诈骗者如何利用AI进行银行欺诈

AI使得诈骗者能够绕过防欺骗检查和语音验证，允许他们快速生成假身份证和金融文件。随着生成技术的发展，他们的方法变得越来越巧妙。消费者如何保护自己，金融机构可以做什么来帮助?

1. 深度伪造增强冒名顶替骗局

AI使得历史上最大的成功冒名顶替骗局成为可能。2024年，英国工程咨询公司Arup——损失约2500万美元，因为诈骗者在视频会议期间欺骗了一名员工转账。他们数字克隆了真正的高级管理人员，包括首席财务官。

深度伪造使用生成器和判别器算法创建数字复制品并评估真实性，允许他们令人信服地模仿某人的面部特征和声音。有了AI，犯罪者可以使用仅一分钟的音频和一张照片创建一个深度伪造。由于这些人工图像、音频剪辑或视频可以预先录制或实时生成，因此它们可以出现在任何地方。

2. 生成模型发送假欺诈警告

生成模型可以同时发送成千上万个假欺诈警告。想象一下，某人黑入一个消费电子网站。当大订单到来时，他们的AI会打电话给客户，说银行将该交易标记为欺诈。它要求客户提供账号和安全问题答案，说必须验证他们的身份。

紧急的电话和欺诈的暗示可以说服客户提供他们的银行和个人信息。由于AI可以在几秒钟内分析大量数据，因此它可以快速引用真实事实使电话更具说服力。

3. AI个性化促进账户接管

虽然网络攻击者可以通过不断猜测密码的方式强行进入，但他们经常使用被盗的登录凭证。他们立即更改密码、备份电子邮件和多因素身份验证号码，以防止真正的账户持有者将他们踢出。网络安全专业人员可以通过了解他们的战术来防御这些策略。但是，AI引入了未知变量，这削弱了他们的防御。

个性化是骗子可以拥有的最危险的武器。他们经常在流量高峰期目标人群，当许多交易发生时——比如黑色星期五——使得监测欺诈更加困难。算法可以根据一个人的日常、购物习惯或消息偏好定制发送时间，使他们更有可能参与。

高级语言生成和快速处理使得批量电子邮件生成、域名欺骗和内容个性化成为可能。即使攻击者发送10倍的消息，每个消息都看起来真实、令人信服和相关。

4. 生成AI改造假网站骗局

生成技术可以从设计线框图到组织内容做一切。骗子可以花费很少的钱，在几秒钟内创建和编辑一个假的无代码投资、贷款或银行网站。

与传统的钓鱼页面不同，它可以实时更新并响应交互。例如，如果有人拨打列出的电话号码或使用实时聊天功能，他们可能会连接到一个经过训练的模型，可以像金融顾问或银行员工一样行事。

在一个这样的案例中，骗子克隆了Exante平台。全球金融科技公司为用户提供了数百万种金融工具，因此受害者认为他们正在合法投资。然而，他们不知道自己正在将资金存入JPMorgan Chase账户中。

Exante的合规负责人Natalia Taft说，该公司发现了“相当多”类似的骗局，表明第一次并非孤立事件。Taft 说骗子们在克隆网站界面方面做得非常出色。她说，AI工具可能创建了它，因为这是一个“速度游戏”，他们必须“在被关闭之前尽可能多地攻击受害者”。

5. 算法绕过活体检测工具

活体检测使用实时生物特征来确定摄像头前的人是否真实且与账户持有人的ID相匹配。理论上，绕过身份验证变得更加困难，防止人们使用旧照片或视频。然而，由于AI驱动的深度伪造，它不再像以前那样有效。

网络攻击者可以使用这种技术模仿真实的人来加速账户接管。或者，他们可以欺骗工具验证假身份，促进洗钱活动。

骗子不需要训练一个模型来做到这一点——他们可以购买一个预训练的版本。一个软件解决方案 声称它可以绕过金融科技公司使用的五种最著名的活体检测工具，仅需一次性购买2000美元。像Telegram这样的平台上充斥着此类工具的广告，展示了现代银行欺诈的便捷性。

6. AI身份启用新账户欺诈

骗子可以使用生成技术窃取某人的身份。在黑暗网络上，许多地方提供伪造的政府颁发的文件，如护照和驾驶执照。除此之外，他们还提供假自拍和财务记录。

合成身份是通过组合真实和虚假细节创建的虚构人物。例如，社会安全号码可能是真实的，但名称和地址不是。因此，它们更难以用传统工具检测。2021年身份和欺诈趋势报告显示，大约33%Equifax看到的误报是合成身份。

预算充足、雄心勃勃的专业骗子使用生成工具创建新身份。他们培养这个人物，建立金融和信用历史。这些合法的行为欺骗了了解客户软件，使他们能够保持隐身。最终，他们会将信用卡额度用完然后消失，带着净利润。

虽然这个过程更复杂，但它是被动发生的。训练有素的算法可以实时做出反应。他们知道何时进行购买、还清信用卡债务或贷款，就像人类一样，这有助于他们避免被发现。

银行可以做什么来防御这些AI骗局

消费者可以通过创建复杂的密码并在分享个人或账户信息时谨慎来保护自己。银行应该做更多事情来防御与AI相关的欺诈，因为他们负责保护和管理账户。

1. 使用多因素身份验证工具

由于深度伪造已经损害了生物识别安全性，银行应该依靠多因素身份验证。即使骗子成功窃取某人的登录凭证，他们也无法获得访问权限。

金融机构应该告诉客户永远不要分享他们的MFA代码。AI是一个强大的工具，用于网络攻击者，但它无法可靠地绕过安全的单次密码。钓鱼是它可以尝试做到的唯一方法。

2. 提高了解客户标准

了解客户是金融服务标准，要求银行验证客户的身份、风险配置文件和财务记录。虽然在法律灰色地带运营的服务提供商不一定受了解客户的约束——新的规则影响去中心化金融不会生效，直到2027年——但这是整个行业的最佳实践。

具有多年合法交易历史的合成身份令人信服，但容易出错。例如，简单的提示工程可以迫使生成模型揭示其真实性质。银行应该将这些技术纳入他们的策略中。

3. 使用高级行为分析

与AI作战的最佳实践是以其人之道还治其人之身。由机器学习系统驱动的行为分析可以同时收集成千上万的人的海量数据。它可以跟踪从鼠标移动到时间戳访问日志的一切。突然的变化表明账户被接管。

虽然高级模型可以模仿某人的购买或信用习惯，如果他们有足够的历史数据，但他们不知道如何模仿滚动速度、滑动模式或鼠标移动，这给了银行一个微妙的优势。

4. 进行全面风险评估

银行应该在创建账户时进行风险评估，以防止新账户欺诈并拒绝为洗钱者提供资源。他们可以通过搜索姓名、地址和社会安全号码中的差异开始。

虽然合成身份令人信服，但它们并非万无一失。对公共记录和社交媒体的彻底搜索将揭示他们只是最近才出现的。专业人士可以在给予他们足够时间后删除它们，防止洗钱和金融欺诈。

暂时的保留或转账限制可能会阻止不法分子大量创建和丢弃账户。虽然使过程对真正的用户来说不那么直观可能会造成摩擦，但它可以在长期内为消费者节省数千甚至数万美元。

保护客户免受AI骗局和欺诈的侵害

AI对银行和金融科技公司构成了严重的问题，因为不法分子不需要成为专家——甚至不需要非常精通技术——就可以执行复杂的骗局。此外，他们不需要构建专用模型。相反，他们可以越狱一个通用版本。由于这些工具如此方便，银行必须积极主动、勤勉。