Генеративный ИИ повысит риск
банковских мошенничеств

В январе 2024 г. сотрудница гонконгской фирмы перевела $25 тыс. мошенникам после того, как ей велел это сделать финансовый директор по видеозвонку, в котором участвовали другие ее коллеги. Но оказалось, что ни с кем из этих людей она не разговаривала. Их внешность и голоса подделали мошенники, которые создали дипфейк, чтобы обманом заставить ее перевести деньги.

Вероятно, такие случаи в ближайшие годы будут происходить все чаще, так как злоумышленники находят и используют все более изощренные, но доступные по цене виды генеративного ИИ, чтобы обманывать банки и их клиентов. Центр финансовых услуг компании Deloitte прогнозирует, что из-за генеративного ИИ убытки от мошенничеств в США, в 2023 г. составившие $12,3 млрд, к 2027-му. могут достичь $40 млрд. Тогда среднегодовой темп роста этого показателя составит 32% (см. рис.).

Как генеративный ИИ делает совершение мошенничества намного проще и дешевле

По-видимому, генеративный ИИ предоставляет безграничные возможности для изобретения новых видов мошенничества против финансовых учреждений, их клиентов и для увеличения их масштабов. С их помощью преступник сможет сделать все, на что у него хватит фантазии.

В условиях удивительно быстрого развития инноваций банкам, возможно, придется побороться за свое превосходство над мошенниками. Ведь дипфейки, созданные с помощью генеративного ИИ, включают в себя «самообучающуюся» систему, которая постоянно проверяет и совершенствует свои возможности в области обмана компьютеризированных систем обнаружения противоправных действий.

В частности, благодаря доступности новых инструментов генеративного ИИ для злоумышленникам проще и дешевле создавать видеодипфейки, фальшивые голоса и поддельные документы. В теневом интернете уже существует целая кустарная индустрия по изготовлению мошеннического программного обеспечения, продающая его по цене от $20 до нескольких тысяч долларов США. Такая демократизация вредоносного ПО делает некоторые существующие средства борьбы с мошенничеством менее эффективными.

Поэтому неудивительно, что компании, предоставляющие финансовые услуги, особенно беспокоят мошенники, которые получают доступ к клиентским счетам с использованием генеративного ИИ. Согласно одному из отчетов, в 2023 г. в финансово-технологическом секторе инцидентов, связанных с дипфейками, стало на 700% больше. Одних только аудиодипфейков уже столько, что технологическая отрасль не успевает разрабатывать инструменты для выявления поддельного контента.

Некоторые виды мошенничества лучше приспособлены для использования ИИ, чем другие. Например, взлом деловой электронной почты — один из самых распространенных видов мошенничества — может привести к значительным денежным потерям, по данным Центра приема жалоб на мошенничества в интернете при ФБР (IC3 FBI), который следит за 26 категориями противоправных действий. Мошенники уже много лет взламывают учетные записи электронной почты частных лиц и предприятий с помощью социальной инженерии, чтобы осуществлять несанкционированные денежные переводы. Но с помощью генеративного ИИ злоумышленники могут совершать мошенничества в более крупных масштабах — атаковать одновременно несколько жертв, используя столько же или даже меньше ресурсов. Только в 2022 г. ФБР насчитало 21 832 случая мошенничества с использованием деловой электронной почты, ущерб от которых составил около $2,7 млрд. По оценкам Центра финансовых услуг Deloitte, при «агрессивном» сценарии внедрения генеративного ИИ потери от мошенничеств с электронной почтой могут составить около $11,5 млрд к 2027-му.

Банки уже несколько десятилетий находятся в авангарде использования инновационных технологий для борьбы с мошенничеством. Однако в отчете Казначейства США говорится, что «существующих систем управления рисками может оказаться недостаточно, чтобы охватить новые технологии искусственного интеллекта». Старые системы борьбы с киберпреступлениями требовали бизнес-правил и целого ряда принятия решений, а сегодня финансовые учреждения широко используют для обнаружения и предупреждения угроз и реагирования на них инструменты искусственного интеллекта и машинного обучения. Например, некоторые банки применяют ИИ, чтобы автоматизировать процессы, которые диагностируют мошенничества и направляют результаты расследования в соответствующие подразделения банка. Некоторые финансовые организации уже используют большие языковые модели для обнаружения признаков мошенничества. Например, JPMorgan использует такую модель для выявления взломов электронной почты. Аналогично, Mastercard предотвращает преступления с кредитными картами с помощью своего инструмента Decision Intelligence, который сканирует триллион единиц информации, чтобы проверить подлинность транзакции.

