Deepfakes och AI gör bedrägeriuppdrag möjliga

Shai Gabay är medgrundare och VD för förtroendepionjär inom företagsbetalningssäkerhet.

Kommer du ihåg den här filmen? En finansarbetare på ett multinationellt företag får ett e-postmeddelande från “ekonomichefens kontor”. Du är inbjuden till en videokonferens med “CFO” och flera andra medarbetare. Tvisten på handlingen? Det var ett nätfiskemeddelande och alla personer i videon var djupfalska rekreationer. Finansarbetaren insåg detta först efter att ha godkänt en banköverföring på 25 miljoner dollar. Tyvärr för finanschefer var detta inte en film utan ett sant brott som avslöjades tidigare i år.

Verkligheten är att angripare har riktat in sig på företagsbetalningar under lång tid. Enligt en undersökning sponsrad av JP Morgan var 71 % av organisationerna med mer än 1 miljard dollar i intäkter offer för betalningsbedrägeriattacker, medan 66 % av de med mindre än 1 miljard dollar också var offer. Bland dessa organisationer var 71 % offer för e-postattacker för företag (BEC).

Deepfake-teknik är en annan alarmerande verklighet som återspeglar sofistikeringen av betalningsbedrägeriattacker. Angripare testar och använder AI lika aggressivt som organisationer. De gör detta av liknande skäl: att vinna skala, innovation och ständiga förbättringar över tid, vilket resulterar i effektivitetsvinster och en mer lönsam verksamhet.

Vad kan göras?

Det börjar med att förstå angriparnas mentalitet. De letar efter sårbarheter och svagheter i människor, system och processer. När de analyserar ett företag letar de efter någon person eller svaghet som hjälper dem att föra fram sina attacker.

Angripare riktar sig mot partners och försörjningskedjan eftersom de ger lättare åtkomst till det avsedda målet. Låt oss till exempel säga att en angripare riktar sig mot en Fortune 500-organisation och väljer en av dess främsta leverantörer, som vanligtvis fakturerar 2 miljoner dollar åt gången. Händelsen börjar med ett brott mot företagets e-post. Attackgruppen skapar en lookalike-domän, skapar ett bedrägligt bankkonto i en annan region och börjar sedan utge sig för att vara leverantören.

Bedragarna begär sedan en ändring av kontaktuppgifter, som behandlas och godkänns enligt företagets rutiner. Nu, som en “ny kontakt”, begär bedragarna en ändring av betalningsuppgifterna. Trots att de utlöste ett återuppringningsförfarande från företaget, validerar bedragarna ändringen eftersom den finansiella informationen matchar vad de tidigare hade uppdaterat på bedrägligt sätt.

Angripare kommer att rikta in sig på IT-helpdesk eftersom de får tillgång till känslig information och tillhandahåller IT-uppgifter och utrustning till användare som upplever lösenordslås, förlorade enheter etc. De vänder sig till ekonomi eftersom de anställda, precis som IT-helpdesk, är utträngda, arbetar efter deadlines och under konstant press. Dessutom förlitar sig finansteam på siled system som ger ofullständig synlighet över hela betalningsprocessen.

Detta beroende av manuella processer leder till stora och små mänskliga fel som nästan alltid är oavsiktliga. Dessa inkluderar allt från att falla för ett nätfiskemail till datainmatning, dubbletter av betalningar, saknade röda flaggor och dåliga kontroller. Det är omöjligt för finansteam att spåra och hantera alla transaktioner och identifiera potentiella bedrägerier.

En AI för en AI

Angripare använder AI för att rikta in sig på anställda, skapa nätfiske-e-postmeddelanden, imitera leveranskedjepartners och skapa nu falska finanschefer för videokonferenser. Det är naturligt att försvarare bör använda AI i gengäld. Det är nu ett grundläggande krav.

