Мошенники используют ИИ. Они обманывают людей, подделывая внешность и голос

Клонировать человеческий голос становится все проще. Стоит мошеннику загрузить короткий образец аудиоролика из сообщения в социальной сети или голосовой почты (всего 30 секунд), и он может использовать инструменты синтеза голоса с помощью искусственного интеллекта. Их легко найти в интернете, и в кратчайшие сроки у мошенника есть все необходимое.

 

Кроме того, публичные аккаунты в социальных сетях дают много информации о людях. Нетрудно выяснить, с кем человек состоит в родстве, какие у него друзья, где он живет и работает. По данным Bloomberg, руководители банков отмечают, что мошенники, ведущие свою деятельность как бизнес, терпеливы и иногда планируют атаки за несколько месяцев.

 

Более того, некоторые аферы могут быть особенно коварными, поскольку искусственный интеллект может, например, клонировать голос ребенка. Родителям, бабушкам и дедушкам неожиданно звонят, причем голос идеально подражает голосу ребенка. Такие уловки, известные как мошенничество с социальной инженерией, обычно имеют самый высокий процент успеха и приносят наиболее быстрые прибыли.

 

«Мне нужна твоя помощь, быстро возьми трубку».

Когда начальник пишет вам, что ему нужно срочно обсудить с вами что-то в режиме видеоконференции, вы, скорее всего, согласитесь. Именно так поступил сотрудник словацкой компании GymBeam.

 

Но его начальник об этом звонке не знал. «В видеоконференции участвовала моя поддельная копия и еще один человек», — рассказал Далибор Цицман, глава компании GymBeam. Второй человек выдавал себя за внешнего юриста компании и модерировал большую часть разговора. Это, видимо, облегчило задачу злоумышленникам: им не нужно было клонировать большой объем текста, достаточно было нескольких заранее подготовленных фраз.

 

Целью мошеннического звонка, по всей видимости, было выяснение подробностей о счетах фирмы. Но во время звонка клонированная копия сообщила, что ее не было в офисе в течение двух недель. «Поскольку в тот день мы с коллегой виделись в офисе, он написал мне сообщение по корпоративному каналу во время видеозвонка, — вспоминает Цицман о счастливом совпадении, сорвавшем планы злоумышленников. —  Я сразу же ответил ему, что по видеосвязи разговаривал не я».

 

Вся атака велась на английском языке, что не странно, поскольку босс привык общаться на английском с сотрудником, о котором идет речь, — менеджером румынского филиала. Средства клонирования голоса более доступны на английском языке, но есть версии и для других языков, в том числе чешского.

 

Злоумышленники пытались создать впечатление срочности, чтобы заставить сотрудников подключиться через коммуникационную платформу, которая обычно не используется в компании. Ссылка приходила с поддельного номера WhatsApp, профиль имитировал профиль Далибора Цицмана.

 

«У нас есть директива, согласно которой рабочие вопросы не должны передаваться за пределы платформ, которые мы используем внутри компании, — рассказал Цицман чешскому изданию. — Мы решили, что будет полезно еще раз подчеркнуть эту директиву внутри компании, что впоследствии и было сделано. Сотрудники финансового отдела прошли обучение, чтобы знать, на что следует обращать внимание при проведении платежей на новый IBAN. Мы разработали процедуру, в соответствии с которой менеджеры должны проверять новый платеж перед его отправкой».

 

Технология, называемая deep fake, существует с 2016 года. Тогда исследователи из Германии и Великобритании показали прототип подделки на видео. В качестве марионетки они выбрали, в частности, президента Путина.

 

Новые версии доступных инструментов могут делать то же самое, а также имитировать голос собеседника. Это все еще не идеальное воспроизведение, но его может быть достаточно, чтобы обмануть во время видеоконференции.

 

Между тем мошенничество с использованием машинного обучения проще для злоумышленников по многим соображениям именно на английском языке. Только в США в прошлом году потребители потеряли в результате мошенничества около 8,8 млрд долл. Это примерно на 44% больше, чем в 2021 году. Более того, мошенники процветают даже в то время, когда США инвестируют рекордные средства в технологии для обнаружения и последующего предотвращения мошенничества.

 

Эксперты таких глобальных банков, как Deutsche Bank и Wells Fargo, считают этот вид мошенничества одной из самых больших угроз для финансового сектора, сообщает Bloomberg. Риск заключается не только в высоких затратах, к которым приводит борьба с мошенниками, но и в потере доверия со стороны обманутых клиентов.

 

Кроме того, благодаря новым технологиям стоимость мошенничества снижается, что позволяет преступникам охватить гораздо большую группу людей. И это уже не просто письма от принцев, которые отчаянно нуждаются в вашей помощи, или сообщения от американских солдат.

 

Глобальные затраты на киберпреступления (как на мошенничество, так и на его предотвращение) в этом году составят около 8 трлн долларов. Таковы статистические данные компании Cybersecurity Ventures.

 

В дальнейшем, по прогнозам компании, расходы на киберпреступления будут расти на 15% в год в течение следующих трех лет. Для сравнения: в 2015 году эти расходы составили 3 трлн долларов.

