Pananatiling Isang Hakbang: Paano Magagawa ng mga Fintech at Mga Institusyong Pananalapi ang mga Manloloko

Ang pagbuo ng mga bagong teknolohiya — lalo na ang generative AI — ay nagbibigay sa mga masasamang aktor ng mas advanced, high-tech na mga tool upang magsagawa ng mga kumplikadong plano sa pandaraya, ngunit ang parehong mga teknolohiyang iyon ay maaari ding gamitin upang protektahan ang sektor ng pananalapi mula sa mga manloloko.

Sa kasamaang palad, ang pandaraya ay isang problema sa lahat ng dako. Noong 2023, 98% ng mga na-survey na organisasyon ang nag-ulat na nakakaranas ng panloloko , at halos 60% ay dumanas ng hindi bababa sa kalahating milyong dolyar sa pagkalugi. Ang pinsala sa reputasyon, nawalang mga customer, at mga gastos sa pagsisiyasat ay pinagsama ang mga pagkalugi na ito.

Dapat pahusayin ng mga Fintech at institusyong pampinansyal ang kanilang mga diskarte sa seguridad sa pamamagitan ng pagsubaybay sa mga uso sa pagbabanta at pagpapatupad ng matatag na mga plano at tool sa pag-iwas, pagtuklas, at pagpapagaan.

Ang mas matalinong teknolohiya ay nangangahulugan ng mas matalinong mga krimen Ang demokratisasyon ng mga tool sa pag-hack ay nagpapakita ng isang nakakabahalang katotohanan: ang hadlang sa pagpasok para sa pandaraya ay makabuluhang nabawasan. Ang abot-kaya at madaling magagamit na mga mapagkukunan, tulad ng mga online na komunidad, mga pre-built na phishing kit, at malware at mga tool sa pagkuha ng account, ay nagbibigay ng kapangyarihan kahit na ang mga indibidwal na may limitadong teknikal na kaalaman upang ayusin ang mga kumplikadong scam.

Ang lumalagong katanyagan ng mga digital privacy tool tulad ng pribadong pagba-browse, VPN, at mga setting ng anti-tracking ay isang tabak na may dalawang talim. Bagama't ang mga tool na ito ay maaaring magbigay ng kapangyarihan sa mga user sa pamamagitan ng pagpapahintulot sa kanila na manatiling anonymous online, ang mga teknolohiyang ito ay maaari ring gawing mas madali para sa mga malisyosong aktor na itago ang kanilang mga track. Maaaring iwasan ng mga manloloko ang pagtuklas sa pamamagitan ng pag-mask sa mga IP address, data ng lokasyon, at iba pang impormasyon sa pagkakakilanlan.

Ang Generative AI ay nagbibigay ng mga pagkakataon para sa mga manloloko na palakihin ang kanilang mga krimen. Sa GenAI, partikular na ang mga large language models (LLM), ang mga phishing na email ay itinataas mula sa plain text na may matingkad na mga typo at stilted na English tungo sa makatotohanan, personalized na mga mensahe na mas pino at kapani-paniwala. Magagawa ng GenAI ang napakaraming mga mensaheng ito sa loob lamang ng ilang minuto. Sinisisi ng mga eksperto mula sa Perception Point ang teknolohiya para sa pagtaas ng mga pag-atake sa Business Email Compromise , na tumaas ng 1,760% noong 2023.

Ang isa pang ebolusyon ng pagbabanta na dulot ng GenAI ay ang paggawa ng malisyosong code. Ang mga modelong AI na ito ay maaaring mag-automate ng pagsusulat ng code upang ang mga kriminal ay makagawa ng hindi mabilang na mga variation ng malware sa isang bahagi ng oras na kakailanganin ng isang tao. Habang bumubuo ang mga organisasyon ng mga depensa laban sa mga partikular na banta ng malware, mabilis na makakagawa ang mga cybercriminal ng mga bagong variant. Ang ilang mga LLM ay na-program pa nga upang manatiling abreast sa pinakabagong mga diskarte sa programming at mga hakbang sa seguridad upang makabuo sila ng malware na sadyang umiiwas sa pagtuklas, na lalong humahamon sa kakayahan ng software ng seguridad na kilalanin at i-neutralize ang mga banta na ito.

