邁克·格羅斯(Mike Gross),副總裁,應用欺詐研究與分析explian
在過去的一年中,人工智能(AI),尤其是chatgpt和bard,由於能夠產生廣泛的數據驅動輸出,例如營銷內容,報告甚至電影劇本,因此獲得了大量覆蓋範圍。在這些技術的新應用之後,頭條新聞中很快出現了與欺詐相關的用途,以及AI收集的電子郵件,短信以及深層視頻和語音通話的示例。
對於那些從事欺詐業務的人來說,使用AI進行網絡釣魚活動和其他騙局已經存在多年了。但是,隨著生成AI的可用性越來越多每個人,對AI欺詐的最大問題涉及這些攻擊的質量,深度和規模,尤其是圍繞著人和企業的模仿。最新的計劃可以從大規模妥協中獲取個人的基本身份數據,並使用完整的個人信息檔案創建現實的消費者記錄,並配有物理和數字文物。其中包括近乎完美的政府文件,例如駕駛執照和高質量的生物識別技術,以及在社交媒體上的長期數字踪跡,就業記錄,終身地址,電話,電子郵件等,以創建真正栩栩如生的綜合身份。
然後,fRaudsters可以使用AI來構建和啟動工具,以擴展這種能力,以掌握在幾秒鐘內想要產生新的身份(或數十萬)的任何人手中。
過去,欺詐者手動創建了這些綜合身份,需要大量的研究和時間來建立離線和數字形象。現在,犯罪戒指的觸手可及的AI具有更高質量的大規模進行深入的深度工作。另外,完全自動化的AI-ai-aig攻擊者係統可以產生多種文檔,並通過語音,視頻,電子郵件或聊天進行響應,就像人類在成千上萬的同時社會工程嘗試實時嘗試一樣。當然,欺詐者需要訪問與身份相關的數據來創建這些虛假的身份,並且至關重要的是數據不在公共領域中。
基於AI的欺詐攻擊在哪里以及如何發生?
即使消費者或企業採取了嚴格的預防措施,攻擊的超級人性化也是一個與新趨勢有關的。在消費者方面,毫無戒心的受害者越來越被高度個性化和有針對性的攻擊所騙取,這些攻擊誘使他們與合法的帳戶持有人進行即時轉移和對點對點實時付款,從而提出請求並通過任何強大的身份驗證措施,這些措施可以在幾秒鐘內匯集。對於對消費者發起的責任(例如資金轉移)承擔責任的金融機構,這種類型的欺詐行為會在大規模上帶來巨大的貨幣風險。
在業務方面,不良演員多年來一直使用業務電子郵件妥協(BEC)。但是,使用生成的AI,相同的攻擊可以模仿公司高管的語音或撰寫方式,以使員工更令人信服地要求進行財務交易或訪問機密信息。在政府中,欺詐者可以針對州和聯邦官員,以與公司攻擊非常相似的方式了解命令鏈的協議和批准,然後尋求從頂級官員或具有最高授權清算的官員的敏感材料的訪問權限。
為了幫助促進這些攻擊,生成的AI幾乎使任何人都可以自動化和擴展建立多個現實的銀行,電子商務,醫療保健,政府和社交媒體帳戶以及應用程序,以向消費者或執行人員的證書和身份數據進行phish。在這些情況下,受害者很難將合法的,可信賴的組織與幾乎完美的欺騙網站上的工作鏈接和頁面區分開或複制的內容。
在與人工智能欺詐的鬥爭中,用火鬥爭是唯一跟上的方法,主要品牌採用AI技術自動掃描與其類似的網站和應用程序,並迅速發現了自己的頻道上消費者行為的新模式或不一致。
另一個戰場是新的帳戶開口。組織越來越需要多層身份驗證和身份驗證控制,以及快速識別異常和異常行為的能力,以識別已使用AI為社會工程師受害者的攻擊者。這需要可見和看不見的控件的組合,不僅可以驗證和身份驗證身份,而且可以評估操縱和意圖。
例如,公司經常針對受信任的數據來驗證消費者的身份數據,然後使用身份身份驗證措施,例如一次性密碼(OTP),電話檢查,文檔驗證工具和語音生物識別技術。這些都是強大的必要解決方案。但是,擁有AI的攻擊者現在可以通過建立令人信服的客戶支持腳本來創建來自社交媒體視頻或社會工程師受害者的眾多聲音,這些腳本接受了每個頂級銀行或商人的身份驗證過程和欺詐流程的培訓。然後,僱用語音機器人的電話庫同時致電數千名消費者來收集OTP或引腳,欺詐者可以實施大量的新通行爆炸或證書攻擊。
與生物識別攻擊的興起打擊欺詐
攻擊者不需要使用精緻的深層聲音,圖像和視頻來傳遞面部或語音生物識別檢查,因此攻擊者無需使用如此眾多的途徑。但是,隨著組織採用其他分層控件進行身份驗證,身份驗證和交易風險,壞參與者將嘗試利用這些類型的攻擊。以下是企業可以保護自己的幾種方式:
- 首先,組織必須繼續以個性化的方式和許多通信渠道(例如,網站,視頻教程,電子通訊,郵件)來教育消費者和客戶。積極主動的教育工作有助於確保消費者了解最新的欺詐攻擊,積極的參與者自己的保護以及對攻擊者的第一道防線。
- 公司反對這些攻擊的另一個關鍵是,在筒倉中不再發生預防欺詐和身份保護過程。所有數據和控件都必須為可以分析信號,定義整體決策邏輯的系統和團隊供電,並構建經過不斷接受良好和不良流量訓練的模型。這有助於為真實的消費者提供無縫的,個性化的體驗,同時阻止AI-支持AI-abable攻擊者的嘗試。企業還需要捕獲和匯總在其公共領域和內部系統上的數據,並將可見性鞏固到整個客戶旅程中監視和警告的系統,從預先網絡控製到客戶入門,帳戶管理和交易。
- 這種合併包括來自安全性和網絡控制的數據,因為最弱的鏈接通常是新的Web和應用程序漏洞或通過網絡釣魚攻擊提供憑據的員工。將所有離線,在線,機器人,行為,生物識別,交易以及任何跨行業數據來源匯集在一起,將使公司能夠立即發現潛在的欺詐,減輕風險並確保其產品和服務的積極客戶體驗的早期信號。
儘管仍在廣泛使用生物識別AI欺詐行為,但現在是時候準備深層聲音,圖像和視頻攻擊了。對消費者進行教育,整合跨組織欺詐和身份保護過程,並將可見性集中到系統中,以監視和警告整個客戶旅程中對異常情況,這只是針對AI-支持AI-SABLED攻擊者的長期防禦策略的第一步。
關於作者
邁克·格羅斯(Mike Gross)是全球欺詐與身份集團應用欺詐研究與分析副總裁,這是experian'S軟件解決方案業務。他的重點領域包括欺詐分析,身份和支付身份驗證技術,戰略合作夥伴關係,了解新興的欺詐威脅以及優化欺詐績效策略。
免責聲明:生物識別更新的行業見解是提交的內容。這篇文章中表達的觀點是作者的觀點,不一定反映生物識別更新的觀點。