Как банки могут подготовиться к новой эре предотвращения мошенничества

Банки должны сосредоточить свои усилия на борьбе с мошенниками, использующими генеративный ИИ, чтобы сохранить конкурентное преимущество. Им нужно найти способы применения современных технологий в сочетании с человеческой интуицией, чтобы понять, как предотвращать атаки киберпреступников. Панацеи не существует, поэтому команды по борьбе с мошенничеством должны постоянно совершенствоваться в области самообучения, чтобы не отставать от злоумышленников. Чтобы создать надежную систему защиты банков от мошенничества, банкам необходимо пересмотреть свои стратегии, перестроить систему управления и перераспределить ресурсы.

При такой скорости технического прогресса финансовые организации не будут бороться с мошенничеством в одиночку. Они все чаще станут сотрудничать с третьими сторонами, разрабатывающими инструменты для противодействия злоумышленникам. Руководители банков могут объединиться, чтобы создать стратегию сотрудничества как внутри банковской отрасли, так и за ее пределами, чтобы действовать на опережение преступников, использующих генеративный ИИ. Для этого, скорее всего, потребуется совместная работа организаций банковской отрасли. При разработке стратегий банки должны сотрудничать с хорошо осведомленными и заслуживающими доверия сторонними поставщиками технологий. Это позволит заинтересованным сторонам распределить ответственность с учетом того, какую долю убытков от мошенничества будет нести каждая из них.

Клиенты тоже могут выступать в качестве партнеров, помогающих предотвратить потери от киберпреступлений. Но для отношений с клиентами может стать испытанием на прочность выяснение того, кто будет нести убытки от мошенничества, — клиенты или их финансовые учреждения. Клиенты, доверившие свои деньги банку, ожидают от него эффективности и безопасности, а высокотехнологичные дипфейки, созданные с использованием генеративного ИИ, могут привести к тому, что эти ожидания не оправдаются. У банка есть возможность повысить осведомленность клиентов о потенциальных рисках, а также о том, как организация управляет этими рисками. Для повышения осведомленности клиентов банкам, вероятно, потребуется чаще выходить с ними на связь — в частности, ввести в банковских приложениях пуш-уведомления, предупреждающие о возможных угрозах.

Регуляторы уделяют большое внимание перспективам использования ИИ в банковской отрасли и угрозам, которые он для нее создает. Банки должны активно участвовать в разработке новых отраслевых стандартов. Приводя разрабатываемые технологии в соответствие этим стандартам, они могут фиксировать информацию о своих процессах и системах на случай, если она понадобится регуляторам.

И наконец, банкам следует инвестировать в наем новых специалистов и обучение уже работающих сотрудников выявлению и пресечению мошенничеств, основанных на использовании ИИ, и составлению отчетов о них. От многих банков эти инвестиции потребуют больших затрат, на обоснование необходимости которых им придется потратить немало сил. В наше время некоторые руководители финансовых учреждений ставят на первое место управление расходами. Но чтобы сохранить превосходство над мошенниками, необходимо ставить на первое место всестороннее обучение. Банки также могут сосредоточиться на разработке нового программного обеспечения для обнаружения мошенничества, поручив ее штатным командам инженеров, сторонним поставщикам и сотрудникам, работающим по контракту. Это поможет сформировать культуру постоянного обучения и адаптации.

Ожидается, что генеративный ИИ значительно повысит угрозу мошенничеств, которые к 2027 г. могут нанести банкам и их клиентам убытки в размере до $40 млрд. Банки должны увеличить свои инвестиции в создание более гибких команд по борьбе с мошенничеством, чтобы внести свой вклад в оборону от этой нарастающей угрозы.

Об этом прогнозе

Наш прогноз использования генеративного ИИ киберпреступниками основан на исторических тенденциях и данных, полученных от специалистов Deloitte по работе c мошенничествами и рисками. Для каждого из 26 видов противоправных действий, отслеживаемых в отчете IC3 ФБР, мы оценили в баллах «риск использования генеративного ИИ с целью мошенничества». Мы определили ожидаемые темпы роста различных видов мошенничества до 2027 г. в соответствии с различными сценариями внедрения генеративного ИИ: консервативным, базовым и агрессивным. Допущения, использованные в прогнозе, основаны на нашем понимании отличий между различными видами мошенничества.