Contact
Meer over DataExpert

Nieuws

Navigeren in het AI-tijdperk: aanpassen aan het veranderende landschap van betalingsfraude

Artificial Intelligence (AI) is een hot-topic op het moment. Mensen gebruiken thuis en op het werk AI-tools en worden dagelijks geconfronteerd met gegenereerde afbeeldingen en films op sociale media. AI is niet meer weg te denken uit het huidige leven.

Zoals bij alle nieuwe digitale technologieën zijn fraudeurs een van de eersten die zich eraan wagen. We hebben al voorbeelden gezien van hoe het wordt gebruikt. De vraag is hoe zal dit zich ontwikkelen en hoe zal AI het fraudelandschap beïnvloeden? Wat zal de impact zijn? En wat kan uw organisatie doen om zich hierop voor te bereiden?

Veranderingen in het fraudelandschap
Met de opkomst van AI verwachten we dat het aantal fraudepogingen zal toenemen. Omdat de aanvallen geavanceerder zullen worden, is de verwachting dat de fraudeurs vaker succesvoller zullen zijn. Hoe gebruiken de fraudeurs AI nu en wat kunnen we in de toekomst verwachten?

  1. Social engineeringfraude met behulp van AI vormt een nieuwe en grote bedreiging voor bedrijven en consumenten.
    Met behulp van slechts enkele seconden van een video van jou, afkomstig van sociale media, kan AI nu jouw stem en gezicht klonen. Deze deepfake-kloon kan worden gebruikt om mensen in jouw netwerk ervan te overtuigen dat zij jou zijn, hun vertrouwen te winnen en hun geld te stelen. Om effectief een fraudeaanval uit te voeren met een deepfake-kloon zijn er momenteel drie verschillende modi operandi:
    1. Train een gespecialiseerd AI-model om overtuigend een realtime deepfake te creëren voor een videogesprek. Dit is echter een complexe, dure en tijdrovende onderneming. Dit kan nog steeds interessant zijn voor de fraudeur als de winst hoog is. Bijvoorbeeld bij CEO-fraude. De eerste succesvolle fraudeaanval met deze modus operandi vond plaats in Hong Kong. Door een deepfake-model van de CFO en 3 andere collega's te creëren, konden de fraudeurs een medewerker van de financiële afdeling overtuigen om een ​​bedrag van 25 miljoen euro over te maken. (1)
    2. Gebruik bestaande modellen van beroemdheden om mensen te manipuleren om te investeren in een oplichterij. In Zuid-Korea werd een vrouw gemanipuleerd in een romance scam met behulp van deepfake-afbeeldingen en een deepfake-videogesprek met Elon Musk. De fraudeurs wisten op deze manier 50.000 dollar buit te maken. (2) 
    3. Train een model voor een deepfake-audiogesprek. Er zijn gevallen bekend van deze modus operandi. Hierbij kreeg een vader een telefoontje van zijn "zoon". Zijn zoon vroeg om geld om te betalen als borg na een auto-ongeluk. Dit is eenvoudig te doen met de huidige beschikbare tools. Het is echter nog niet erg overtuigend, omdat de fraudeur de antwoorden in realtime moet typen. Het gesprek zal niet natuurlijk aanvoelen vanwege de timing van het antwoord dat de fraudeur geeft. (3)
  1. Traditionele phishingfraude is eenvoudiger en schaalbaarder met het gebruik van AI.
    Language Learning Models (LLM) zoals ChatGPT hebben het heel eenvoudig gemaakt om direct phishingberichten te genereren in de meest voorkomende talen. Gegevens over doelwitten zijn eenvoudig online te kopen, net als automatiseringstools om aanvallen uit te voeren. Het enige wat een fraudeur hoeft te doen is achterover leunen en wachten tot een slachtoffer toehapt.
  1. Malware die AI gebruikt om bank- en betalingsbeveiligingen te omzeilen, is in opkomst, maar komt in golven.
    In China is de mobiele malware met de naam "GoldDigger" in staat geweest om het gezicht van de gebruiker vast te leggen en AI te gebruiken om met deze gegevens gezichtsherkenningsauthenticaties op andere mobiele applicaties te omzeilen, zoals een bankieren-app. Hoewel dit zorgwekkend is, is het ook te verwachten. Wanneer een beveiliging sterk genoeg wordt, zullen fraudeurs proberen deze te omzeilen en uiteindelijk een manier vinden. Zodra de schade substantieel wordt, zullen de beveiligers doen wat ze kunnen om het gat in de beveiliging te dichten en uiteindelijk slagen ze daarin. AI is hier gewoon een nieuw hulpmiddel, in die zin is het niets nieuws.

Door de vooruitgang in AI-technologie verwachten we dat dit soort aanvallen in de toekomst gemakkelijker uit te voeren zullen zijn. Het trainen van deepfake-modellen zal gemakkelijker, goedkoper en minder tijdrovend worden.

Waar fraudeurs nu phishing-as-a-service-kits gebruiken, verwachten we in de toekomst dat er tools beschikbaar zullen zijn om geautomatiseerde fraudeaanvallen uit te voeren. Bijvoorbeeld romance-/investeringsfraude waarbij de fraudeurs zich kunnen abonneren op een service die hen ondersteunt bij het uitvoeren van dit soort aanvallen. Contact met het slachtoffer kan volledig worden geautomatiseerd met AI-chatbots en het enige dat de fraudeur hoeft te doen, is de uitbetaling plannen en uitvoeren.

Welke impact hebben deze veranderingen op uw organisatie?

