کلاهبرداران چگونه با هوش مصنوعی دست به کلاهبرداری‌های بانکی می‌زنند؟

هوش مصنوعی حالا در خدمت کلاهبرداران است؛ از دور زدن احراز هویت چهره و صدا گرفته تا تولید برق‌آسای مدارک جعلی. روش‌های آن‌ها هر روز خلاقانه‌تر می‌شود. مشتری‌ها چطور می‌توانند از خود دفاع کنند و بانک‌ها چه مسئولیتی دارند؟

 دیپ‌فیک؛ تقویت‌کننده‌ی «کلاهبرداری جعل هویت»

سال ۲۰۲۴ بزرگ‌ترین کلاهبرداری «جعل هویت» ثبت‌شده رقم خورد: شرکت مهندسی Arup در بریتانیا حدود ۲۵ میلیون دلار ضرر کرد؛ چون در یک ویدئوکنفرانس زنده، تصویر CFO و مدیران ارشدش به شکل دیپ‌فیک شبیه‌سازی شده بود و کارمند ساده‌لوح، پول را منتقل کرد.
دیپ‌فیک با ترکیب دو الگوریتم «تولیدکننده» و «تمایز‌دهنده» می‌تواند فقط با یک دقیقه صدا و یک عکس، چهره و لحن هر کسی را تقلید کند، چه به‌صورت فایل از پیش ضبط‌شده و چه زنده.

مدل‌های مولد؛ هشدارهای جعلی «تقلب بانکی» را بمباران می‌کنند

تصور کنید هکری وارد وب‌سایت فروش لوازم الکترونیکی می‌شود. هر بار که سفارش بزرگی ثبت می‌شود، هوش مصنوعی با مشتری تماس می‌گیرد و می‌گوید «بانک تراکنش شما را مشکوک شناخته، لطفاً شماره حساب و پاسخ سؤالات امنیتی را اعلام کنید».
استرس «احتمال کلاهبرداری» کافی است تا خیلی‌ها اطلاعات حساس‌شان را لو بدهند؛ به‌ویژه وقتی تماس، جزئیات واقعی حساب‌شان را هم چاشنی می‌کند.

تصاحب کامل حساب

کلاهبردارِ قدیمی شاید رمزها را حدس بزند، اما روش محبوب‌تر، استفاده از نام کاربری و رمزهای لو رفته است. او بلافاصله پسورد، ایمیل پشتیبان و شمارهٔ تأیید دومرحله‌ای را عوض می‌کند تا صاحب واقعی نتواند دسترسی را پس بگیرد.
هوش مصنوعی با شناخت رفتار خرید، ساعت اوج تراکنش (مثلاً بلک فرایدی) و حتی سلیقهٔ پیام‌رسانیِ قربانی، ایمیل‌ها یا پیامک‌های کاملاً شخصی‌سازی‌شده‌ای می‌فرستد، طوری که هر پیغام مثل یک هشدار واقعی به‌نظر برسد.

سایت‌های جعلی نسل جدید؛ ساخته‌شده در چند ثانیه

تکنولوژی مولد می‌تواند از طراحی وایرفریم تا تولید محتوا را خودکار کند. نتیجه؟ یک وب‌سایت «سرمایه‌گذاری» یا «وام‌دهی» بی‌کُد، با هزینه‌ی ناچیز و ظرف چند ثانیه بالا می‌آید.
برخلاف صفحات فیشینگ سنتی، این سایت هوشمند است: اگر تماس بگیرید یا چت آنلاین بزنید، رباتی به‌ظاهر «مشاور مالی» پاسخ می‌دهد. نمونه‌ی معروفش کپیِ پلتفرم Exante بود که کاربران، ندانسته پول را مستقیم به حسابی در جی‌پی‌مورگان چیس می‌ریختند.

عبور از تشخیص زنده بودن

ابزارهای تشخیص زنده بودن با مقایسهٔ لحظه‌ای چهرهٔ کاربر و تصویر ثبت‌شده، اجازه نمی‌دهند کسی با عکس یا ویدئو احراز هویت کند، حداقل روی کاغذ! دیپ‌فیک‌های جدید این سد را هم می‌شکنند.
جالب‌تر این‌که نرم‌افزار آماده‌ای وجود دارد که ادعا می‌کند پنج سرویس بزرگ تشخیص زنده بودن را با ‌۲۰۰۰ دلار یک‌بار برای همیشه دور می‌زند؛ تبلیغاتش در تلگرام فراوان است.

هویت‌های مصنوعی؛ راه‌اندازی حساب‌های کاملاً نو

در دارک وب همه‌چیز فروخته می‌شود: پاسپورت جعلی، گواهینامه، حتی سلفی و صورت‌حساب بانکی ساختگی. هویت ترکیبی (Synthetic Identity) ترکیبی از اطلاعات واقعی و جعلی است، مثلاً شماره ملی واقعی اما نام و نشانی تقلبی. یک هویت جعلی اما «تمیز» به‌راحتی از فیلترهای KYC عبور می‌کند؛ بعد از ساخت سابقهٔ اعتباری، کارت‌ها را تا سقف خالی و غیب می‌شوند.

بانک‌ها چه باید بکنند؟

1. احراز هویت چندمرحله‌ای (MFA)
   بیومتریک به‌تنهایی کافی نیست. رمز یک‌بار مصرف هنوز دژ مستحکمی است، مگر این‌که خود کاربر آن را لو بدهد.
2. ارتقای استانداردهای KYC
   مهندسی پرامپت (Prompt Engineering) می‌تواند گاهی «هویت مصنوعی» را لو بدهد. این تکنیک‌ها را وارد فرایند تایید مشتری کنید.
3. تحلیل رفتار کاربر با هوش مصنوعی
   ماوس، سرعت اسکرول و الگوهای ضربه زدن روی موبایل را نمی‌شود به‌سادگی جعل کرد؛ این داده‌ها سرنخ طلایی حساب‌های تصاحب‌شده است.
4. ارزیابی ریسک همه‌جانبه هنگام افتتاح حساب
   بررسی عمیق شبکه‌های اجتماعی و سوابق عمومی، اختلاف‌های ریز را آشکار می‌کند. اعمال محدودیت برداشت تا زمان تایید نهایی می‌تواند جلوی ضررهای کلان را بگیرد.

کلام آخر

هوش مصنوعی دستان کلاهبرداران را پرقدرت کرده، اما بانک‌ها و مشتری‌ها می‌توانند با همان سلاح یا حتی ساده‌تر، با کمی هوشیاری جلوی زیان را بگیرند. رمز عبور پیچیده، MFA، و یک ‌«نه» محکم به هر درخواست مشکوک، اولین خط دفاعی شماست.