2024年预测,这五类业务欺诈威胁将激增
全球范围内的欺诈损失正呈现惊人的增长趋势,给企业和消费者带来了巨大的困扰和损失。据估计,全球欺诈损失高达5.4万亿美元,而英国的欺诈损失约为1850亿美元。在美国,金融服务公司的欺诈成本增加了9.9%,凸显出这一问题的严重性。
这一增长趋势背后的主要原因是技术进步和社会工程学的不断发展。随着人们越来越多地转向在线和移动渠道购物,欺诈者也紧跟其后,利用先进的技术手段进行欺诈活动。此外,社会工程学利用了人员这一最复杂和最持久的安全弱点,让许多缺乏信息安全思维的用户成为欺诈者的目标。
社交媒体平台已经成为欺诈者的重要工具。全球48亿社交媒体用户提供了广泛的潜在目标,但大多数用户缺乏必要的信息安全思维和培训,无法识别和避免欺诈行为。网络钓鱼活动持续不断,而随着AI工具的成熟和应用,网络钓鱼诱饵变得越来越具有说服力。这些工具可以生成逼真的文本和内容,使人们更容易受到欺诈行为的欺骗。
顶象防御云业务安全情报中心预测,2024年业务欺诈风险主要有如下五个趋势。
AI带来的新攻击将成倍增长
随着人工智能(AI)在各行各业的广泛应用,其带来的安全威胁也日益引起人们的关注。AI正成为一种新的威胁手段,利用AI技术的攻击者将给企业和个人用户带来前所未有的风险,2024年,各行业都将面临利用机器学习工具的网络攻击激增。
传播错误信息。生成式AI可以用于传播错误信息或制作逼真的网络钓鱼电子邮件。据报道,一些犯罪分子已经开始利用ChatGPT等生成式AI工具来创建听起来与合法企业一样专业的网络钓鱼电子邮件。这些邮件通常伪装成来自银行或其他机构的工作人员,要求受害者提供个人信息或资金,如果不按照指示操作,就会遭受财务损失或身份盗窃。
破坏网络安全。由AI生成的恶意或错误代码可能会对网络安全造成毁灭性打击。由于越来越多的企业使用AI进行数据分析、医疗保健实施和用户界面定制等业务应用程序,黑客可能会利用这些应用程序中的漏洞进行攻击。据报道,过去两年AI安全研究论文呈现爆炸式增长,而60种最常用的机器学习(ML)模型平均至少有一个安全漏洞。这意味着黑客可以利用这些漏洞来控制或破坏使用这些模型的设备和系统。
增加欺诈风险。欺诈者还可以利用AI技术来模仿合法广告、电子邮件和其他通信方式,从而增加欺诈的风险。这种人工智能驱动的方法将导致低质量活动的激增,因为网络犯罪分子的进入门槛将降低,欺骗的可能性将增加。
操纵数据和决策。除了网络安全威胁外,生成式AI还可能被用于操纵数据和决策。攻击者可能会试图毒害AI使用的源数据,导致过度依赖AI的组织在决策中被系统性地误导。这可能涉及从数据中删除某些关键信息或添加虚假信息,从而使AI系统产生不准确的结果。
账号和身份更难以甄别
长期以来,冒充欺诈一直是一种常见的诈骗策略。但随着人工智能(GenAI)的发展,合成身份盗窃和欺诈比以往任何时候都更加简单。这种技术使欺诈者能够大规模创建身份,从而更容易生成可信的合成ID。
基于“深度学习”和“伪造”的融合,AI能够创建令人信服的虚假音频、视频或图像。这种技术使欺诈者能够快速创建新身份,并且这些身份具有更高的可信度。通过将个人信息的元素拼凑在一起并与虚假标识符相结合,欺诈者能够创建新的身份。这些身份可以用于各种欺诈行为,如信用卡欺诈、网络诈骗等。
根据麦肯锡研究所的数据,合成身份欺诈已成为美国增长最快的金融犯罪类型,并且在全球范围内呈上升趋势。事实上,合成身份欺诈占目前所有欺诈行为的85%。此外,GDG的研究表明,英国有超过860万人使用虚假或他人的身份来获取商品、服务或信贷。
合成身份盗窃是一项极具挑战性的任务,因为这些身份通常涉及真实元素(如真实地址)和捏造信息的组合。这使得检测和预防变得极其困难。使用合法组件和虚假详细信息进一步复杂化了检测工作。此外,由于这些欺诈性身份缺乏先前的信用记录或相关可疑活动,因此很难通过传统的欺诈检测系统来识别它们。
社交媒体平台已成为合成身份欺诈的主要利用渠道。利用AI技术,欺诈者能够创建和分发高度定制和令人信服的内容,这些内容可以根据个人的在线行为、偏好和社交网络来定位个人。这些内容可以无缝地融入用户的提要中,从而促进快速和广泛的传播。这使得网络犯罪对用户和平台来说更加高效和具有挑战性。
对于金融机构来说,这更令人担忧。欺诈分子使用AI学习各个金融机构的业务流程,对各种组织运作方式的了解,可以编写脚本来快速填写表格并创建看起来可信的身份来信贷欺诈。
