בינה מלאכותית (AI) משנה את עולמנו בדרכים צפויות ובלתי צפויות. עבור הצרכנים, הטכנולוגיה פירושה תוכן דיגיטלי מותאם אישית בצורה מדויקת יותר, אבחון טוב יותר של שירותי בריאות, תרגום שפה בזמן אמת כדי לעזור בחופשה, ועוזרי AI גנרטיביים לשיפור הפרודוקטיביות בעבודה. אבל AI משמש גם כדי לעזור לפושעי סייבר להיות פרודוקטיביים יותר, במיוחד כשמדובר בהונאות זהות - סוג ההונאה הנפוץ ביותר כיום.
אז איך הונאה מבוססת בינה מלאכותית עובדת ומה אפשר לעשות כדי להישאר בטוחים?
כיצד פועלת הונאת זהויות מבוססת בינה מלאכותית?
הונאת זהות מתייחסת לשימוש במידע המאפשר זיהוי אישי (PII) במטרה לבצע פשע, כמו למשל צבירת חוב בכרטיס אשראי על שמך, או גישה לבנק או לחשבון אחר. על פי אחת ההערכות, הונאות מבוססות בינה מלאכותית מהוות כיום יותר מ-43% מכלל ניסיונות ההונאה שתועדו על ידי המגזר הפיננסי והתשלומים. כמעט 29% מהניסיונות הללו נחשבים מוצלחים.
אז איך AI עוזר לפושעי הסייבר?
אנחנו בחברת אבטחת המידע ESET מדגישים את הטקטיקות הבאות:
השתלטות על חשבונות Deepfake (ATOs) ויצירת חשבונות: נוכלים משתמשים בתמונות שמע ווידאו של משתמשים לגיטימיים כדי לעקוף את בדיקות הכר את הלקוח (KYC) המשמשות חברות שירותים פיננסיים כדי לאמת שהלקוחות הם מי שהם אומרים שהם. תמונה או סרטון שלך נלקחים מהאינטרנט ומוזנים לכלי דיפ-פייק או בינה מלאכותית גנרטיבית. לאחר מכן הוא מוכנס לזרם הנתונים בין המשתמש לספק השירות במה שמכונה התקפות הזרקה שנועדו להטעות את מערכות האימות. דו"ח אחד טוען כי דיפ-פייק אחראי כיום לרבע (24%) מניסיונות ההונאה לעבור בדיקות ביומטריות מבוססות תנועה ול-5% מהבדיקות הסטטיות המבוססות על סלפי.
זיוף מסמכים: הייתה תקופה שבה נוכלים השתמשו בזיופי מסמכים פיזיים כמו דפי דרכון מזויפים, כדי לפתוח חשבונות חדשים על שמם של קורבנות. עם זאת, סביר יותר שהם יעשו זאת כיום באופן דיגיטלי. דו"ח אחד טוען כי זיופים דיגיטליים מהווים יותר מ-57% מכלל הונאות המסמכים – עלייה שנתית של 244%. נוכלים בדרך כלל ייגשו לתבניות מסמכים באופן מקוון או יורידו תמונות מסמכים שנגנבו בפרצות נתונים ולאחר מכן ישנו את הפרטים ב-Photoshop. כלי Generative AI (GenAI) עוזרים להם לעשות זאת במהירות ובקנה מידה גדול יותר.
הונאה סינתטית: זה המקום שבו הרמאים יוצרים זהויות חדשות על ידי שילוב PII אמיתי (גנוב) ומומצא כדי ליצור זהות חדשה לחלוטין (סינתטית), או יוצרים זהות חדשה באמצעות נתונים מפוברקים בלבד. זה משמש לאחר מכן כדי לפתוח חשבונות חדשים בבנקים וחברות כרטיסי אשראי, למשל. זיוף מסמכים ודיפ-פייק יכולים להיות משולבים עם זהויות אלה כדי להגדיל את סיכויי ההצלחה של הרמאים. על פי דו"ח אחד, 76% ממומחי ההונאה והסיכונים בארה"ב חושבים שלארגון שלהם יש לקוחות סינתטיים. להערכתם, סוג זה של הונאה זינק ב-17% מדי שנה.
