根據麥肯錫研究所的數據,基於AI的身份欺詐已成爲美國增長最快的金融犯罪類型,並且在全球範圍內呈上升趨勢。英國GDG的研究表明,英國有超過860萬人使用虛假或他人的身份來獲取商品、服務或信貸。
美國財政部近日發佈在一份題爲《金融服務業中特定於人工智能的託管網絡安全風險》的報告中強調,AI的發展使網絡犯罪分子更容易使用深度僞造來冒充金融機構的客戶並訪問賬戶。報告說,“生成式人工智能可以幫助現有的威脅行爲者開發和試驗更復雜的惡意軟件,爲他們提供以前只有資源最豐富的行爲者才能使用的複雜攻擊能力。它還可以幫助技能較低的威脅行爲者開發簡單但有效的攻擊”。另據德勤的數據,91% 的網絡攻擊都是從網絡釣魚電子郵件開始的。
毫無疑問,在當今的數字環境中,AI已經改變了身份欺詐的性質。在主流情況下,AI對數字信任和誠信構成重大威脅,並有可能破壞客戶與金融機構之間的關係。
攻擊者常利用五類AI攻擊手段
AI 爲所有威脅行爲者提供了新工具,攻擊者正在使用 AI 來瞄準員工、創建網絡釣魚電子郵件、冒充供應鏈合作伙伴,現在還爲視頻會議創建深度僞造的首席財務官。頂象防禦雲業務安全中心分析發現,攻擊者基於AI如下5種類型,進行僞造數字身份、信用卡盜竊、僞造文件等金融欺詐。
1、AI克隆語音進行電話詐騙。攻擊者模仿公司高管或同事的聲音,要求受害人轉賬或提供賬號密碼,可能導致企業資金被盜或者敏感信息泄露,造成企業財務損失和聲譽受損。
2、AI換臉進行網絡會議、視頻通話。攻擊者通過僞造的身份進行遠程商務會議或視頻通話,要求受害人轉賬或提供賬號密碼,可能導致個人或企業的資金被盜,涉及重大合同或交易的信息泄露,進而影響商業利益和聲譽。
3、AI生成的虛假金融網站、山寨金融APP。受害者可能因誤以爲訪問的是合法金融機構網站或APP,而提供個人銀行賬戶信息或信用卡信息,從而導致資金被盜或者身份被盜用,造成鉅額財務損失和信用危機。
4、AI生成增強的網絡釣魚電子郵件。攻擊者利用AI生成更加逼真的電子郵件內容,更容易騙取受害者的信任,例如仿冒合法機構的郵件,要求受害者點擊惡意鏈接或下載附件,從而泄露敏感信息或者控制受害者的電腦,進而導致財務損失。
5、AI生成虛假圖文和視頻。虛假的金融信息可能在社交媒體、新聞網站等平臺上廣泛傳播,誤導消費者購買虛假理財產品或保險,從而導致投資損失或者購買了沒有保障的虛假保險,進而遭受重大財務損失。
這些欺詐手段帶來的金融風險是極其嚴重的,利用了人們對於身份認知和信息真實性的信任,從而導致了資金損失和個人信息泄露等問題。
金融機構的防禦措施
《“AI換臉”威脅研究與安全策略》 情報專刊認爲,要防範打擊AI欺詐,一方面需要有效識別檢測出AI僞造的內容,另一方面防範AI欺詐的利用和擴散。這不僅需要技術對策,更需要複雜的心理戰和公衆安全意識的提升。因此,企業需要加強數字身份識別、審查賬號的訪問權限,對數據收集最小化收集等。同時,加強員工關於如何發現AI威脅。
1、基於AI防範針對業務的欺詐活動。AI可以監控和分析從供應商交互到付款的各個方面的流程,實時提供風險評估和信任評分,併發出警報以警示潛在的欺詐行爲,同時無縫地集成到當前流程中。AI還能夠自動監控和分析大量的交易數據,使人類調查人員能夠更專注於實際的欺詐事件。這種自動化可以減少人工工作量,降低錯誤和欺詐的可能性,並保證更快的響應時間。通過實時分析收到的發票、新的供應商請求、電子郵件、文件和銀行對賬單,AI可以幫助預防欺詐,並檢測異常的通信模式、付款細節和文件結構。
2、搭建多渠道全場景多階段防護的安全體系。頂象最新升級的反欺詐技術與安全產品,能夠爲企業搭建一個多渠道全場景多階段的安全體系,系統對抗AI帶來新威脅,這其中包含保障App安全的App加固,防範AI的惡意註冊與登錄的無感驗證,識別AI僞造的設備的設備指紋,挖掘潛在欺詐威脅、防範AI複雜攻擊的Dinsight實時風控,攔截“AI換臉”攻擊的全鏈路全景式人臉安全威脅感知方案等。通過多渠道全場景多階段的安全體系,基於威脅感知、安全防護、數據沉澱、模型建設、策略共享等安全服務,能夠滿足不同業務場景,擁有各行業策略且能夠基於自身業務特點實現沉澱和更迭演進,實現平臺的精準防控,從而快速有效地應對 AI 攻擊,進行個性化防護。
3、加強身份驗證與保護。包括啓用多重身份驗證、對靜態和傳輸中的數據進行加密以及實施防火牆等。對賬號異地登錄、更換設備、更換手機號、休眠賬戶突然活躍等加強頻繁驗證,持久性檢查以確保用戶的身份在使用期間保持一致。對設備信息、地理位置以及行爲操作進行比對識別,能夠發現並防範異常操作。
4、加強賬號授權控制。基於最小權限原則限制對敏感系統和賬戶的訪問,確保訪問其角色所需的資源,從而減少賬戶被盜用的潛在影響,防止未經授權訪問您的系統和數據。
5、持續瞭解最新技術與威脅。儘可能隨時瞭解 AI 技術的最新發展,以相應地調整保障措施。對 AI 模型的持續研究、開發和更新對於在日益複雜的安全形勢中保持領先地位至關重要。
6、持續對員工進行安全教育培訓。持續進行 AI 技術及其相關風險的培訓,通過模擬攻擊、漏洞挖掘、安全培訓等,幫助員工識別和避免 AI 攻擊和其他社會工程風險,保持警惕並快速報告異常情況,顯著提高組織檢測和響應深度僞造威脅的能力。
要防範基於AI的威脅,一方面需要有效識別檢測出AI威脅,另一方面防範AI欺詐的利用和擴散。這不僅需要技術對策,更需要複雜的心理戰和公衆安全意識的提升。