Искусственный интеллект позволяет мошенникам обходить проверки на подделку и верификацию голоса, что позволяет им создавать поддельные удостоверения личности и финансовые документы невероятно быстро. По мере развития генеративных технологий их методы становятся всё более изощрёнными. Как потребители могут защитить себя, и что финансовые учреждения могут сделать для помощи?
1. Дипфейки усовершенствуют мошенничество с подменой личности
Искусственный интеллект стал основой для крупнейшего успешного мошенничества с подменой личности, когда-либо зафиксированного. В 2024 году инженерная консалтинговая компания Arup, расположенная в Великобритании, потеряла около 25 миллионов долларов после того, как мошенники обманом заставили сотрудника перевести средства во время видеоконференции. Они цифровым образом клонировали настоящих руководителей, включая главного финансового директора.
Дипфейки используют алгоритмы генератора и дискриминатора для создания цифровой копии и оценки реалистичности, что позволяет им убедительно имитировать facial features и голос кого-либо. С помощью искусственного интеллекта преступники могут создать одну требуя всего одну минуту аудио и одно фото. Поскольку эти искусственные изображения, аудиозаписи или видео могут быть заранее записаны или транслироваться в прямом эфире, они могут появляться где угодно.
2. Генеративные модели отправляют ложные предупреждения о мошенничестве
Генеративная модель может одновременно отправлять тысячи ложных предупреждений о мошенничестве. Представьте себе, что кто-то взламывает сайт потребительской электроники. В то время как растут объемы заказов, их ИИ звонит клиентам, сообщая, что банк отметил транзакцию как мошенническую. Он запрашивает номер их счёта и ответы на вопросы безопасности, говоря, что должен подтвердить их личность.
Требующийся звонок и намёк на мошенничество могут убедить клиентов передать свою банковскую и личную информацию. Поскольку ИИ может анализировать огромные объемы данных за секунды, он может быстро ссылаться на настоящие факты, чтобы сделать звонок более убедительным.
3. Персонализация ИИ облегчает захват аккаунта
Хотя киберпреступник может попытаться взломать аккаунт, бесконечно угадывая пароли, они часто используют украденные учётные данные. Они сразу же меняют пароль, резервный email и номер многослойной аутентификации, чтобы предотвратить выход реального владельца аккаунта. Специалисты по кибербезопасности могут защищаться от этих тактик, поскольку понимают методологию. ИИ вводит неизвестные переменные, что ослабляет их защиту.
Персонализация – это самое опасное оружие, которым может обладать мошенник. Они часто нацеливаются на людей в периоды повышенного трафика, когда происходит много транзакций — например, в Черную пятницу — чтобы усложнить мониторинг мошенничества. Алгоритм может адаптировать время отправки в зависимости от рутинной деятельности человека, его покупательских привычек или предпочтений сообщений, что делает их более склонными к взаимодействию.
Совершенные генерации языка и быстрая обработка позволяют массовую генерацию email, подмену доменов и персонализацию контента. Даже если плохие акторы отправляют в 10 раз больше сообщений, каждое будет казаться аутентичным, убедительным и актуальным.
4. Генеративный ИИ обновляет мошенничество с поддельными сайтами
Генеративные технологии могут делать всё, от проектирования каркасного дизайна до организации контента. Мошенник может заплатить pennies, чтобы создать и отредактировать поддельный инвестиционный, кредитный или банковский сайт за считанные секунды.
В отличие от традиционной фишинговой страницы, он может обновляться в почти реальном времени и реагировать на взаимодействие. Например, если кто-то звонит на указанный номер телефона или использует функцию чата, его могут соединить с моделью, обученной действовать как финансовый консультант или сотрудник банка.
В одном таком случае мошенники клонировали платформу Exante. Эта глобальная финансовая компания предоставляет пользователям доступ к более чем 1 миллиону финансовых инструментов на десятках рынков, поэтому жертвы думали, что они действительно инвестируют. Тем не менее, они без ведома вносили средства на счёт JPMorgan Chase.
Наталия Тафт, руководитель комплаенс-подразделения Exante, сообщила, что компания обнаружила «довольно много» подобных мошеннических схем, что говорит о том, что первый случай не был единичным. Тафт сказала, что мошенники отлично справились со_clone_ сайта. Она отметила, что, вероятно, он был создан с помощью инструментов ИИ, так как это «скоростная игра» и нужно «привлечь как можно больше жертв, прежде чем их закроют».
5. Алгоритмы обходят инструменты обнаружения живости
Обнаружение живости использует биометрию в реальном времени, чтобы определить, является ли человек перед камерой настоящим и соответствует ли он удостоверению личности владельца аккаунта. Теоретически обход аутентификации становится более сложным, предотвращая людей от использования старых фотографий или видео. Тем не менее, это не так эффективно, как это было раньше, благодаря дипфейкам на основе ИИ.
Киберпреступники могут использовать эту технологию, чтобы имитировать реальных людей для ускорения захвата аккаунта. В качестве альтернативы они могут обмануть инструмент, подтвердив фейковую персону, что облегчает деньги-отмывку.
