Navigera i AI-eran: Anpassning till det skiftande landskapet för betalningsbedrägerier
Artificiell intelligens (AI) är ett modeord i vårt nuvarande samhälle. Människor använder AI-verktyg i sina personliga och professionella liv, och de konfronteras med genererade bilder och filmer på sociala medier dagligen. AI är här och det går ingenstans.
Som med all ny digital teknik är bedragare bland de första att anpassa sig till den. Vi har redan sett exempel på hur de använder det. Så hur kommer detta att utvecklas och hur kommer AI att påverka bedrägerilandskapet? Vad blir effekten? Och vad kan din organisation göra för att förbereda sig för det?
Förändringar i bedrägerilandskapet
På grund av AI förväntar vi oss att antalet bedrägeriförsök kommer att öka. Eftersom attackerna blir mer sofistikerade finns det också en risk att bedragarna blir mer framgångsrika. Så hur använder bedragarna AI nu och vad kan vi förvänta oss i framtiden?
- Sociala ingenjörsbedrägerier som använder AI är ett nytt och stort hot mot företag och konsumenter.
Genom att använda bara några sekunder av en video av dig, tagen från sociala medier, kan AI nu klona din röst och ditt ansikte. Denna deep fake-klon kan användas för att övertyga människor i ditt nätverk att det är du, vinna deras förtroende och stjäla deras pengar. För att effektivt kunna få till stånd en bedrägeriattack med en deep fake-klon finns det för närvarande tre olika modi operandi vi har sett:
-
- Träna en specialiserad AI-modell för att på ett övertygande sätt skapa en deep fake i realtid för ett skadligt videosamtal. Detta är dock en komplex, dyr och tidskrävande variant. Detta kan fortfarande vara intressant för bedragaren om vinsterna är höga. Till exempel inom vd-bedrägeri. Den första framgångsrika bedrägeriattacken med detta modus operandi ägde rum i Hong Kong. Genom att skapa en deepfake-modell av CFO och 3 andra kollegor kunde bedragarna övertyga en anställd på finansavdelningen att överföra ett belopp motsvarande 25 miljoner euro. (1)
- Använd befintliga modeller av kändisar för att manipulera människor att investera i en bluff. I Sydkorea manipulerades en kvinna i en romansbluff med hjälp av deepfake-bilder och ett deepfake-videosamtal med Elon Musk. Bedragarna fick 50 000 USD på detta försök. (2)
- Träna en modell för ett deep fake ljudsamtal. Det har gjorts olika försök med detta arbetssätt. I ett av dessa försök fick en pappa ett samtal från sin "son". Hans son begärde pengar att ställa som borgen efter en bilolycka. Detta är lätt att göra med de nuvarande tillgängliga verktygen. Det är dock inte särskilt övertygande ännu, eftersom bedragaren måste skriva in svaren i realtid. Samtalet kommer inte att kännas naturligt på grund av tiden för svaret från bedragaren. (3)
- Traditionellt nätfiskebedrägeri är enklare och mer skalbart med hjälp av AI.
Språkinlärningsmodeller (LLM) som ChatGPT har gjort det väldigt enkelt att omedelbart generera nätfiskemeddelanden på de vanligaste språken. Data om mål är lätt att köpa online, precis som automatiseringsverktyg för att utföra attackerna. Allt en bedragare behöver göra är att luta sig tillbaka och vänta tills ett offer tar betet.
- Skadlig programvara som använder AI för att bryta mot bank- och betalningsskydd ökar men kommer i vågor.
I Kina har den mobila skadliga programvaran kallad "GoldDigger" kunnat fånga användarens ansikte och använder AI för att använda denna data för att bryta mot ansiktsautentiseringar på andra mobilapplikationer, som din bankapp. Även om detta är ett genuint bekymmer är det också att förvänta sig att det ökar. Närhelst ett försvar blir tillräckligt starkt kommer folk att försöka bryta det och så småningom kommer de att hitta ett sätt. När förlusterna blir betydande kommer försvararna att göra vad de kan för att åtgärda problemet och så småningom lyckas med det. AI är helt enkelt ett nytt verktyg här, i den meningen inget nytt.
På grund av framsteg inom AI-teknik förväntar vi oss att den här typen av attacker kommer att bli lättare att utföra i framtiden. Att träna deep fake-modeller blir enklare, billigare och mindre tidskrävande. Där bedragare nu använder nätfiske-som-en-tjänst-kit, förväntar vi oss i framtiden att det kommer att finnas tillgängliga verktyg för att utföra automatiska bedrägeriattacker. Till exempel romantik/investeringsbedrägerier där bedragarna kan prenumerera på en tjänst som hjälper dem att utföra den här typen av attacker. Kontakten med offret kan automatiseras helt med AI-chatbots och allt som bedragaren behöver göra är att planera och genomföra utbetalningen.
Hur kommer dessa förändringar att påverka din organisation?
