Бути на крок попереду: як фінтех-компанії та фінансові установи можуть перехитрити шахраїв

Розвиток нових технологій — особливо генеративного штучного інтелекту — дає зловмисникам більш просунуті високотехнологічні інструменти для реалізації складних планів шахрайства, але ці ж технології також можна використовувати для захисту фінансового сектора від шахраїв.

На жаль, шахрайство є повсюдною проблемою. У 2023 році 98% опитаних організацій повідомили, що стикалися з шахрайством , і майже 60% зазнали щонайменше півмільйона доларів збитків. Репутаційна шкода, втрата клієнтів і витрати на розслідування ускладнюють ці втрати.

Фінтех-компанії та фінансові установи повинні покращити свої стратегії безпеки, відстежуючи тенденції загроз і впроваджуючи надійні плани й інструменти запобігання, виявлення та пом’якшення.

Розумніші технології означають розумніші злочини Демократизація хакерських інструментів представляє тривожну реальність: бар’єр для проникнення шахрайства значно знизився. Доступні та легкодоступні ресурси, як-от онлайн-спільноти, готові набори для фішингу, зловмисне програмне забезпечення та інструменти для захоплення облікових записів, дають змогу навіть особам із обмеженими технічними знаннями організовувати складні шахрайства.

Зростаюча популярність інструментів цифрової конфіденційності, як-от приватний перегляд, VPN і налаштування захисту від відстеження, є двосічним мечем. Хоча ці інструменти можуть розширити можливості користувачів, дозволяючи їм залишатися анонімними в Інтернеті, ці технології також можуть полегшити зловмисникам приховування своїх слідів. Шахраї можуть уникнути виявлення, маскуючи IP-адреси, дані про місцезнаходження та іншу ідентифікаційну інформацію.

Generative AI надає можливість шахраям масштабувати свої злочини. Завдяки GenAI, зокрема великим мовним моделям (LLM), фішингові електронні листи перетворюються на реалістичні, персоналізовані повідомлення, які є набагато витонченішими та правдоподібнішими. GenAI може створювати величезну кількість цих повідомлень за лічені хвилини. Експерти з Perception Point звинувачують цю технологію у збільшенні атак Business Email Compromise , кількість яких зросла на 1760% у 2023 році.

Ще одна еволюція загроз, викликана GenAI, — це створення шкідливого коду. Ці моделі штучного інтелекту можуть автоматизувати написання коду, щоб злочинці могли створювати незліченну кількість варіацій зловмисного програмного забезпечення за частку часу, який знадобиться людині. Оскільки організації розробляють засоби захисту від конкретних загроз зловмисного програмного забезпечення, кіберзлочинці можуть швидко створювати нові варіанти. Деякі LLM навіть запрограмовані, щоб бути в курсі останніх методів програмування та заходів безпеки, щоб вони могли генерувати зловмисне програмне забезпечення, яке навмисно уникає виявлення, що ще більше ускладнює здатність програмного забезпечення безпеки виявляти та нейтралізувати ці загрози.

Реалістичні відео чи аудіозаписи, створені ШІ, відомі як дипфейки, також становлять значний ризик для фінансової індустрії. Шахраї можуть використовувати глибокі фейки, щоб видати себе за керівників, клієнтів, агентів служби підтримки чи навіть постачальників, намагаючись викрасти конфіденційні дані або поширити дезінформацію.

Боти на основі штучного інтелекту можуть очищати дані з різних джерел, дозволяючи їм імітувати шаблони людського спілкування, копіювати голоси для телефонного шахрайства або навіть створювати переконливі підроблені ідентифікатори в Інтернеті, дозволяючи злочинцям обходити традиційні заходи безпеки, засновані на ідентифікації шаблонів у поведінці людей. Автоматизація штучного інтелекту також може використовуватися для створення шахрайських запитів на відшкодування або скарг, що потенційно може призвести до фінансових втрат установ через повернення платежів.

