Utilizarea malițioasă a inteligenței artificiale remodelează peisajul fraudei, provocând riscuri majore pentru afaceri.

Inteligența artificială (AI) aduce beneficii remarcabile pentru multe companii. Ajută la automatizarea sarcinilor repetitive pentru mai multă eficiență și reducerea costurilor. Îmbunătățește considerabil serviciul clienți și procesul de programare. De asemenea, facilitează descoperirea unor perspective valoroase pentru luarea celor mai bune decizii în afaceri. Încă din octombrie 2023, Gartner estima că 55% dintre organizații se aflau în faza de testare sau producție cu inteligența artificială generativă (GenAI). Cu siguranță, acest procent este și mai mare astăzi.

Totuși, și organizațiile criminale inovează cu ajutorul acestei tehnologii, ceea ce reprezintă o veste proastă pentru liderii de afaceri și managerii  IT de pretutindeni. Pentru a combate riscul tot mai ridicat de fraudă, este necesar un răspuns complex, care să vizeze deopotrivă angajații, procesele și tehnologia.

Care sunt cele mai recente amenințări legate de AI și deepfake-uri?

Infractorii cibernetici valorifică puterea inteligenței artificiale și a deepfake-urilor în mai multe moduri, printre care:

– Angajați falși: Sute de companii au fost infiltrate de nord-coreeni care se dau drept freelanceri IT ce lucrează de la distanță. Aceștia folosesc instrumente de inteligență artificială pentru a crea CV-uri și documente falsificate, inclusiv imagini manipulate cu AI, cu scopul de a fenta verificarea istoricului candidaților. Obiectivul final este atât obținerea de venituri pentru a finanța regimul nord-coreean, cât și furtul de date, spionajul și chiar atacurile ransomware.
– O nouă generație de fraude BEC: Clipurile audio și video deepfake sunt folosite pentru a intensifica fraudele de tip Business Email Compromise (BEC), în care angajații din departamentele financiare sunt păcăliți să transfere fonduri corporative către conturi controlate de infractori. Într-un caz recent, devenit faimos, un angajat din domeniul financiar a fost convins să transfere 25 de milioane de dolari către escroci care au folosit deepfake-uri pentru a impersona CFO-ul companiei și alți membri ai echipei într-o videoconferință. Această tehnică nu este însă nouă – încă din 2019, un director al unei companii energetice din Marea Britanie a fost înșelat să vireze 200.000 de lire sterline după ce a vorbit la telefon cu o versiune deepfake a șefului său.
– Evitarea autentificării: Deepfake-urile sunt folosite și pentru a ajuta infractorii să impersoneze clienți legitimi, să creeze identități false și să ocolească verificările de autentificare cerute la crearea conturilor sau la logare. Un exemplu de malware extrem de sofisticat, numit GoldPickaxe, este conceput special pentru a colecta date biometrice de recunoaștere facială, care sunt apoi utilizate pentru generarea de videoclipuri deepfake. Conform unui raport, 13,5% dintre toate deschiderile de conturi digitale la nivel global anul trecut au fost suspectate de activități frauduloase.
– Escrocherii cu deepfake: Infractorii cibernetici folosesc deepfake-uri și în moduri mai puțin direcționate, de exemplu, pentru a impersona directori executivi ai companiilor sau alte persoane publice influente pe rețelele sociale, cu scopul de a facilita escrocherii financiare și de investiții. Așa cum a demonstrat Jake Moore, teoretic, orice lider corporativ poate deveni o victimă a acestei metode. În plus, infractorii utilizează deepfake-uri și postări false pe rețelele sociale, care par a proveni de la companii reale, pentru a atrage victime într-un nou tip de fraudă investițională numită Nomani.
– Spargerea parolelor: Algoritmii de inteligență artificială pot fi folosiți pentru a sparge parolele clienților și angajaților, facilitând furtul de date, atacurile ransomware și fraudele de identitate în masă. Un exemplu notoriu este PassGAN, un instrument care, potrivit rapoartelor, poate sparge parole în mai puțin de 30 de secunde.
– Falsificarea documentelor: Documentele generate sau modificate cu ajutorul inteligenței artificiale reprezintă o altă metodă de a ocoli verificările Know Your Customer (KYC) impuse de bănci și alte companii. De asemenea, acestea pot fi utilizate pentru fraude în domeniul asigurărilor. Aproape toți evaluatorii de despăgubiri (94%) suspectează că cel puțin 5% dintre cererile de despăgubire sunt manipulate cu AI, în special cele de valoare mai mică.
– Phishing și recunoaștere: Centrul Național de Securitate Cibernetică (NCSC) al Regatului Unit a avertizat cu privire la avantajele pe care infractorii cibernetici le obțin prin utilizarea inteligenței artificiale generative și a altor tipuri de AI. În prima parte a anului 2024, NCSC a declarat că această tehnologie „va crește aproape sigur volumul și va amplifica efectul atacurilor cibernetice în următorii doi ani.” Impactul va fi deosebit de mare în eficientizarea ingineriei sociale și a recunoașterii țintelor, ceea ce va alimenta atacurile ransomware, furtul de date și campaniile extinse de phishing asupra clienților.