Ang makatotohanang AI-generated na mga video o audio recording, na kilala bilang deepfakes, ay nagdudulot din ng malaking panganib sa industriya ng pananalapi. Maaaring gumamit ng mga deepfakes ang mga manloloko upang magpanggap bilang mga executive, customer, ahente ng suporta, o kahit na mga vendor sa pagtatangkang magnakaw ng sensitibong data o magpakalat ng maling impormasyon.

Ang mga bot na pinapagana ng AI ay maaaring mag-scrape ng data mula sa iba't ibang mga mapagkukunan, na nagbibigay-daan sa kanila na gayahin ang mga pattern ng komunikasyon ng tao, mag-replicate ng mga boses para sa mga scam sa telepono, o kahit na lumikha ng mga nakakumbinsi na pekeng online na pagkakakilanlan, na nagpapahintulot sa mga kriminal na laktawan ang mga tradisyonal na hakbang sa seguridad na binuo sa pagtukoy ng mga pattern sa pag-uugali ng tao. Maaari ding gamitin ang AI automation para makabuo ng mga mapanlinlang na kahilingan sa refund o reklamo, na posibleng humantong sa mga pagkalugi sa pananalapi para sa mga institusyon sa pamamagitan ng mga chargeback.

Bukod pa rito, habang nag-aalok ang mga open banking API, mga pagbabayad sa mobile, at Buy Now, Pay Later (BNPL) na mga opsyon sa financing sa mga consumer ng kaginhawahan at pag-customize, nagpapakilala rin sila ng mga bagong paraan para sa mga manloloko. Inilalantad ng mga open banking API ang mga consumer sa panganib ng mapanlinlang na pag-link ng account, kung saan ang mga hindi awtorisadong koneksyon ay ginagawa sa pagitan ng mga financial account at mga third-party na application. Ang mga provider ng BNPL ay nahaharap sa mga hamon tulad ng pagpupuno ng kredensyal at pagkuha ng account, habang ipinakikilala ng mga pagbabayad sa mobile ang posibilidad ng hindi awtorisadong pag-access sa mga digital card sa pamamagitan ng mga phishing scam o mga paglabag sa data.

Bagama't maraming organisasyon ang tumugon sa mga umuusbong na uso at banta na ito sa pamamagitan ng pag-update ng kanilang mga patakaran at kagawian, ang ilang kumpanya ay naging mas mabagal na mag-upgrade sa mga hakbang sa seguridad na kinakailangan upang labanan ang mga lalong sopistikadong taktika ng panloloko, na ginagawa silang mga bulnerableng target.

Ngunit may magandang balita: Maaaring gamitin ng mga Fintech at institusyong pampinansyal ang mga high-tech na tool upang labanan ang panloloko at manatiling isang hakbang sa unahan ng mga manloloko.

Ang paglaban sa pandaraya sa pananalapi gamit ang mga makabagong tech na tool Ang paglaban sa pandaraya ay nangangailangan ng maraming layer ng depensa. Ang kumbinasyon ng mga sumusunod na diskarte ay makakatulong na mabawasan ang iba't ibang uri ng banta.

• Mga kasanayang Alamin ang Iyong Customer (KYC). Ang mga regulasyon ng KYC ay isang kritikal at mandatoryong linya ng depensa para sa mga institusyong pinansyal. Dapat i-verify ng mga organisasyon ang pagkakakilanlan ng isang customer bago magtatag ng isang relasyon at subaybayan ang gawi ng customer para sa mga potensyal na peligrosong aktibidad. Sa sandaling isang masalimuot na proseso, ang mga makabagong teknolohiya tulad ng awtomatikong pagbuo ng ulat, pagsubaybay sa account, at pag-flag ng kahina-hinalang aktibidad ay nakakatulong na pasimplehin ang pag-verify ng pagkakakilanlan habang kumukuha ng mas kaunting mapagkukunan.

• Multifactor at two-factor authentication (MFA at 2FA) . Ang MFA at 2FA ay higit pa sa paglalagay ng password. Ang mga user ay kailangang magbigay ng higit sa isang verification factor para makapag-log in. Ang mga salik na ito ay maaaring kabilang ang isang bagay na alam mo (password, PIN), isang bagay na mayroon ka (device o security token), o isang bagay na ikaw ay (fingerprint, facial recognition). Ang karagdagang layer ng proteksyon na ito ay ginagawang mas mahirap para sa mga masasamang aktor na ma-access ang isang account, kahit na mayroon sila ng password. Upang itaguyod ang mga pamantayan sa seguridad, dapat kailanganin ang MFA para sa lahat ng account sa mga institusyong pampinansyal.

