AI 驱动的欺骗：企业欺诈的新面貌

快速阅读: 据《我们生活安全》最新报道，人工智能（AI）不仅助力企业提高效率，也正被犯罪分子滥用，引发更复杂的欺诈威胁。网络犯罪分子利用AI和深度伪造技术实施假员工渗透、新型商业邮件诈骗和身份验证绕过等行为。为应对这些挑战，企业需采取多层次响应策略，包括定期评估欺诈风险、更新反欺诈政策、培训员工和客户，以及加强技术防护措施。

人工智能（AI）正在为许多企业创造奇迹。它帮助企业自动化重复性任务以提高效率和降低成本。它还提升了客户服务和编程能力。并且它有助于揭示见解，推动改进业务决策。早在2023年10月，Gartner预计，55%的组织正处于生成式AI（生成式AI）的试点或生产模式。这个数字现在无疑会更高。然而，犯罪企业也在利用这项技术，这给IT和商业领袖带来了坏消息。要应对这一日益严重的欺诈威胁，你需要一个多层次的响应，重点在于人员、流程和技术。

最新的AI和深度伪造威胁是什么？网络犯罪分子正在以多种方式利用AI和深度伪造的力量。包括：

假员工：数百家公司被伪装成远程工作的IT自由职业者的朝鲜人渗透。他们使用AI工具制作假简历和伪造文件，包括AI篡改的图像，以通过背景调查。目的是赚取资金支持朝鲜政权，并进行数据盗窃、间谍活动甚至勒索软件攻击。

新型商业邮件诈骗（BEC）骗局：利用深度伪造音频和视频片段放大商业邮件诈骗（BEC），诱使财务人员将公司资金转入骗子账户。这并非新鲜事——早在2019年，一位英国能源高管就被深度伪造的老板电话骗走20万英镑。

身份验证绕过：深度伪造被用于帮助骗子冒充合法客户，创建新身份，并绕过账户创建和登录时的身份验证。一种名为“GoldPickaxe”的复杂恶意软件专门用于收集面部识别数据，进而生成深度伪造视频。据报道，去年全球新开设的数字账户中有13.5%涉嫌欺诈。

网络犯罪分子也可能以非定向方式使用深度伪造，比如在社交媒体上冒充公司CEO或其他知名人物，以进一步推动投资和其他骗局。正如ESET的杰克·摩尔所展示的，理论上任何公司领导都可能成为此类攻击的目标。同样地，根据ESET最新威胁报告，网络犯罪分子正利用深度伪造和带有公司品牌的社交媒体帖子诱骗受害者参与一种新的投资欺诈，称为诺马尼（Nomani）。

AI算法可以被设定为破解客户和员工的密码，从而导致数据盗窃、勒索软件和大规模身份欺诈。例如，PassGAN据说能在不到半分钟内破解密码。AI生成或修改的文件是绕过银行及其他公司客户身份识别（KYC）检查的另一种手段。几乎所有理赔处理者（94%）认为至少5%的索赔涉及AI操纵，尤其是低价值索赔。英国国家网络安全中心（NCSC）警告称，网络犯罪分子从生成式和其他AI技术中获益。它声称，该技术“几乎肯定在未来两年内增加网络攻击数量并加剧其影响”。这将显著提升社会工程和目标侦察的效果。这将促进勒索软件攻击、数据盗窃以及广泛的客户网络钓鱼。

AI驱动的欺诈最终会导致不同程度的财务和声誉损失。据一项报告估计，过去一年因欺诈损失的收入中有38%是AI驱动的欺诈所致。考虑一下：KYC绕过让欺诈者积累信用并耗尽合法客户的资金。假员工可能窃取敏感的知识产权和受监管的客户信息，引发财务、声誉和合规问题。该类别的网络犯罪分子在2023年一年就获利超过29亿美元。三分之一的客户表示，一次糟糕的经历就可能让他们放弃喜爱的品牌。

对抗AI驱动欺诈激增需要多层响应，重点在于人员、流程和技术。这应包括：

– 定期的欺诈风险评估
– 更新反欺诈政策以适应AI环境
– 对员工进行全面培训和意识提升（例如，如何识别网络钓鱼和深度伪造）
– 对客户进行教育和提升意识
– 为所有敏感公司账户和客户启用多因素认证（MFA）
– 改进员工背景调查，如扫描简历中的职业不一致
– 确保所有员工在录用前接受视频面试
– 加强人力资源与网络安全团队间的协作

AI技术也可以在这场战斗中发挥作用，例如：

– 用于在KYC检查中检测深度伪造的AI工具
– 机器学习算法用于检测员工和客户数据中的可疑行为模式
– 生成式AI用于生成合成数据，以开发、测试和训练新的欺诈模型

随着恶意和有益AI之间的战斗进入一个新的激烈阶段，组织必须更新其网络安全和反欺诈政策，以确保跟上不断演变的威胁形势。鉴于如此多的因素，未能做到这一点可能会影响长期的客户忠诚度、品牌价值，甚至阻碍重要的数字化转型计划。AI有可能改变对手的游戏规则。但它也可以为企业安全和风险团队带来改变。

(以上内容均由Ai生成)