对于新帐户欺诈和申请欺诈来说,这尤其令人担忧。每家银行都有自己的开户工作流程、自己独特的技术和入职时自己的语言。个人必须显得可信才能开立账户。犯罪分子可以使用 GenAI 工具来学习不同的银行屏幕布局和阶段。有了对各种组织运作方式的了解,犯罪分子可以编写脚本来快速填写表格并创建看起来可信的身份来实施新的帐户欺诈。银行将不再需要回答“这是合适的人选吗?”的问题,还需要回答“我的客户是人类还是人工智能”的问题。
预计2024年,随着AI技术的进一步发展和普及,越来越多的冒充欺诈将出现。虚假身份、虚假账号等将变得更加普遍。企业和个人用户需要保持警惕并加强安全意识,同时企业和组织也需不断加强其AI安全措施和内部培训,以降低潜在的风险。
恶意盗取数据依旧疯狂
随着人工智能技术的不断发展,AI对数据的需求量也越来越大。生成式AI、大模型的出现,对数据提出了前所未有的要求。以OpenAI的GPT模型为例,GPT-1预训练数据量仅为5GB,到了GPT-2,数据量已经增加至40GB,而GPT-3的数据量已经直接飞升至45TB。市场逐渐凝成这样的共识:得数据者得天下,数据是大模型竞争的关键。
目前,AI训练数据主要有两种来源:自采集和爬取。自采集数据需要大量的人力、物力和时间,成本较高。而爬取数据则相对容易获取,给数据安全带来了巨大的挑战。数据泄露、隐私侵犯等问题层出不穷。尤其随着还可以通过网络犯罪即服务(Cybercrime as-a-Service)的出现,可以更加轻松访问的购买到恶意爬虫服务和技术。预计2024年,恶意爬虫盗取数据的威胁有增无减。
恶意爬虫是一种自动化程序,可以通过模拟用户行为来访问和爬取网站数据。恶意爬虫通常用于非法获取用户个人信息、商业机密等数据。恶意爬虫盗取的数据,不仅包含互联网上的公开信息、社交媒体上的用户数据等功能公开数据,还包含企业内部数据、个人隐私数据等未经授权的数据,例如,以及敏感数据,例如金融数据、医疗数据等。2022年,美国国家安全局(NSA)发布报告称,恶意爬虫盗取的数据已成为网络攻击的重要来源。
恶意爬虫盗取数据的方式包含:自动访问大量的网站,获取用户信息或数据的批量爬取;根据特定的条件,对目标网站进行定的向爬取;以及对网站的内部结构进行深入分析,获取更为隐蔽的数据的深度爬取。数据显示,2023年全球数据盗取量将达到1900亿条,其中超过80%的数据来自恶意爬虫。恶意爬虫通常会通过编程的方式自动访问网站,获取用户信息或数据。这类行为不仅侵犯了用户的隐私,也给企业造成了巨大的经济损失。
账号盗用欺诈将激增
ATO欺诈是一种账号盗窃冒用(ID欺诈),欺诈者使用网络钓鱼和恶意软件方法来获取合法的用户凭据或从暗网购买隐私信息,然后,利用技术手段对使用被盗的账号进行接管。
多年来,ATO欺诈一直呈上升趋势。2022年,ATO欺诈占向FTC报告的所有欺诈活动的三分之一以上。2020年,ATO欺诈同比大幅增长350%,其中72%的金融服务公司遭受了此类攻击。2021年,账户接管导致了20%的数据泄露,导致消费者和企业损失超过51亿美元。
账号盗窃冒用的加剧,一方面是网络钓鱼攻击和数据泄露的增加,以及数据泄露事件的频繁发生,使得欺诈者更容易获取用户的个人信息和密码。另一方面,AI技术可以帮助欺诈者快速识别可疑账户,并自动生成有效的攻击工具。
欺诈分子会转走账号内余额、积分、代金券等,还会使用盗用的账号来发送网络钓鱼邮件、发布虚假信息进行刷单刷粉刷评论,使其看起来更加真实。此外,欺诈者还可能使用盗用的账号来创建虚假的商品或服务销售网站,发布恐吓、骚扰或传播仇恨言论。总之,欺诈分子盗用账号的行为对个人和企业都造成了严重的损失。个人可能会面临经济损失、身份盗窃和其他问题。企业可能会面临财务损失、声誉损失和其他问题。
随着AI技术的进一步发展和普及,预计2024年,账号盗窃冒用将更加普遍和难以防范。
内部泄密成企业重要风险之一
内部威胁已成为企业面临的一大挑战。数据显示,近年来内部威胁已激增44%。这些威胁可能来自员工、客户或供应商的行为,出于恶意或疏忽,尤其特权访问的员工是最大的欺诈风险源。
早前研究已发现语言模型可能泄露隐私信息,而随着生成式AI业在商业中的运用,带来了新的风险和挑战,内部数据泄露并将成为2024年的重要业务风险之一。
自带人工智能(BYOAI)现象愈发普遍,员工在工作场所使用个人人工智能工具,带来了泄露敏感公司机密的风险,虽然这是一种无意的数据泄露。此外,欺诈分子利用AI进行深度伪造等复杂攻击,使受害人更加难以分辨与防范。例如,欺诈分子可以创建虚假的电子邮件或文档,以欺骗员工或绕过安全系统。
业务安全产品:免费试用
业务安全交流群:加入畅聊