  
  

• Single Sign On (SSO). Pinapasimple ng diskarteng ito ang mga pag-log in sa pamamagitan ng pagbibigay-daan sa mga user na mag-access ng maraming account na may iisang username at password, na inaalis ang pangangailangang matandaan ang maraming kredensyal para sa iba't ibang platform. Bukod pa rito, madalas na ipinapatupad ng SSO ang mga feature ng seguridad tulad ng pag-detect ng kahina-hinalang aktibidad at mga prompt ng two-factor authentication. Ang SSO ay isang mahalagang tool para sa mga institusyong pampinansyal upang palakasin ang panloob na seguridad ng aplikasyon.

  
  

• Intelligence ng device. Gumagamit ang mga kumpanya ng fingerprinting ng device para matukoy ang kahina-hinalang aktibidad sa pag-log in. Ang diskarteng ito ay nagtatalaga ng natatanging ID sa device ng isang user batay sa mga salik tulad ng IP address at resolution ng screen. I-flag ng teknolohiya ang kahina-hinalang aktibidad, tulad ng isang device na nagla-log in mula sa kung ano ang mukhang maraming lokasyon o paulit-ulit na pagtatangka sa pag-log in. Bukod pa rito, ang mga na-verify na user ay nakakaranas ng maayos na proseso ng pag-log in, habang ang mga hindi nakikilalang device ay nangangailangan ng karagdagang pag-verify.

  
  

  Ang mga pamamaraan ng intelligence ng device ay lumalawak sa fingerprinting sa pamamagitan ng pagsasama ng mga karagdagang signal upang makabuo ng mas tumpak at patuloy na pagkakakilanlan. Nakikita rin ng mga diskarteng ito ang pag-uugaling tulad ng bot upang matukoy at maiwasan ang malisyosong aktibidad mula sa masasamang aktor.

  
  

• Mga sistema ng pagsubaybay sa transaksyon. Tinutukoy ng mga real-time na sistema ng pagsubaybay sa transaksyon ang potensyal na panloloko habang nangyayari ito. Sinusuri ng mga system na ito ang bawat transaksyon at naghahanap ng mga pulang flag tulad ng hindi pangkaraniwang malalaking pagbili, madalas na pagbabago sa mga detalye ng account (password o address), o mataas na dami ng chargeback. Binibigyang-daan ng AI ang mga system na ito na suriin ang napakaraming data nang mabilis at mahusay, na nagbibigay-daan sa kanila na makilala at maiwasan ang mapanlinlang na aktibidad.

  
  

Isang kultura ng seguridad Ang pagbuo ng isang panloob na kultura na nakasentro sa seguridad ay tumutulong sa mga organisasyon na makayanan ang mga pagbabanta. Kasama sa mga kasanayang ito ang:

• Regular na nakaiskedyul na mga update sa seguridad at pagtatasa. Ang kumbinasyon ng pare-parehong mga update sa seguridad at regular na pag-audit ay lumilikha ng isang multi-layered na depensa laban sa sopistikadong pandaraya. Pinapanatili ng mga pag-update ang mga system na naka-patch at napapanahon ang mga depensa, habang tinitiyak ng mga pag-audit na ang mga kahinaan ay natutukoy at natugunan bago sila mapagsamantalahan. Ang tuluy-tuloy na cycle ng pagpapabuti na ito ay tumutulong sa mga institusyong pampinansyal na manatiling nangunguna sa mga umuusbong na pagbabanta at protektahan ang sensitibong impormasyon at mga pinansyal na asset ng kanilang mga customer.

• Edukasyon ng empleyado. Ang pagkakamali ng tao ay nagdudulot ng halos 90% ng mga paglabag sa seguridad, kaya ang pagtitiyak na ang mga kawani ay sinanay sa kung ano ang dapat abangan ay dapat maging kritikal sa diskarte sa seguridad ng anumang organisasyon. Dapat saklaw ng pagsasanay kung paano makilala ang mga kahina-hinalang email at iba pang uri ng sulat, magbigay ng pangkalahatang-ideya ng mga nagte-trend na scheme ng pandaraya, mag-alok ng pinakamahuhusay na kagawian para sa malalakas na password at ligtas na pagba-browse sa web, at iba pang nauugnay na mga protocol ng seguridad.