Мошенникам не нужно обучать модель для этого — они могут заплатить за предварительно обученную версию. Одно программное решение утверждает, что оно может обойти пять наиболее известных инструментов обнаружения живости, которые используют компании финансовых технологий, за единовременную покупку в 2000 долларов. Реклама подобных инструментов встречается в избытке на таких платформах, как Telegram, что демонстрирует простоту современных банковских мошенничеств.
6. Идентичности ИИ позволяют проводить новые мошенничества с аккаунтами
Мошенники могут использовать генеративные технологии для кражи личной информации человека. В темном интернете много мест, предлагающих поддельные государственные документы, такие как паспорта и водительские удостоверения. Более того, они предоставляют поддельные селфи и финансовые записи.
Синтетическая идентичность — это вымышленная персона, созданная путем комбинирования реальных и фальшивых данных. Например, номер социального страхования может быть реальным, но имя и адрес — нет. В результате их сложнее обнаружить с помощью традиционных инструментов. Отчёт о тенденциях идентичности и мошенничества за 2021 год показывает, что примерно 33% ложных положительных ситуаций, которые фиксирует Equifax, — это синтетические идентичности.
Профессиональные мошенники с щедрыми бюджетами и высокими амбициями создают новые идентичности с помощью генеративных инструментов. Они формируют личность, устанавливая финансовую и кредитную историю. Эти легитимные действия обманывают ПО для соблюдения правил проверки клиента, позволяя им оставаться незамеченными. В конечном итоге они исчерпывают свои кредитные ресурсы и исчезают с положительной прибылью.
Хотя этот процесс более сложен, он происходит пассивно. Совершенные алгоритмы, обученные на техниках мошенничества, могут реагировать в реальном времени. Они знают, когда делать покупку, гасить задолженность по кредитной карте или брать кредит как человек, что помогает им избежать обнаружения.
Что могут сделать банки, чтобы защититься от этих мошенничеств с ИИ
Потребители могут защитить себя, создавая сложные пароли и проявляя осторожность при передаче личной или учетной информации. Банки должны сделать еще больше для защиты от мошенничества, связанного с ИИ, поскольку они несут ответственность за безопасность и управление счетами.
1. Использовать инструменты многослойной аутентификации
Поскольку дипфейки подрывают биометрическую безопасность, банки должны полагаться на многослойную аутентификацию вместо этого. Даже если мошенник успешно украдет чей-то логин, он не сможет получить доступ.
Финансовые учреждения должны сообщить клиентам никогда не делиться своим MFA-кодом. ИИ является мощным инструментом для киберпреступников, но он не может надежно обойти безопасные одноразовые пароли. Фишинг — один из немногих способов, которым он может попытаться это сделать.
2. Улучшить стандарты “Знай своего клиента”
Стандарт KYC — это финансовый стандарт, требующий от банков проверки идентификации, профиля риска и финансовых записей клиентов. Хотя поставщики услуг, действующие в серых зонах, технически не подпадают под KYC — новые правила, касающиеся DeFi вступят в силу только в 2027 году — это является общепринятой практикой отрасли.
Синтетические идентичности с многолетним, легитимным, тщательно культивируемым историей транзакций убедительны, но подвержены ошибкам. Например, простая подача команды может заставить генеративную модель раскрыть свою истинную природу. Банки должны интегрировать эти техники в свои стратегии.
3. Использовать продвинутую поведенческую аналитику
Лучшая практика для борьбы с ИИ — это бороться с огнем огнем. Поведенческая аналитика на основе системы машинного обучения может собирать огромное количество данных о десятках тысяч людей одновременно. Она может отслеживать всё, от движения курсора до временных меток журналов доступа. Внезапное изменение указывает на захват аккаунта.
Хотя продвинутые модели могут имитировать покупательские или кредитные привычки человека, если у них достаточно исторических данных, они не смогут имитировать скорость прокрутки, модели свайпов или движения мыши, что дает банкам небольшое преимущество.
4. Провести всесторонние оценки рисков
Банки должны проводить оценки рисков во время создания аккаунта, чтобы предотвратить мошенничество с новыми аккаунтами и обезопасить ресурсы от отмывателей денег. Они могут начать с поиска несоответствий в имени, адресе и номере социального страхования.
Хотя синтетические идентичности убедительны, они не являются надежными. Тщательный поиск по открытым записям и социальным сетям может показать, что они были созданы всего недавно. Профессионал способен удалить их, если будет достаточно времени, что предотвратит отмывание денег и финансовое мошенничество.
Временное удержание или лимит на переводы в ожидании проверки могут предотвратить создание и сброс аккаунтов в массовом порядке. Хотя такое упрощение процесса для реальных пользователей может вызвать трение, в конечном итоге это может сэкономить потребителям тысячи или даже десятки тысяч долларов.
Защита клиентов от мошенничества с ИИ
ИИ представляет серьезную проблему для банков и финтех-компаний, поскольку плохие актеры не обязательно должны быть экспертами — или даже очень технически подкованными — чтобы совершить сложные схемы мошенничества. Более того, им не нужно строить специализированную модель. Вместо этого они могут взломать универсальную версию. Учитывая такую доступность этих инструментов, банки должны быть проактивными и внимательными.
Статья Как мошенники используют ИИ в банковском мошенничестве впервые появилась на Unite.AI.