לפעמים, וידאו או אודיו מזויפים יכולים לשמש בהונאות שמרמים אפילו את האנשים היקרים לקורבן. טקטיקה אחת נקראת חטיפה וירטואלית, שבה קרובי משפחה מקבלים שיחת טלפון מגורם זר שטוען שחטף אותך. הם מנגנים אודיו דיפ-פייק של קולך להוכחה ואז דורשים כופר. GenAI יכול גם להשתמש במאמצים אלה כדי לעזור לנוכלים למצוא קורבן סביר.
מילוי אישורים (עבור ATO): מילוי אישורים כרוך בשימוש בכניסות גנובות בניסיונות אוטומטיים לגשת לחשבונות אחרים שייתכן שהשתמשת בהם באותו שם משתמש וסיסמה. כלים המופעלים על ידי בינה מלאכותית יכולים ליצור במהירות רשימות אישורים אלה ממקורות נתונים מרובים, ולסייע בקנה מידה של התקפות. והם יכולים לשמש גם כדי לחקות במדויק התנהגות אנושית בעת כניסה, על מנת להערים על מסננים הגנתיים.
מה ההשפעה של הונאות מבוססות בינה מלאכותית?
הונאה רחוקה מלהיות פשע ללא קורבנות. למעשה, הונאה המבוססת על בינה מלאכותית יכולה:
לגרום למצוקה רגשית גדולה עבור האדם שמרומה. דו"ח אחד טוען כי 16% מהקורבנות שקלו התאבדות כתוצאה מהונאת זהות.
להגדיל את הסיכוי שהונאות יצליחו, וכך לנגוס ברווחי החברות, מה שמאלץ אותן להעלות המחירים לכולם.
להשפיע על הכלכלה הלאומית. רווחים נמוכים יותר פירושם תקבולי מס נמוכים יותר, אשר בתורו אומר פחות מזומנים להוציא על שירותים ציבוריים, לפגוע באמון הציבור בשלטון החוק ואפילו בדמוקרטיה.
לערער את האמון העסקי, מה שעלול להוביל לרמות נמוכות יותר של השקעות במדינה.
כיצד להגן על הזהות מפני הונאות המבוססות על בינה מלאכותית
כדי להילחם בשימוש ההתקפי בבינה מלאכותית נגדם, ארגונים פונים יותר ויותר לכלי AI הגנתיים כדי לזהות את הסימנים המעידים על הונאה. אבל מה אפשר לעשות? אולי האסטרטגיה היעילה ביותר היא למזער את ההזדמנויות עבור תוקפים להשיג את הנתונים האישיים שלכם מלכתחילה. זה אומר:
• אל תשתפו מידע יתר על המידה במדיה החברתית ותגבילו את הגדרות הפרטיות
• שימו לב לפישינג: בדוק את הדומיינים של השולח, חפשו שגיאות הקלדה ודקדוק, ולעולם אל תקליקו על קישורים או תפתחו
קבצים מצורפים בהודעות דוא"ל לא רצויות
• הפעילו אימות רב-שלבי (MFA) בכל החשבונות
• השתמשו תמיד בסיסמאות חזקות וייחודיות המאוחסנות במנהל סיסמאות
• הקפידו על תוכנות מעודכנות בכל המחשבים והמכשירים הניידים
• עקבו אחר חשבונות בנק וכרטיסים, ובדקו באופן קבוע האם קיימת פעילות חשודה וסיגרו חשבונות באופן מיידי אם משהו לא נראה בסדר.
• השתמשו באבטחה רב-שכבתית מספק בעל מוניטין בכל המכשירים
הונאות מבוססות בינה מלאכותית ימשיכו לגדול ככל שהטכנולוגיה תהיה זולה ויעילה יותר. בזמן שמירוץ החימוש הקיברנטי החדש הזה מתנהל בין מגיני הרשת הארגונית לבין יריביהם, הצרכנים הם אלה שייתפסו באמצע. ודאו שאתם לא הבאים בתור.