AI-baserad bedrägeriupptäckt kan hjälpa till att minska riskerna för verksamheten genom att förbättra säkerheten och motståndskraften i hela betalningssystemet. Genom att använda AI-baserad analys för att övervaka och analysera alla aspekter av processen, från leverantörsinteraktion till betalning, kan AI tillhandahålla risk- och förtroendepoäng i realtid, skicka varningar om potentiellt bedrägliga aktiviteter och fungera sömlöst inom den aktuella processen.

AI automatiserar också spårning och analys av enorma mängder transaktioner, vilket frigör mänskliga utredare att fokusera på verkliga bedrägeriincidenter. Att minska det manuella arbetet minskar sannolikheten för fel och bedrägerier och säkerställer en snabbare svarstid för att upptäcka bedräglig aktivitet. Automatisering hjälper till att förhindra bedrägerier genom att analysera inkommande fakturor, nya leverantörsförfrågningar, e-postmeddelanden, filer och kontoutdrag i realtid. Den kan upptäcka ovanliga kommunikationsmönster, betalningsdetaljer och filstrukturer.

AI kan skydda företag från att falla offer och på så sätt säkerställa att deepfake scenarier bara utspelar sig i fiktiva berättelser på den stora skärmen.

Hur man börjar

Det är viktigt att komma ihåg hur deepfake-attacken började: med ett nätfiske-e-postmeddelande. Detta var inget undantag; Det är regeln. Enligt Deloitte börjar 91 % av alla cyberattacker med ett nätfiskemail. Vi vet att ekonomiteamet är i rampljuset. En av de bästa avkastningarna på investeringar en organisation kan få är utbildning om cybersäkerhet.

Större tonvikt måste läggas på medvetenhet om cybersäkerhet i allmänhet och medvetenhet om nätfiske i synnerhet. Nu kan vi även lägga till kunskap om deepfakes till denna lista. Det finns flera sätt att göra detta idag, inklusive interaktiva utbildningsmoduler, simulerade attacker och metoder för att belöna anställda som visar nätfiskekunskaper och svarsfärdigheter. Träning bör ha en positiv aspekt eftersom det hjälper till allmän adoption. Att ha en säkerhetsmedveten kultur är en affärsidé.

När du väljer leverantörer som erbjuder AI-baserade betalningssäkerhetslösningar är här tre viktiga överväganden.

• Skalbarhet och prestanda: De flesta organisationer hanterar höga transaktionsvolymer eller bearbetningsbehov i realtid. När den digitala transformationen fortsätter kommer dessa siffror att öka. Lösningen måste vara tillräckligt flexibel för att skala arbetsbelastningar i framtiden samtidigt som acceptabla svarstider bibehålls utan att offra precisionen.

• Synlighet från ända till ända för betalningsprocessen: B2B-betalningar är komplexa och involverar många leverantörer, fakturor och kommunikationskanaler, alla kopplade till osammanhängande system och flera intrikata steg. En kritisk förmåga är att sömlöst koppla ihop punkterna över hela betalningsprocessen, inklusive partner i leveranskedjan, utan ändringar i din affärsprocess.

• Ansökan: Det första steget är att upptäcka hot och anomalier i betalningsprocessen. Det som är viktigt ur ett riskperspektiv är förmågan att agera och förebygga förluster. Kan lösningen hjälpa dig att genomdriva handlarkontroller i realtid för hela säljarens betalningsprocess och minska det manuella arbetet med automatiseringsefterlevnad?

AI är inte en magisk kula för att säkra företagsbetalningsprocessen. Det är ett kraftfullt verktyg som kan skala aktivitet, upptäcka sårbarheter i arbetsflöden, upptäcka misstänkta signaler och skydda betalningar. I kombination med en bas av duktiga medarbetare stärker det dina medarbetare och dina processer.


Forbes Technology Council är en inbjudningsgemenskap för CIO:er, CTO:er och teknikchefer i världsklass. Kvalificerar jag mig?


Leave a Reply

Your email address will not be published. Required fields are marked *