Крім того, незважаючи на те, що відкриті банківські API, мобільні платежі та варіанти фінансування «Купи зараз, заплати пізніше» (BNPL) пропонують споживачам зручність і налаштування, вони також відкривають нові шляхи для шахраїв. Відкриті банківські API наражають споживачів на ризик шахрайського зв’язування облікових записів, коли встановлюються несанкціоновані з’єднання між фінансовими рахунками та сторонніми програмами. Провайдери BNPL стикаються з такими проблемами, як передача облікових даних і захоплення облікового запису, тоді як мобільні платежі створюють можливість несанкціонованого доступу до цифрових карток через фішингові шахрайства або витік даних.

Хоча багато організацій реагували на ці тенденції та загрози, що розвиваються, оновлюючи свою політику та практику, деякі компанії повільніше переходили до заходів безпеки, необхідних для боротьби з цими все більш витонченими тактиками шахрайства, що робить їх уразливими цілями.

Але є хороші новини: фінансові технології та фінансові установи можуть використовувати високотехнологічні інструменти для боротьби з шахрайством і бути на крок попереду шахраїв.

Боротьба з фінансовим шахрайством за допомогою інноваційних технологічних інструментів Боротьба з шахрайством вимагає кількох рівнів захисту. Поєднання наведених нижче підходів може допомогти пом’якшити широкий спектр загроз.

• Практики «Знай свого клієнта» (KYC). Правила KYC є важливою та обов’язковою лінією захисту для фінансових установ. Організації повинні перевіряти особу клієнта перед встановленням відносин і стежити за поведінкою клієнта на наявність потенційно ризикованих дій. Колись громіздкий процес, передові технології, такі як автоматичне створення звітів, моніторинг облікових записів і позначення підозрілої активності, допомагають спростити перевірку особи, забираючи менше ресурсів.

• Багатофакторна та двофакторна аутентифікація (MFA та 2FA) . MFA та 2FA виходять за рамки простого введення пароля. Щоб увійти, користувачі мають надати більше одного фактора підтвердження. Ці фактори можуть включати те, що ви знаєте (пароль, PIN-код), те, що у вас є (пристрій або маркер безпеки), або те, що ви є (відбиток пальця, розпізнавання обличчя). Цей додатковий рівень захисту ускладнює доступ зловмисників до облікового запису, навіть якщо вони мають пароль. Для дотримання стандартів безпеки MFA має бути обов’язковим для всіх рахунків у фінансових установах.

  
  

• Єдиний вхід (SSO). Ця техніка спрощує вхід, дозволяючи користувачам отримувати доступ до кількох облікових записів за допомогою одного імені користувача та пароля, усуваючи необхідність запам’ятовувати численні облікові дані для різних платформ. Крім того, SSO часто реалізує такі функції безпеки, як виявлення підозрілої активності та запити двофакторної автентифікації. SSO є цінним інструментом для фінансових установ для посилення внутрішньої безпеки додатків.

  
  

• Інтелект пристрою. Компанії використовують відбитки пальців пристрою для виявлення підозрілої активності входу. Цей метод призначає унікальний ідентифікатор пристрою користувача на основі таких факторів, як IP-адреса та роздільна здатність екрана. Технологія позначатиме підозрілу активність, як-от вхід одного пристрою з, здається, кількох місць, або повторні спроби входу. Крім того, перевірені користувачі відчувають плавний процес входу, тоді як нерозпізнані пристрої потребують додаткової перевірки.

  
  

  Методи аналізу пристрою розширюють відбитки пальців шляхом включення додаткових сигналів для створення більш точного та постійного ідентифікатора. Ці методи також виявляють ботоподібну поведінку, щоб ідентифікувати та запобігати зловмисній діяльності зловмисників.

  
  

• Системи моніторингу транзакцій. Системи моніторингу транзакцій у реальному часі виявляють потенційне шахрайство, коли це відбувається. Ці системи аналізують кожну транзакцію та шукають тривожні прапорці, як-от надзвичайно великі покупки, часта зміна даних облікового запису (паролю чи адреси) або великі обсяги відкликаних платежів. AI дозволяє цим системам швидко й ефективно аналізувати величезні обсяги даних, дозволяючи їм виявляти та запобігати шахрайству.