- Högre arbetsbelastning
Vi räknar med en betydande ökning av bedrägeriförsök, en större mängd ärenden som kräver utredning och en ökning av kundförfrågningar relaterade till bedrägeri.
- Mer bedrägeri att ersätta
Med fler bedrägeriförsök ökar också risken att kunderna blir offer. Ett ögonblick av att bli distraherad eller inte uppmärksam kan resultera i ett framgångsrikt bedrägeri. En ökad sofistikering av bedrägeriattacker kommer också att leda till fler offer och högre förluster per fall. Med PSD3 måste bedrägerier med personifiering också ersättas och detta kommer också att vara en drivkraft för fler bedrägeriersättningar. (4)
Hur kan din organisation förbereda sig för denna nya era i kampen mot bedrägerier?
Vad vi förväntar oss kommer hända är att sättet som bedragare närmar sig sina offer kommer att förändras. Bedragarna kommer att använda olika historier och tekniker för att manipulera offret. Från den tidpunkten förblir modus operandi detsamma som vi har sett de senaste åren. Den data som din organisation får kommer att förbli densamma. Vi förväntar oss dock att bedrägerier som initierats av offer fortsätter att öka. Detta har lett till en ökande efterfrågan på bankbeteendeövervakning under de senaste åren. Detta kommer fortsätta öka medan vi går in i den nya AI-drivna eran. Så vad kan din organisation göra för att förbereda sig?
- Skapa 100% synlighet på kunden/bedrägeriförsöket
För att framgångsrikt kunna göra bankbeteendeövervakning behöver din organisation 100 % synlighet på kund- och bedrägeriförsöket. En kund som manipuleras kommer att visa ett annat beteende än när samma kund gör en legitim transaktion. Genom att ha 100 % synlighet på kunden/bedrägeriförsöken kan du övervaka all interaktion med dina kanaler och låta dig upptäcka avvikelser från dina kunders normala mönster. Detta kommer att öka din framgång med att stoppa bedrägerier från att hända och det är alltid det bästa sättet att minska arbetsbelastningen.
- Det behövs ett helhetsgrepp – samarbeta internt men även externt
Kunder vill ha en sömlös, friktionsfri upplevelse under interaktionerna med sin bank. Bankerna anpassar sig till dessa krav genom att digitalisera sin produktportfölj och sina processer. Även om detta underlättar en bra kundupplevelse, öppnar det också dörrar för kriminella. Arbeta tillsammans med bedrägeriexperterna i din organisation när du gör ändringar i dina produkter och processer. Låt dem hjälpa dig att identifiera riskerna och hantera åtgärder för att erbjuda en friktionsfri kundupplevelse. Lägg till friktion om det behövs, till exempel en väntetid om en kund vill höja sina kort- eller betalningsgränser. För närvarande är bankerna den enda försvarslinjen mot betalningsbedrägerier online. Bedrägerierna slutar dock bara på banken, utgångspunkten för den kriminella resan är på andra plattformar. I de flesta fall börjar bedrägerierna på sociala medier, via e-post eller telefon. Samarbete med externa parter som big tech, telekomleverantörer och internetleverantörer kan leda till framgångsrika lösningar för att bekämpa bedrägerier. Ett bra exempel är hur telekomleverantörer i Nederländerna för närvarande blockerar falska samtal när telefonnummer till banker används.
- Öka medvetenheten
Även om banker redan gör mycket för att öka medvetenheten, kräver denna nya AI-drivna era ett nytt tillvägagångssätt. Förutom att informera kunderna om de olika modi operandi som finns och mildrande åtgärder de bör vidta, blir det nu också viktigt att hjälpa dina kunder att känna igen deepfake och AI-genererat innehåll. När dina kunder kan känna igen detta, kommer de att vara mindre benägna att bli ett offer.
Slutsats
När AI-eran knackar på våra dörrar måste banker förbli vaksamma och proaktiva i kampen mot bedrägerier. Genom att ta till sig innovation, samarbete och ökad medvetenhet kan organisationer navigera i AI-ålderns komplexiteten och skydda sig mot bedrägerierisker. Att upprätthålla 100 % övervakning på kund- och kriminella interaktioner är avgörande för effektiv upptäckt och förebyggande av bedrägerier. När vi fortsätter att utvecklas i den digitala eran kommer det prioriteras strategier för att förebygga bedrägerier och investera i omfattande synlighet vara avgörande för att upprätthålla förtroende, säkerhet och motståndskraft i det ständigt föränderliga landskapet av betalningsbedrägerier.
(1) https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html
(2) https://www.independent.co.uk/asia/east-asia/elon-musk-romance-scam-dupes-south-korean-b2533764.html
(3) https://www.independent.co.uk/news/world/americas/ai-phone-scam-voice-call-b2459449.html
(4) https://kpmg.com/nl/en/home/insights/2023/06/psd3---psr-.html