10 maart 2025 12:06

AI-gestuurde fraude: een nieuwe soort bedrijfsfraude- ESET Research

Artificiële intelligentie (AI) kan repetitieve taken automatiseren, klantenservice en codering verbeteren en ook informatie updaten om de zakelijke besluitvorming te verbeteren. In oktober 2023 schatte Gartner (Gartner estimated) dat 55% van de bedrijven zich in de piloot- of productiefase bevond met generatieve AI (GenAI). Maar ook criminele ondernemingen innoveren met deze technologie. Cybercriminelen maken op diverse manieren gebruik van de kracht van AI en deepfakes:

Nepwerknemers: honderden bedrijven zouden naar verluidt geïnfiltreerd zijn door Noord-Koreanen die zich voordoen als IT-freelancers die op afstand werken. Ze gebruiken AI-tools om valse cv’s en vervalste documenten op te stellen, inclusief door AI gemanipuleerde foto’s, om zo door controles te geraken. Hun doel is om geld te verdienen, het terug te sturen naar het Noord-Koreaanse regime, en ook om datadiefstal en spionage te plegen en zelfs om ransomware te gebruiken.

Een nieuwe soort Business Email Compromise (BEC)-fraude: deepfake-audio- en videoclips worden gebruikt voor BEC-fraude, waarbij financiële medewerkers misleid worden om bedrijfsfondsen over te maken naar rekeningen die gecontroleerd worden door oplichters. Onlangs werd een financiële medewerker overgehaald om $ 25 miljoen over te maken naar fraudeurs die deepfakes gebruikten om zich, in een videoconferentie-gesprek, voor te doen als de CFO van het bedrijf en andere personeelsleden. Al in 2019 werd een Britse energieverantwoordelijke misleid om £ 200.000 over te maken naar oplichters nadat hij met een deepfake-versie van zijn baas aan de telefoon had gesproken.

Authenticatie omzeilen: deepfakes worden gebruikt om zich voor te doen als klanten, nieuwe persona’s te creëren en authenticatiecontroles te omzeilen om zo accounts en logins te creëren. GoldPickaxe, een malware, verzamelt gezichtsherkenningsgegevens, die worden gebruikt om deepfake-video’s te maken. Volgens een rapport zou 13,5% van de digitale rekeningopeningen wereldwijd frauduleus kunnen zijn.

Deepfake-zwendel: Cybercriminelen gebruiken deepfake-zwendel het nabootsen van de CEO van een bedrijf of andere prominente figuren op sociale media, voor frauduleuze investeringen en andere vormen van oplichting. Jake Moore van ESET heeft aangetoond dat elke leidinggevende hiervan het slachtoffer kan zijn en, zoals het laatste dreigingsrapport van ESET het beschrijft, gebruiken criminelen deepfakes en netwerken om hun slachtoffers te verleiden tot een nieuw soort investeringsfraude, Nomani genaamd.

Kraken van wachtwoorden: AI-algoritmen kunnen wachtwoorden van klanten en werknemers kraken, zodat gegevensdiefstal, ransomware en identiteitsfraude mogelijk worden. PassGAN zou wachtwoorden in minder dan 30 seconden kunnen kraken.

Documentenvervalsing: door AI gegenereerde of gewijzigde documenten maken het mogelijk om KYC-controles (Know Your Customer) van banken en andere bedrijven te omzeilen en worden gebruikt voor verzekeringsfraude. Veel claimmanagers (94%) vermoeden dat minstens 5% van de claims wordt gemanipuleerd door AI, vooral die met een lage waarde.

Phishing en verkenning: het Britse National CyberSecurity Centre (NCSC) heeft gewaarschuwd voor de positieve impuls die cybercriminelen krijgen van generatieve en andere vormen van AI. In 2024 zou deze technologie “het volume en de impact van cyberaanvallen de komende twee jaar vergroten”. Het zou een aanzienlijke impact hebben op het verbeteren van de efficiëntie van social engineering en doelherkenning, wat ransomware, gegevensdiefstal en grote phishing-aanvallen zou aanwakkeren.

De impact vanAI-fraude kan, in diverse mate, tot reputatie- en financiële schade leiden. Volgens één rapport was 38% van de omzetverliezen als gevolg van fraude het afgelopen jaar te wijten aan AI-gestuurde fraude:

Door het omzeilen van KYC, verzamelen fraudeurs kredieten en halen ze klantenrekeningen leeg.

Valse werknemers kunnen gevoelige intellectuele eigendom en klantinformatie stelen, waardoor financiële, reputatie- en conformiteitsproblemen ontstaan.

BEC-fraude (BEC scams) kan aanzienljike eenmalige verliezen veroorzaken. In 2023 zou dit cybercriminelen ruim 2,9 miljard dollar hebben opgeleverd.

Nabootsing van identiteit (Impersonation scams) bedreigt de loyaliteit van klanten. Een derde van hen (third of customers say) zegt dat ze een merk waar ze van houden zouden verlaten na slechts één slechte ervaring.

Om de op AI gebaseerd fraude te bestrijden, moet men een oplossing hebben voor personeel, processen en technologie. Dit omvat:

Frequente beoordelingen van de frauderisico’s
Updaten van het fraudebestrijdingsbeleid om het aan AI aan te passen
Uitgebreide training- en bewustmakingsprogramma’s voor het personeel (over het herkennen van phishing en deepfakes) (how to spot phishing)
Training- en bewustmakingsprogramma’s voor klanten
Multi-factor authenticatie (MFA) mogelijk maken voor gevoelige zakelijke en klanten accounts
Betere antecedenten-onderzoek van medewerkers, cv-analyse en detectie van inconsistentie
Zorgen dat alle werknemers een video-interview hebben voordat ze aangeworven worden
De samenwerking tussen HR- en cybersecurity-teams verbeteren (HR and cybersecurity teams).

AI-tools kunnen ingezet worden om deepfakes te detecteren (bijvoorbeeld bij KYC-controles), machine learning-algoritmen om patronen van verdacht gedrag in personeels- en klantgegevens op te sporen en generatieve AI om synthetische data te genereren waarmee nieuwe fraudemodellen voor trainingen kunnen ontwikkeld, getest en gebruikt worden. .

Bedrijven moeten hun cyberbeveiligings- en fraudebestrijdings-beleid updaten en zich aanpassen aan de veranderende bedreigingen. Anders lopen ze het risico klantloyaliteit, merkwaarde en belangrijke digitale transformatie-initiatieven te laten ontsporen.

Dit artikel is geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.