Lebih dari satu dari empat perusahaan kini melarang karyawannya menggunakan AI generatif. Namun hal ini tidak banyak memberikan perlindungan terhadap penjahat yang menggunakannya untuk mengelabui karyawan agar membagikan informasi sensitif atau membayar tagihan palsu.
Berbekal ChatGPT atau web gelap yang setara, FraudGPT, penjahat dapat dengan mudah membuat video realistis yang berisi pernyataan untung dan rugi, ID palsu, identitas palsu, atau bahkan deepfake yang meyakinkan dari seorang eksekutif perusahaan menggunakan suara dan gambar mereka.
Statistiknya sungguh menyedihkan. Dalam survei terbaru yang dilakukan oleh Association of Financial Professionals, 65% responden mengatakan organisasi mereka menjadi korban percobaan atau penipuan pembayaran yang sebenarnya pada tahun 2022. Dari mereka yang kehilangan uang, 71% disusupi melalui email. Organisasi-organisasi besar dengan pendapatan tahunan sebesar $1 miliar adalah yang paling rentan terhadap penipuan email, menurut survei tersebut.
Di antara penipuan email yang paling umum adalah email phishing. Email penipuan ini sepertinya berasal dari sumber yang memiliki reputasi baik, seperti Chase atau eBay, yang meminta orang untuk mengeklik tautan yang mengarah ke situs palsu namun meyakinkan. Ia meminta calon korban untuk masuk dan memberikan informasi pribadi. Begitu penjahat mendapatkan informasi ini, mereka dapat mengakses rekening bank atau bahkan melakukan pencurian identitas.
Spear-phishing serupa, tetapi lebih bertarget. Alih-alih mengirimkan email umum, email tersebut ditujukan kepada individu atau organisasi tertentu. Para penjahat mungkin telah meneliti jabatan, nama rekan kerja, dan bahkan nama supervisor atau manajer.
Penipuan lama menjadi lebih besar dan lebih baik
Penipuan ini bukanlah hal yang baru, tentu saja, namun AI generatif membuat lebih sulit untuk membedakan mana yang nyata dan mana yang tidak. Sampai saat ini, font yang miring, penulisan yang aneh, atau kesalahan tata bahasa mudah dikenali. Kini penjahat di mana pun di dunia dapat menggunakan ChatGPT atau FraudGPT untuk membuat email phishing dan phishing yang meyakinkan. Mereka bahkan dapat menyamar sebagai CEO atau manajer lain di sebuah perusahaan, membajak suaranya untuk panggilan telepon palsu atau gambar mereka dalam panggilan video.
Hal itulah yang terjadi di Hong Kong baru-baru ini ketika seorang pegawai bagian keuangan mengira dia telah menerima pesan dari CFO perusahaan yang berbasis di Inggris yang meminta transfer sebesar $25,6 juta. Meskipun awalnya dicurigai bahwa itu mungkin email phishing, ketakutan karyawan tersebut hilang setelah melakukan panggilan video dengan CFO dan rekan lain yang dia kenal. Ternyata, semua orang yang menelepon itu palsu. Baru setelah memeriksa ke kantor pusat dia menemukan penipuan tersebut. Tapi kemudian uangnya ditransfer.
“Upaya yang dilakukan untuk membuat mereka kredibel sebenarnya cukup mengesankan,” kata Christopher Budd, direktur perusahaan keamanan siber Sophos.
Deepfake besar-besaran baru-baru ini yang melibatkan tokoh masyarakat menunjukkan betapa cepatnya teknologi berkembang. Musim panas lalu, skema investasi palsu menunjukkan Elon Musk palsu yang mempromosikan platform yang tidak ada. Ada juga video palsu Gayle King, pembawa berita CBS News; mantan pembawa acara Fox News Tucker Carlson dan pembawa acara talk show Bill Maher, yang dikatakan sedang membicarakan platform investasi baru Musk. Video-video ini beredar di platform sosial seperti TikTok, Facebook, dan YouTube.
“Semakin mudah bagi manusia untuk menciptakan identitas sintetis. Baik menggunakan informasi yang dicuri atau informasi yang dibuat-buat menggunakan AI generatif,” kata Andrew Davies, kepala urusan regulasi global di ComplyAdvantage, sebuah perusahaan teknologi regulasi.
“Ada begitu banyak informasi yang tersedia online yang dapat digunakan penjahat untuk membuat email phishing yang sangat realistis. Model bahasa besar dilatih di internet, mengetahui tentang perusahaan, CEO, dan CFO,” kata Cyril Noel-Tagoe, kepala peneliti keamanan di Netcea. dikatakan. sebuah perusahaan keamanan siber dengan fokus pada ancaman otomatis.
Perusahaan besar beresiko di dunia API, aplikasi pembayaran
Meskipun AI generatif membuat ancaman menjadi lebih kredibel, cakupan masalahnya semakin besar berkat otomatisasi dan semakin banyaknya situs web dan aplikasi yang menangani transaksi keuangan.
