За последний год искусственный интеллект (ИИ), особенно ChatGPT и Bard, получил широкое освещение благодаря их способности генерировать широкий спектр результатов, основанных на данных, таких как маркетинговый контент, отчёты и даже сценарии фильмов. Вслед за этими новыми применениями технологии в заголовках быстро появились сообщения о мошенничестве, а также примеры электронных писем, текстовых сообщений, созданных искусственным интеллектом, поддельных видео и голосовых вызовов.
Для тех, кто занимается мошенничеством, использование искусственного интеллекта для проведения фишинговых кампаний и других мошеннических действий существует уже много лет. Однако с ростом доступности генеративного ИИ для всех наибольшие опасения связаны с качеством, глубиной и масштабом этих атак, особенно связанных с выдачей себя за людей и предприятия. Новейшие схемы могут извлекать основные идентификационные данные человека из массовых компрометаций и создавать реалистичную запись о потребителе с полным историческим досье личной информации, дополненным физическими и цифровыми артефактами. Это включает в себя почти идеальные подделки государственных документов, таких как водительские права и высококачественные биометрические данные, наряду с длинным цифровым следом в социальных сетях, трудовыми книжками, постоянными адресами, телефонами, электронной почтой и т.д. создавать синтетические идентичности, которые действительно похожи на живые.
Затем мошенники могут использовать искусственный интеллект для создания и запуска инструментов по масштабированию этой возможности, чтобы она была в руках любого, кто хочет сгенерировать новую личность – или сотни тысяч из них – за считанные секунды.
В прошлом мошенники вручную создавали эти синтетические удостоверения личности, что требовало много исследований и времени для установления оффлайнового и цифрового присутствия. Теперь преступные группировки имеют под рукой генеративный искусственный интеллект, позволяющий выполнять ту же самую углублённую работу в масштабе и с гораздо более высоким качеством. Кроме того, полностью автоматизированная система злоумышленников с поддержкой искусственного интеллекта может создавать множество документов и отвечать голосом, видео, электронной почтой или в чате точно так же, как человек, на тысячи одновременных попыток социальной инженерии в режиме реального времени. Конечно, мошенникам нужен доступ к данным, связанным с идентификацией, чтобы создать эти поддельные удостоверения личности, и очень важно, чтобы данные не были общедоступными.
Где и как происходят мошеннические атаки на основе ИИ?
Даже если потребители или предприятия принимают строгие меры предосторожности, гиперперсонализация атак – это очень тревожная новая тенденция. Что касается потребителей, то ничего не подозревающие жертвы всё чаще подвергаются мошенничеству с помощью высоко персонализированных и целенаправленных атак, которые обманом заставляют их совершать мгновенные переводы и платежи в режиме реального времени, при этом законный владелец учётной записи делает запрос и выполняет любые строгие меры аутентификации, которые могут опустошить учётные записи за считанные секунды. А для финансовых учреждений, которые берут на себя ответственность за действия, инициированные потребителями, такие как переводы денежных средств, этот вид мошенничества сопряжён со значительным денежным риском по масштабам.
Что касается бизнеса, злоумышленники уже много лет используют компрометацию деловой электронной почты (BEC). Но, используя генеративный искусственный интеллект, те же самые атаки могут имитировать голос или стиль письма руководителя компании, чтобы гораздо убедительнее требовать от сотрудников совершения финансовых операций или получения доступа к конфиденциальной информации. В правительстве мошенники могут нацеливаться на государственных и федеральных чиновников, разбираться в протоколах подчинённости и разрешениях способом, очень похожим на корпоративные атаки, а затем добиваться доступа к конфиденциальным материалам у высокопоставленных чиновников или лиц, имеющих допуск к сверхсекретной информации.
Чтобы облегчить эти атаки, генеративный искусственный интеллект позволяет практически любому человеку автоматизировать и масштабировать процесс создания множества реалистичных банковских аккаунтов, аккаунтов электронной коммерции, аккаунтов здравоохранения, аккаунтов правительства и аккаунтов в социальных сетях и приложений для фишинга учётных данных потребителя или руководителя. В этих случаях жертвам чрезвычайно трудно отличить законные, пользующиеся доверием организации от сгенерированного или скопированного контента с рабочими ссылками и страницами на почти идеальных поддельных сайтах.