  1. Hogere werkdruk
    We verwachten een aanzienlijke toename van fraudepogingen, een groter aantal zaken die onderzocht moeten worden en een toename van klantvragen met betrekking tot fraude.
  1. Meer fraude schadevergoedingen
    Met meer fraudepogingen is er ook een verhoogd risico dat klanten slachtoffer worden. Eén moment van afleiding of niet alert zijn, kan resulteren in een succesvolle fraudepoging. Hoe geraffineerder de fraudeaanvallen worden hoe meer slachtoffers en vallen en hoe hoger de schade per zaak. Met de invoering van PSD3 moeten imitatie scams ook worden vergoed en dit zal ook een drijfveer zijn voor meer fraude schadevergoedingen. (4)

Hoe kan uw organisatie zich voorbereiden op dit nieuwe tijdperk in de strijd tegen fraude?
Wat we verwachten is dat de manier waarop fraudeurs hun slachtoffers benaderen zal veranderen. De fraudeurs zullen andere verhalen en technologieën gebruiken om het slachtoffer te manipuleren. Vanaf dat moment blijft de modus operandi hetzelfde als we de afgelopen jaren hebben gezien. De gegevens die uw organisatie ontvangt, blijven ook hetzelfde. We verwachten echter dat door slachtoffers geïnitieerde fraude zal blijven toenemen. Dit heeft de afgelopen jaren geleid tot een toenemende vraag naar monitoring van bankgedrag. Dit blijft waar terwijl we het nieuwe AI-gestuurde tijdperk ingaan. Dus, wat kan uw organisatie doen om zich voor te bereiden?

  1. Creëer 100% zichtbaarheid op de klant-/crimineel reis.
    Om bankiergedrag succesvol te monitoren, heeft uw organisatie 100% zichtbaarheid nodig op de alle aspecten van de klantreis en de interactie van klant- en crimineel. Een klant die wordt gemanipuleerd, zal ander gedrag vertonen dan wanneer dezelfde klant een legitieme transactie doet. Als u 100% zicht hebt op de customer/criminele journey, kunt u alle interacties met uw kanalen monitoren en afwijkingen van de normale patronen van uw klanten detecteren. Zo wordt de kans op succes aanzienlijk vergroot bij het stoppen van fraude en dat is altijd de beste aanpak ook om de werkdruk te verminderen.
  1. Een holistische aanpak is nodig: werk intern maar ook extern samen
    Klanten willen een naadloze, probleemloze ervaring tijdens interacties met uw bank. Banken passen zich aan die eisen aan door hun productportfolio en processen te digitaliseren. Hoewel dit een goede klantervaring bevordert, opent het ook deuren voor criminelen. Werk samen met de fraude-experts in uw organisatie bij het invoeren van wijzigingen in uw producten en processen. Laat hen u helpen de risico's te identificeren en maatregelen te beperken om een prettige klantervaring te bieden. Voeg drempels toe als dat nodig is, bijvoorbeeld een wachttijd als een klant zijn kaart- of betalingslimiet wil verhogen. 

Momenteel zijn banken de enige verdedigingslinie tegen online betalingsfraude. De bank is het eindpunt van de fraude, het startpunt van de criminele route is op andere platforms. In de meeste gevallen begint fraude op sociale media, via e-mail of telefoon. Samenwerking met externe partijen zoals grote technologiebedrijven, telecomproviders en internetproviders kan leiden tot succesvolle oplossingen om fraude te bestrijden. Een goed voorbeeld is hoe telecomproviders in Nederland momenteel spoof calls blokkeren wanneer telefoonnummers van banken worden gebruikt. 

  1. Bewustzijn vergroten
    Hoewel banken al veel doen om bewustzijn te creëren, vraagt ​​dit nieuwe AI-gedreven tijdperk om een ​​nieuwe aanpak. Naast het informeren van klanten over de verschillende modi operandi die er zijn en de maatregelen die ze moeten nemen, wordt het nu ook belangrijk om uw klanten te helpen deepfake en door AI gegenereerde content te herkennen. Wanneer uw klanten dit kunnen herkennen, is de kans kleiner dat ze slachtoffer worden.

Conclusie
Met het AI-tijdperk voor de deur, moeten banken waakzaam en proactief blijven in de strijd tegen fraude. Door innovatie, samenwerking en het vergroten van het bewustzijn te omarmen, kunnen organisaties de complexiteit van het AI-tijdperk navigeren en zich beschermen tegen frauderisico's. Het behouden van 100% zichtbaarheid op klant- en criminele interacties is cruciaal voor effectieve fraudedetectie en -preventie. Naarmate we ons blijven ontwikkelen in het digitale tijdperk, is het prioriteren van fraudepreventiestrategieën en investeren in uitgebreide zichtbaarheid essentieel voor het behouden van vertrouwen, veiligheid en veerkracht in het steeds veranderende landschap van betalingsfraude.

(1) https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html
(2) https://www.independent.co.uk/asia/east-asia/elon-musk-romance-scam-dupes-south-korean-b2533764.html
(3) https://www.independent.co.uk/news/world/americas/ai-phone-scam-voice-call-b2459449.html
(4) https://kpmg.com/nl/en/home/insights/2023/06/psd3---psr-.html

Deze website gebruikt cookies

We vinden het van groot belang dat u op de hoogte bent van welke cookies onze website inzet en voor welke doeleinden. Wij gebruiken Functional Cookies om onze website goed te laten functioneren. Daarnaast analyseren we d.m.v. Analytics Cookies het gebruik van onze website. Ook vragen we uw toestemming voor het plaatsen van cookies van derden (social media, advertising en analytics partners) waarmee we informatie delen. Door op ‘Accepteren’ te klikken, geeft u toestemming voor het plaatsen van de hiervoor genoemde cookies. Klikt u op ‘Instellingen’, dan wordt u geleid naar een pagina waar u kunt instellen welke cookies wel en niet geplaatst mogen worden. Klik hier voor onze privacyverklaring.