  
  

Культура безпеки Побудова внутрішньої культури, зосередженої на безпеці, допомагає організаціям протистояти загрозам. Ці практики включають:

• Регулярно заплановані оновлення безпеки та оцінки. Поєднання постійних оновлень безпеки та регулярних аудитів створює багаторівневий захист від складного шахрайства. Оновлення забезпечують оновлення систем і актуальність засобів захисту, а перевірки забезпечують виявлення та усунення вразливостей, перш ніж їх можна буде використати. Цей постійний цикл удосконалення допомагає фінансовим установам випереджати нові загрози та захищати конфіденційну інформацію та фінансові активи своїх клієнтів.

• Навчання співробітників. Людська помилка спричиняє майже 90% порушень безпеки, тому навчання персоналу тому, на що слід звернути увагу, має бути критично важливим для стратегії безпеки будь-якої організації. Навчання має охоплювати те, як розпізнавати підозрілі електронні листи та інші типи кореспонденції, давати огляд популярних схем шахрайства, пропонувати найкращі практики щодо надійних паролів і безпечного веб-перегляду, а також інші відповідні протоколи безпеки.

  
  

• Надійні внутрішні процеси. Надійні внутрішні процеси є наріжним каменем ефективного запобігання шахрайству в організаціях, включаючи встановлення чітких протоколів інформування для співробітників, які підозрюють шахрайство або занепокоєння безпекою, і розширення можливостей працівників бути першою лінією захисту, зберігаючи відкриті лінії зв’язку. Автоматизація таких рутинних завдань, як обробка рахунків-фактур і платежів, мінімізує ймовірність людських помилок або маніпуляцій, що є поширеною точкою входу для шахрайства. Автоматичні системи також можна запрограмувати на встановлення лімітів витрат і дотримання встановленої ієрархії схвалення, зменшуючи можливості для того, щоб шахрайська діяльність залишилася непоміченою.

  
  

Перспективне фінансування: ключові висновки

Боротьба з фінансовим шахрайством триває, і фінтех-компанії та фінансові установи повинні бути активними, а не реагувати. Розуміння не лише поточних загроз, але й нових тенденцій має вирішальне значення для побудови довгострокової оборонної стратегії.

Надійна програма запобігання шахрайству вимагає багаторівневого підходу. Інвестування в передові рішення дозволяє установам бути на крок попереду досвідчених шахраїв. Це включає впровадження нових технологій, таких як ШІ та машинне навчання, щоб виявляти та запобігати шахрайству.

Але одних лише технологій недостатньо. Не менш важливо розвивати культуру безпеки. Заохочення пильності співробітників і впровадження чітких протоколів безпеки дають змогу кожному в організації бути частиною рішення. Поєднуючи передові інструменти з культурою безпеки, фінтех-компанії та фінансові установи можуть значно мінімізувати вплив шахрайства та захистити як своїх клієнтів, так і свій бізнес.

Про автора

Ден Пінто є генеральним директором і співзасновником Fingerprint і має більш ніж десятирічний досвід у сфері технологій. Він розпочав свою кар’єру в розробці програмного забезпечення, де зацікавився створенням ботів, але швидко переключив увагу на підприємництво. Ден заснував багато невеликих стартапів, включаючи магазини eBay, технічний блог і навіть форум телешоу.

У 2014 році Ден став співзасновником Machinio, пошукової системи вживаного обладнання, яку згодом придбала NASDAQ:LQDT у 2018 році. Після цього успіху він став співзасновником Fingerprint, найточнішого ідентифікатора пристроїв у світі, який залучив понад 77 мільйонів доларів. з моменту першого раунду фінансування у 2020 році. На даний момент у Fingerprint працює понад 100 людей, які займаються вирішенням складної проблеми онлайн-шахрайства.

Коли він не зайнятий будівництвом компаній, Ден любить проводити час із сім’єю — він живе в Чикаго з дружиною та сином.