Наступила новая эра кибермошенничества, где преступники могут ограбить банк, не выходя из дома.
Служба по борьбе с финансовыми преступлениями (FinCEN) выпустила предупреждение для финучреждений о новых схемах мошенничества, связанных с дипфейками.
С начала 2023 года и по настоящее время FinCEN наблюдает в отчетах финансовых организаций значительное увеличение числа сообщений о подозрительных действиях, связанных с дипфейками. Злоумышленники активно используют возможности генеративного искусственного интеллекта (GenAI) для подделки документов и обмана систем идентификации. Часто в таких случаях создаются поддельные удостоверения личности, что позволяет мошенникам обходить процедуры проверки и верификации клиентов.
Особое внимание FinCEN уделено тому, что дипфейк и сгенерированные изображения используются для обхода стандартных методов аутентификации. Например, преступники могут изменять или создавать фотографии для поддельных водительских удостоверений, паспортов и других документов, используя сочетание настоящих и фальшивых персональных данных (PII), чтобы создать так называемые «синтетические идентичности». Поддельные профили затем используются для открытия счетов и последующего проведения финансовых операций.
Как финансовые учреждения могут выявлять мошенничество
Для защиты от угроз FinCEN выделяет ряд индикаторов, которые могут помочь финансовым организациям в выявлении мошенничества с дипфейками:
FinCEN также предупреждает о риске использования дипфейков в схемах социальной инженерии. Например, преступники могут использовать поддельные голоса или видео, чтобы убедить сотрудников компаний перевести средства на мошеннические счета. В одном из известных случаев мошенники, имитируя голос топ-менеджера, добились перевода более $25 млн. на свои счета.
Рекомендации для защиты от угроз
FinCEN рекомендует финансовым учреждениям усилить меры безопасности и внедрить передовые методы аутентификации для противодействия дипфейк-атакам. К таким мерам относятся:
FinCEN также советует проводить регулярные тренировки и обновление знаний для сотрудников по выявлению признаков дипфейков и фишинговых атак. Кроме того, финучреждения должны учитывать риски, связанные с использованием сторонних провайдеров для проверки личности, и внедрять процессы управления рисками на всех этапах сотрудничества.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках