新规对 DeFi 产生了影响 不会生效 直到 2027 年——这是全行业的最佳实践。 

拥有多年合法且精心构建的交易历史的合成身份虽然令人信服，但容易出错。例如，简单的提示工程就能迫使生成模型暴露其真实本质。银行应该将这些技术融入到他们的策略中。

3. 使用高级行为分析 

对抗人工智能的最佳做法是以毒攻毒。由机器学习系统驱动的行为分析可以同时收集数万人的海量数据。它可以追踪从鼠标移动到带时间戳的访问日志的所有内容。任何突然的变化都预示着账户被盗用。 

虽然如果拥有足够的历史数据，高级模型可以模仿一个人的购买或信用习惯，但它们不知道如何模仿滚动速度、滑动模式或鼠标移动，这给银行带来了微妙的优势。

4. 进行全面的风险评估 

银行应在账户创建过程中进行风险评估，以防止新账户欺诈，并杜绝“钱骡”的资金来源。银行可以先检查姓名、地址和社会安全号码 (SSN) 是否存在差异。 

虽然合成身份令人信服，但并非万无一失。彻底搜索公共记录和社交媒体就会发现，它们是最近才出现的。专业人士只要有足够的时间就能将其移除，从而防止洗钱和金融欺诈。

暂时冻结或限制转账以待验证，可以防止不良行为者大规模创建和转出账户。虽然让流程对真实用户来说不够直观可能会造成摩擦，但从长远来看，这可以为消费者节省数千甚至数万美元。

保护客户免受人工智能诈骗和欺诈

人工智能给银行和金融科技公司带来了严峻挑战，因为不法分子无需成为专家，甚至无需精通技术，即可实施复杂的诈骗。此外，他们无需构建专门的模型，只需破解一个通用版本即可。由于这些工具如此普及，银行必须积极主动、谨慎应对。