 

За последние три года среднемировые затраты, связанные с одной утечкой данных, также выросли примерно на 15%. Только в 2023 году среднемировые затраты, включая упущенную выгоду, урегулирование проблемы и судебные издержки, составят около 4,45 млн долларов.

 

«В ближайшие два-три года можно ожидать увеличения числа преступных атак, генерируемых искусственным интеллектом», — заявил агентству Bloomberg Роб Поуп, директор новозеландского государственного агентства по кибербезопасности CERT NZ.

 

По его словам, то, что его команда по борьбе с мошенничеством видела до сих пор, — это лишь малая часть того, на что способен ИИ.

 

Томас Робертс, руководитель отдела по борьбе с мошенничеством австралийского банка Commonwealth Bank of Australia (CBA), говорит, что в настоящее время банк отслеживает около 85 млн событий в день с помощью своей сети средств наблюдения. И это в стране с населением всего 26 млн человек.

 

Банки хотят бороться с мошенничеством прежде всего путем просвещения потребителей. Так, новое программное обеспечение позволяет CBA обнаруживать, когда клиенты используют компьютерную мышь необычным образом во время транзакции, что является предупреждением о возможном мошенничестве. Все подозрительное, включая место назначения заказа и способ оформления покупки, может предупредить сотрудников всего за 30 миллисекунд, что стоит заблокировать транзакцию, сообщает Bloomberg.

 

По словам Томаса Графа, старшего инженера по машинному обучению Deutsche Bank, разработчики недавно перестроили систему выявления подозрительных транзакций — Black Forest — с использованием новейших моделей обработки естественного языка. Инструмент изучает такие критерии транзакций, как объем, валюта и пункт назначения, и на основе большого количества данных автоматически определяет, какие модели указывают на мошенничество. Модель может применяться как к розничным, так и к корпоративным сделкам, и уже выявила несколько случаев, включая один, связанный с организованной преступностью, отмыванием денег и уклонением от уплаты налогов.

 

Компания Wells Fargo также переработала свои системы. Она обещает, что сможет противостоять рискам, связанным с клонированными голосами и лицами.

 

«Мы обучаем наше программное обеспечение и наших сотрудников, чтобы они могли распознавать эти подделки», — комментирует Bloomberg Чинтан Мехта, руководитель отдела цифровых технологий Wells Fargo.

 

Проблема, однако, заключается в том, что, как только компании ужесточают защиту, мошенники начинают искать новые способы ее обойти. Поэтому системы должны постоянно совершенствоваться, чтобы не отставать от преступников, что, естественно, стоит немалых денег.

 

Отпечатки пальцев или удостоверения личности также можно обойти.

Некоторые банки требуют от клиентов при открытии счета предоставить фотографию удостоверения личности, паспорта или водительских прав. Другим достаточно входа в систему с использованием банковского индикатора. Поэтому мошенники скупают конфиденциальную информацию в даркнете, а затем извлекают фотографии своих жертв из социальных сетей. Они изготавливают 3D-маски их лиц для создания поддельных удостоверений личности с украденными данными.

 

«Они могут выглядеть как угодно. От костюма, который можно купить в магазине, до чрезвычайно реалистичной силиконовой маски голливудских стандартов», — заявил агентству Bloomberg Ален Майер, руководитель отдела идентификации компании Plaid.

 

Эта компания помогает банкам, финансовым технологическим компаниям и другим предприятиям бороться с мошенничеством с помощью специального программного обеспечения для проверки личности. Plaid анализирует текстуру и прозрачность кожи, чтобы подтвердить или опровергнуть, что человек на фотографии выглядит настоящим.

 

По данным Bloomberg, самой быстрорастущей категорией мошенничества являются инвестиционные аферы, которые часто предлагаются жертвам через поисковые системы, где мошенники могут легко купить рекламные места. Когда потенциальные инвесторы нажимают на баннеры, им предлагают реалистичные финансовые объявления и другие финансовые данные. После того как они перечисляют деньги мошеннику, может пройти несколько месяцев или лет, прежде чем они поймут, что их обманули. Чаще всего они узнают об этом только тогда, когда пытаются монетизировать свои инвестиции.

 

Люди, которых обманули, естественно, требуют компенсации. Но по мере роста масштабов мошенничества становится все менее ясно, кто должен нести ответственность. Если кто-то обчистил ваш счет, банк, скорее всего, вернет деньги. Однако ситуация меняется в тот момент, когда вы оказываетесь обманутым и добровольно отправляете деньги мошенникам.

 

Но и это быстро меняется в некоторых странах. В Великобритании планируется обязать банки выплачивать компенсацию жертвам мошенничества, если деньги были переведены через систему быстрых платежей, используемую для перевода денег между британскими банками. Политики и защитники прав потребителей в других странах также настаивают на подобных изменениях. По их мнению, наивно ожидать, что люди смогут распознать эти все более изощренные мошенничества, сообщает Bloomberg.

 

Банки, однако, опасаются, что изменение правил только облегчит работу мошенников. Лидеры финансовой индустрии во всем мире также пытаются переложить часть ответственности на технологические компании.