11 februari 2025 16:10

ESET Research: door AI aangestuurde identiteitsfraude zorgt voor chaos

Artificiële intelligentie (AI) verandert onze wereld op een grondige wijze. Voor de consument betekent dit nauwkeuriger gepersonaliseerde digitale content, betere medische diagnostiek, real-time vertaling als hulp op vakantie en generatieve AI-assistenten om de productiviteit op het werk te verbeteren. AI helpt ook cybercriminelen om productiever te zijn, vooral bij identiteitsfraude – vandaag de meest voorkomende fraude.

Meer dan een derde van de professionals in bankrisico’s en innovatie in het VK, Spanje en de VS ziet de opkomst van door AI gegenereerde fraude en deepfakes als hun grootste uitdaging. Hoe werkt het en hoe kan men veilig blijven?

Identiteitsfraude is het gebruik van persoonlijk identificeerbare informatie (PII) om een misdaad te plegen, zoals het opbouwen van kredietkaartschulden op iemands naam, of het verkrijgen van toegang tot een bank- of andere rekening. Naar schatting is op AI-gebaseerde fraude nu goed voor meer dan 43% van alle fraudepogingen die door de financiële en betalingssector zijn geregistreerd. 29% van die pogingen wordt als succesvol beschouwd. Hoe helpt AI de cybercriminelen?

Hier zijn verschillende tactieken:

Deepfake account takeovers (ATO’s) en account-creatie: oplichters gebruiken deepfake audio- en videogelijkenissen van gebruikers om de Know Your Customer (KYC)-controles te omzeilen die door financiële dienstverleners worden gebruikt om na te gaan of klanten wel zijn wie ze beweren te zijn. Eén rapport beweert (One report claims) dat deepfakes nu goed zijn voor 24% van de frauduleuze pogingen om op beweging gebaseerde biometrische controles te passeren en voor 5% van de statische controles gebaseerd op selfies.
Documentvervalsingen: fraudeurs gebruikten vroeger fysieke documentvervalsingen, zoals vervalste paspoortpagina’s, om nieuwe rekeningen te openen op naam van slachtoffers. Tegenwoordig doen ze dat vaker digitaal. Uit een rapport blijkt dat digitale vervalsingen goed zijn voor meer dan 57% van alle documentenfraude – een jaarlijkse stijging met 244%.
Synthetische fraude: oplichters creëren nieuwe identiteiten door echte (gestolen) en verzonnen PII te combineren om een volledig nieuwe (synthetische) identiteit te maken, of een nieuwe identiteit te vormen met uitsluitend gefabriceerde data. Volgens een rapport denkt 76% van de Amerikaanse fraude- en risicoprofessionals dat hun organisatie synthetische klanten heeft. Ze schatten dat dit type fraude jaarlijks met 17% toeneemt.
Deepfakes die vrienden en familie bedriegen: nepvideo of -audio wordt gebruikt in oplichtingspraktijken die zelfs familie en vrienden bedriegen. Virtuele ontvoering, een techniek waarbij familieleden opgebeld worden door een oplichter die beweert u te hebben ontvoerd. Hij laat een deepfake-audio van uw stem horen als bewijs en eist losgeld. ESET Global Security Advisor Jake Moore laat hier zien wat kan gebeuren https://www.welivesecurity.com/en/cybercrime/the-grand-theft-of-jake-moores-voice-the-concept-of-a-virtual-kidnap/
Credential stuffing (voor ATO): gestolen inloggegevens worden gebruikt in geautomatiseerde pogingen om toegang te krijgen tot andere accounts waarvoor u mogelijk dezelfde gebruikersnaam en hetzelfde wachtwoord gebruikte. Op AI gebaseerde tools kunnen deze lijsten snel genereren vanuit meerdere gegevensbronnen wat helpt om aanvallen op te drijven. Ze worden ook gebruikt om menselijk gedrag nauwkeurig na te bootsen tijdens het inloggen en defensieve filters te misleiden.

Op AI gebaseerde fraude kan:

Grote emotionele stress veroorzaken bij personen die opgelicht zijn. Volgens een rapport overwoog 16% van de slachtoffers zelfmoord te plegen ten gevolge van een identiteitsmisdrijf;
De kans op succes van oplichting vergroten, wat ten koste gaat van winst, waardoor bedrijven verplicht worden hun prijzen te verhogen;
De nationale economie beïnvloeden: lagere winsten betekenen lagere belastinginkomsten, zodat er minder geld is voor openbare diensten;
Het publieke vertrouwen in de rechtsstaat en zelfs de democratie ondermijnen;
Het vertrouwen van het bedrijfsleven ondermijnen, wat mogelijk leidt tot lagere investeringen in het land.

Organisaties gebruiken steeds vaker defensieve AI-tools om tekens van fraude duidelijk te herkennen. De meest effectieve strategie voor oplichters is om de kans onze PII en audio-/videogegevens te verkrijgen, te minimaliseren. Hoe?

Niet te veel informatie op sociale media delen en privé-gegevens beperken;
Bewust zijn van phishing: de domeinen van de afzender controleren, op tik- en grammaticafouten letten, nooit op links of open bijlagen in ongevraagde e-mails klikken;
Multifactorauthenticatie (MFA) op alle accounts inschakelen;
Steeds sterke, unieke wachtwoorden gebruiken, opgeslagen in een password manager;
Software up-to-date houden op alle laptops en mobiele toestellen;
Bank- en kaartrekeningen nauwlettend in de gaten houden, regelmatig op verdachte activiteiten controleren en accounts onmiddellijk blokkeren als er iets niet klopt;
Beveiligingssoftware met meerdere lagen van een gerenommeerde leverancier op alle toestellen installeren;
Op de hoogte van de nieuwste AI-fraudetactieken blijven en vrienden en familie over deepfakes en AI-fraude informeren.

Op AI gebaseerde fraude-aanvallen zullen blijven groeien gezien de technologie goedkoper en effectiever wordt. Deze nieuwe cyber-wapenwedloop heeft plaats tussen verdedigers van bedrijfsnetwerken en hun tegenstanders. De consumenten komen daar middenin terecht. Zorg er dus voor dat u niet het volgende slachtoffer wordt.

Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.