  
  

• Matatag na mga panloob na proseso. Ang malalakas na internal na proseso ay ang pundasyon ng epektibong pag-iwas sa panloloko sa loob ng mga organisasyon, kabilang ang pagtatatag ng malinaw na mga protocol ng whistleblower para sa mga empleyadong naghihinala ng panloloko o mga alalahanin sa seguridad, at pagbibigay kapangyarihan sa mga empleyado na maging unang linya ng depensa habang pinapanatili ang bukas na linya ng komunikasyon. Ang pag-automate ng mga nakagawiang gawain tulad ng pagpoproseso ng invoice at mga pagbabayad ay pinapaliit ang potensyal para sa pagkakamali ng tao o pagmamanipula, isang karaniwang entry point para sa panloloko. Ang mga automated system ay maaari ding i-program upang ipatupad ang mga limitasyon sa paggastos at sumunod sa mga itinatag na hierarchy ng pag-apruba, na binabawasan ang mga pagkakataon para sa mapanlinlang na aktibidad upang hindi matukoy.

  
  

Pananalapi na nagpapatunay sa hinaharap: Mga pangunahing takeaway

Ang paglaban sa pandaraya sa pananalapi ay patuloy, at ang mga kumpanya ng fintech at mga institusyong pampinansyal ay dapat na maagap, hindi reaktibo. Ang pag-unawa hindi lamang sa mga kasalukuyang banta kundi pati na rin sa mga umuusbong na uso ay mahalaga para sa pagbuo ng pangmatagalang diskarte sa pagtatanggol.

Ang isang matatag na programa sa pag-iwas sa panloloko ay nangangailangan ng isang multi-layered na diskarte. Ang pamumuhunan sa mga makabagong solusyon ay nagbibigay-daan sa mga institusyon na manatiling isang hakbang sa unahan ng mga sopistikadong manloloko. Kabilang dito ang pagtanggap ng mga bagong teknolohiya tulad ng AI at machine learning para matukoy at maiwasan ang mapanlinlang na aktibidad.

Ngunit ang teknolohiya lamang ay hindi sapat. Ang paglinang ng kulturang may kamalayan sa seguridad ay pare-parehong mahalaga. Ang paghikayat sa pagbabantay ng empleyado at pagpapatupad ng malinaw na mga protocol ng seguridad ay nagbibigay ng kapangyarihan sa lahat sa loob ng organisasyon na maging bahagi ng solusyon. Sa pamamagitan ng pagsasama-sama ng mga advanced na tool sa kulturang nakatuon sa seguridad, ang mga kumpanya ng fintech at mga institusyong pampinansyal ay maaaring makabuluhang bawasan ang epekto ng panloloko at maprotektahan ang kanilang mga customer at ang kanilang negosyo.

Tungkol sa May-akda

Si Dan Pinto ay CEO at co-founder ng Fingerprint at nagdadala ng higit sa isang dekada ng karanasan sa tech. Sinimulan niya ang kanyang karera sa software engineering, kung saan nagkaroon siya ng interes sa paglikha ng mga bot, ngunit mabilis na inilipat ang kanyang pagtuon sa entrepreneurship. Nagtatag si Dan ng maraming maliliit na startup, kabilang ang mga tindahan ng eBay, isang tech na blog, at kahit isang forum para sa mga palabas sa TV.

Noong 2014, itinatag ni Dan ang Machinio, isang search engine para sa mga ginamit na makinarya, na kalaunan ay nakuha ng NASDAQ:LQDT noong 2018. Pagkatapos ng tagumpay na ito, siya ang nagtatag ng Fingerprint, ang pinakatumpak na device identifier sa mundo, na nakalikom ng mahigit $77 milyon mula noong unang round ng pagpopondo noong 2020. Kasalukuyang gumagamit ang Fingerprint ng mahigit 100 tao at nakatuon ito sa paglutas sa kumplikadong isyu ng online na panloloko.

Kapag hindi siya abala sa pagbuo ng mga kumpanya, nasisiyahan si Dan na gumugol ng oras kasama ang kanyang pamilya — nakatira siya sa Chicago kasama ang kanyang asawa at anak.