В борьбе с мошенничеством с использованием искусственного интеллекта борьба огнём с огнём – единственный способ не отставать, поскольку крупные бренды используют технологию искусственного интеллекта для автоматического сканирования сайтов и приложений, похожих на их собственные, и быстрого выявления новых моделей или несоответствий в поведении потребителей по своим собственным каналам.
Ещё одним фронтом борьбы является открытие новых учётных записей. Организациям всё чаще требуются многоуровневые средства проверки личности и аутентификации, а также возможность быстрого выявления аномалий и необычного поведения для выявления злоумышленников, которые использовали искусственный интеллект для социальной инженерии жертв. Это требует сочетания видимых и невидимых средств контроля, которые не только проверяют и аутентифицируют личность, но и могут оценивать манипуляции и намерения.
Например, компании часто сверяют идентификационные данные потребителя с надёжными источниками данных, а затем используют такие меры аутентификации личности, как одноразовые пароли (OTP), телефонные проверки, инструменты проверки документов и голосовые биометрические данные. Всё это мощные и необходимые решения. Однако злоумышленники, вооружённые искусственным интеллектом, теперь могут создавать голосовые подделки из коллекции видеороликов в социальных сетях или подвергать жертв социальной инженерии, создавая убедительные сценарии поддержки клиентов, которые обучены процессам аутентификации каждого из ведущих банков или продавцов и потокам мошенничества. Затем, используя голосовых ботов для одновременного обзвона тысяч потребителей для сбора OTP-сообщений или pin-кодов, мошенники могут осуществлять массовые атаки с целью открытия новых учётных записей или вброса учётных данных.
Борьба с мошенничеством в связи с ростом числа биометрических атак
Имея так много более простых способов совершения мошенничества, злоумышленникам не нужно было использовать сложные средства глубокой подделки голоса, изображений и видео для прохождения биометрических проверок лица или голоса. Однако по мере того, как организации внедряют дополнительные многоуровневые средства контроля для проверки личности, аутентификации и снижения транзакционных рисков, злоумышленники будут пытаться использовать эти типы атак. Вот несколько способов, которыми предприятия могут защитить себя:
- Прежде всего, организации должны продолжать обучать потребителей персонализированным образом и с помощью многочисленных каналов коммуникации (например, веб-сайты, видеоуроки, электронные бюллетени, почтовые рассылки). Активная просветительская работа помогает гарантировать, что потребители осведомлены о последних атаках мошенничества, активно участвуют в собственной защите и являются первой линией обороны от злоумышленников.
- Ещё одним ключом к защите компаний от подобных атак является то, что процессы предотвращения мошенничества и защиты личных данных больше не могут осуществляться изолированно. Все данные и элементы управления должны поступать в системы и команды, которые могут анализировать сигналы, определять целостную логику принятия решений и строить модели, которые постоянно обучаются на хорошем и плохом трафике. Это помогает обеспечить бесперебойный, персонализированный доступ для подлинных потребителей, одновременно блокируя попытки злоумышленников с поддержкой искусственного интеллекта. Компаниям также необходимо собирать и агрегировать данные в своих общедоступных доменах и внутренних системах и объединять видимость в системы, которые отслеживают и предупреждают об аномалиях на протяжении всего пути клиента, от предварительного кибернетического контроля до регистрации клиентов, управления учётными записями и транзакциями.
- Эта консолидация включает данные служб безопасности и кибернетического контроля, поскольку самым слабым звеном часто являются новые уязвимости в Интернете и приложениях или сотрудники, предоставляющие учётные данные с помощью фишинговых атак. Объединение всех своих офлайн‑, онлайн-, ботовых, поведенческих, биометрических, транзакционных и любых других межотраслевых источников данных позволит компаниям мгновенно выявлять ранние сигналы потенциального мошенничества, снижать риск и обеспечивать положительное отношение клиентов к своим продуктам и услугам.
Несмотря на то, что широкое использование биометрического мошенничества с использованием искусственного интеллекта всё ещё продолжается, настало время подготовиться к атакам с глубокой подделкой голоса, изображений и видео. Обучение потребителей, консолидация межорганизационных процессов предотвращения мошенничества и защиты личных данных, а также централизация доступа к системам, которые отслеживают и предупреждают об аномалиях на протяжении всего пути клиента, – это лишь первые шаги в том, что станет очень долгосрочной стратегией защиты от злоумышленников с поддержкой искусственного интеллекта.
По материалам Biometrics Research Group. Автор Mike Gross