“Salah satu katalis nyata bagi evolusi penipuan dan kejahatan keuangan secara umum adalah transformasi layanan keuangan,” kata Davies. Satu dekade yang lalu, hanya ada sedikit cara untuk memindahkan uang secara elektronik. Sebagian besar terlibat di bank tradisional. Ledakan solusi pembayaran – PayPal, Zelle, Venmo, Wise, dan lainnya – telah memperluas arena permainan dan memberikan lebih banyak tempat bagi penjahat untuk menyerang. Bank tradisional semakin banyak menggunakan API, atau antarmuka pemrograman aplikasi, yang menghubungkan aplikasi dan platform, yang merupakan titik serangan potensial lainnya.
Penjahat menggunakan AI generatif untuk membuat pesan yang kredibel dengan cepat, lalu menggunakan otomatisasi untuk meningkatkannya. “Ini adalah permainan angka. Jika saya melakukan 1.000 email phishing atau serangan penipuan CEO, dan saya menemukan bahwa satu dari 10 di antaranya berhasil, maka itu bisa menghasilkan jutaan dolar,” kata Davies.
Menurut Netcea, 22% perusahaan yang disurvei mengatakan mereka diserang oleh bot pembuat akun palsu. Untuk industri jasa keuangan, angka ini meningkat menjadi 27%. Dari perusahaan yang mendeteksi serangan otomatis oleh bot, 99% perusahaan mengatakan mereka melihat peningkatan jumlah serangan pada tahun 2022. Perusahaan-perusahaan besar kemungkinan besar akan mengalami peningkatan yang signifikan, dengan 66% perusahaan dengan pendapatan $5 miliar atau lebih melaporkan peningkatan yang “signifikan” atau “sedang”. Meskipun semua industri mengatakan bahwa mereka memiliki beberapa pendaftaran akun palsu, industri jasa keuangan adalah yang paling menjadi sasaran dengan 30% bisnis jasa keuangan diserang dan mengatakan 6% hingga 10% akun baru adalah palsu.
Industri keuangan sedang memerangi penipuan yang didukung oleh gen AI dengan model gen AI miliknya sendiri. Mastercard baru-baru ini mengatakan telah membangun model AI baru untuk mendeteksi transaksi penipuan dengan mengidentifikasi “akun bagal” yang digunakan oleh penjahat untuk memindahkan dana curian.
Penjahat semakin sering menggunakan taktik peniruan identitas untuk meyakinkan korban bahwa transfer tersebut sah dan ditujukan kepada orang atau perusahaan sungguhan. “Bank menganggap penipuan ini sangat sulit untuk dideteksi,” Ajay Bhalla, presiden siber dan intelijen di Mastercard, mengatakan dalam sebuah pernyataan pada bulan Juli. “Pelanggan mereka melewati semua pemeriksaan yang diperlukan dan mengirimkan uangnya sendiri; penjahat tidak perlu melanggar tindakan keamanan apa pun,” katanya. Mastercard memperkirakan bahwa algoritmenya dapat membantu bank berhemat dengan mengurangi biaya yang biasanya mereka keluarkan untuk membasmi transaksi penipuan.
Diperlukan analisis identitas yang lebih rinci
Beberapa penyerang yang bermotivasi tinggi mungkin memiliki informasi orang dalam. Penjahat itu “sangat, sangat canggih,” kata Noel-Tagoe, namun dia menambahkan, “mereka tidak akan tahu persis bagaimana cara kerja perusahaan Anda.”
Mungkin tidak mungkin untuk langsung mengetahui apakah permintaan transfer uang dari CEO atau CFO itu sah, namun karyawan dapat menemukan cara untuk memverifikasinya. Perusahaan harus memiliki prosedur khusus untuk mentransfer uang, kata Noel-Tagoe. Jadi, jika saluran permintaan transfer uang yang biasa dilakukan adalah melalui platform penagihan, bukan email atau Slack, cari cara lain untuk menghubungi dan memverifikasinya.
Cara lain yang dilakukan perusahaan untuk memilah identitas asli dari identitas palsu adalah melalui proses verifikasi yang lebih rinci. Saat ini, perusahaan identitas digital sering kali meminta tanda pengenal dan mungkin selfie real-time sebagai bagian dari prosesnya. Dalam waktu dekat, perusahaan mungkin akan meminta orang untuk mengedipkan mata, menyebutkan nama mereka, atau tindakan lain untuk membedakan antara video real-time dan sesuatu yang direkam sebelumnya.
Dibutuhkan waktu bagi perusahaan untuk beradaptasi, namun untuk saat ini, pakar keamanan siber mengatakan AI generatif menyebabkan lonjakan penipuan keuangan yang sangat meyakinkan. “Saya sudah berkecimpung di bidang teknologi selama 25 tahun saat ini, dan peningkatan AI ini seperti menyalakan bahan bakar jet,” kata Budd dari Sophos. “Itu adalah sesuatu yang belum pernah saya lihat sebelumnya.”