Care este impactul amenințărilor bazate pe AI?

Fraudele facilitate de inteligența artificială duc, în cele din urmă, la pierderi financiare și daune reputaționale de diferite proporții. Un raport estimează că 38% dintre veniturile pierdute din cauza fraudelor în ultimul an au fost cauzate de înșelătorii bazate pe AI.

Iată câteva exemple concrete:

– Ocolirea verificărilor KYC le permite infractorilor să acumuleze datorii și să golească conturile clienților legitimi.
– Angajații falși pot fura informații sensibile despre proprietatea intelectuală și datele reglementate ale clienților, ceea ce generează probleme financiare, de conformitate și de imagine.
– Fraudele BEC pot provoca pierderi uriașe într-o singură tranzacție – doar în 2023, acest tip de fraudă a generat câștiguri de peste 2,9 miliarde de dolari pentru infractori.
– Escrocheriile prin impersonare pun în pericol loialitatea clienților – o treime dintre consumatori afirmă că ar renunța la un brand pe care îl iubesc după doar o singură experiență negativă.

Combaterea fraudei bazate pe AI

Lupta împotriva valului de fraude facilitate de inteligența artificială necesită un răspuns complex, concentrat pe factorul uman, procese și tehnologie. Printre măsurile esențiale se numără:

– Evaluări frecvente ale riscurilor de fraudă
– Actualizarea politicilor antifraudă, astfel încât să fie relevante pentru amenințările bazate pe AI
– Programe de instruire și conștientizare pentru angajați (ex. de tematică: identificarea atacurilor de phishing și a deepfake-urilor)
– Educație și informare pentru clienți despre riscurile fraudei digitale
– Activarea autentificării multifactor (MFA) pentru toate conturile corporative și cele ale clienților
– Îmbunătățirea verificărilor de istoric pentru angajați, inclusiv scanarea CV-urilor pentru inconsecvențe în carieră
– Intervievarea video obligatorie a tuturor candidaților înainte de angajare
– Îmbunătățirea colaborării între echipele HR și cele de securitate cibernetică pentru prevenirea riscurilor interne.

Cum poate AI să ajute în lupta împotriva fraudei?

Inteligența artificială nu este doar o amenințare – poate fi și o armă eficientă împotriva fraudei, prin:

– Instrumente AI pentru detectarea deepfake-urilor (ex. în verificările KYC)
– Algoritmi de învățare automată pentru identificarea tiparelor de comportament suspect în rândul angajaților și clienților
– Inteligență artificială generativă (GenAI) pentru crearea de date sintetice, utilizate în dezvoltarea, testarea și antrenarea noilor modele antifraudă.

Pe măsură ce lupta dintre AI malițios și AI benefic intră într-o nouă fază intensă, companiile trebuie să își actualizeze politicile de securitate cibernetică și antifraudă pentru a ține pasul cu amenințările în continuă evoluție. Cu atât de multe în joc, neadaptarea la aceste riscuri ar putea afecta loialitatea clienților, valoarea brandului și chiar inițiativele de transformare digitală.

AI poate schimba regulile jocului pentru infractori. Dar poate face același lucru și pentru echipele de securitate și gestionare a riscurilor.