В последние годы развивались не только онлайн-платежи, но и связанные с ними виды мошенничества. Ежегодно из-за мошенничества теряются миллиарды долларов. Чтобы оградить предприятия и потребителей от рисков мошенничества с онлайн-платежами, необходимо хорошо понимать меняющиеся проблемы рынка,сообщает payspacemagazine.com.
Фото:freepik.com
Первые онлайн-платежи были зарегистрированы в начале 1990-х годов. За последние три десятилетия они стали быстрее, удобнее и, конечно же, намного безопаснее. Тем не менее, мошенничество с онлайн-платежами также не зашло в тупик. Его эволюция стала особенно очевидной во время пандемии 2020 года, когда объемы электронной коммерции резко возросли.
Тревожные прогнозы предполагают, что совокупные потери от мошенничества с онлайн-платежами во всем мире в период с 2023 по 2027 год превысят 343 миллиарда долларов , при этом объемы потерянных средств будут расти с прогнозируемым среднегодовым темпом +40% в период с 2023 по 2028 год. В настоящее время Северная Америка и Европа лидируют по отрицательной статистике. случаев онлайн-мошенничества. Однако к 2025 году ожидается, что Азиатско-Тихоокеанский регион возьмет на себя инициативу.
Краткая история мошенничества с онлайн-платежами
За последние тридцать лет мошенничество с онлайн-платежами значительно развилось, тактика адаптировалась к изменениям в технологиях, поведении потребителей и мерах безопасности.
Несколько важных вех в истории мошенничества с онлайн-платежами включают появление фишинга в начале 2000-х годов и рост мошенничества в социальных сетях в середине 2000-х годов. В последние годы, когда криптовалюта приобрела популярность, мы также должны обратить внимание на мошенничество с криптовалютой, включая мошенничество с ICO и мошенничество с криптоджекингом. Хотя криптовалюты в настоящее время не являются основным методом онлайн-платежей, они вполне могут стать ими в ближайшем будущем.
Фишинг
В начале 2000-х годов фишинг стал доминирующим методом онлайн-мошенничества. Этот тип мошенничества включает в себя мошеннические электронные письма или сообщения, аналогичные тем, которые вы получаете из законных источников (например, банков или сайтов электронной коммерции). Они созданы очень убедительно, чтобы обманом заставить пользователей предоставить свою личную или финансовую информацию.
До конца 2000-х — начала 2010-х основной площадкой для фишинговых атак были адреса электронной почты. Однако распространение мобильных устройств создало новые возможности для фишингового мошенничества. Это вызвало популярность мошенничества с «премиальными SMS», при котором за обычные сообщения взимается дополнительная плата, и «смишинга» — фишинговых атак, осуществляемых с помощью текстовых сообщений.
До сегодняшнего дня угроза фишинга не устранена. Более того, мошенники используют самые современные технологии, такие как генеративный искусственный интеллект, для масштабирования своих фишинговых атак . Теперь, кроме фейковых текстовых ссылок, можно встретить вполне реальные манипулятивные видеоролики, созданные с использованием записанных голосов руководителей компаний и их изображений, фальшивые удостоверения личности и удостоверения личности, сгенерированные искусственным интеллектом, нежелательные звонки, выполняемые дипфейковым аудиоботом, и другой контент.
Еще один новый тип фишингового мошенничества — фишинг поисковых систем. Это происходит, когда киберпреступники манипулируют результатами поисковых систем Google, Bing и т. д., чтобы разместить поддельные веб-сайты или мошеннические номера телефонов поддержки в верхней части результатов поиска.
Еще одна недавняя схема, известная как фарминг, представляет собой разновидность фишинговой атаки, при которой мошенники перенаправляют трафик веб-сайтов на поддельные веб-сайты без ведома или согласия пользователя. Если пользователи затем введут свои учетные данные на поддельных ресурсах, их личность и банковские данные будут украдены. Многие фейковые веб-сайты имитируют названия известных компаний, при этом небольшие изменения наблюдаются только в их URL-адресах.
Используя коварный метод двойного фишинга, киберпреступники даже создают целые мошеннические сети Wi-Fi. Те, кто подключаются к этим сетям, рискуют потерять свои конфиденциальные данные. В этом случае преступники также могут взломать ваш IP-адрес.
Мошенничество с отсутствием карты (CNP)
Мошенничество с картами — одно из наиболее распространенных случаев мошенничества, с которым сталкиваются ритейлеры. Когда в 2010-х годах стало происходить больше случаев мошенничества с физическими банковскими картами, большинство стран начали переходить на карты с чипом EMV. В ответ мошенники переключили свое внимание на онлайн-мошенничество и мошенничество без предъявления карты (CNP), как на более привлекательные цели. Мошенничество CNP происходит, когда мошенники используют украденные данные кредитной карты для совершения покупок в Интернете.
За последнее время мошенничество CNP также развилось. Теперь киберпреступники атакуют не только карточные платежи, но и взламывают электронные кошельки, платежи A2A и варианты «Купи сейчас, заплати позже».
Одним из распространенных способов получения данных карты жертвы является захват счета. Чтобы ускорить получение доступа к учетным записям пользователей, мошенники все чаще используют ИИ. Когда эта многообещающая технология попадает в чужие руки, эта многообещающая технология может помочь киберпреступникам генерировать персонализированные сообщения для обмана пользователей, автоматизировать атаки социальной инженерии или создавать более привлекательный контент для убедительных фейковых веб-сайтов или профилей в социальных сетях.
Другой тип новой атаки с использованием карты отсутствия карты — это триангуляционное мошенничество. Это изощренная схема, в которой мошенник создает поддельный онлайн-рынок со значительными скидками, чтобы заманить клиентов. Потребитель, ищущий выгодные предложения, размещает заказ. Затем мошенник собирает все платежные реквизиты и размещает заказ на законной торговой площадке с платежными реквизитами другого держателя карты и адресом доставки первоначального потребителя. Когда владелец карты узнает, что был произведен несанкционированный платеж, продавцу грозит возвратный платеж . По оценкам, объемы возвратных платежей в розничной торговле вырастут на 42% в период с 2023 по 2026 год, достигнув 337 миллионов во всем мире.
Какие виды мошенничества с онлайн-платежами представляют наибольший риск в 2024 году?
Платежные системы и финансовые учреждения постоянно внедряют все более сложные системы обнаружения мошенничества для выявления и предотвращения мошеннических транзакций. Однако им всегда следует сохранять бдительность по отношению к возникающим угрозам и развивающимся мошенническим технологиям.
Мошеннические методы на основе искусственного интеллекта
Будучи самым быстрорастущим приложением всех времен, ChatGPT открыл новые возможности для бизнеса. В то же время хакеры, которые используют инновационные инструменты искусственного интеллекта и чат-ботов в гнусных целях, создали свои собственные версии генеративных решений искусственного интеллекта, подобных ChatGPT. Такие инструменты, как WormGPT или PoisonGPT, представляют собой неэтичные инструменты искусственного интеллекта, основанные на моделях большого языка (LLM) с открытым исходным кодом.
ЧервьGPT и PoisonGPT
Например, WormGPT специально используется для написания фишинговых атак Business Email Compromise (BEC), направленных на эксплуатацию крупных предприятий. Основанный на языковой модели GPT-J 2021 года, он лишен каких-либо ограничений против злоупотреблений. Таким образом, WormGPT может использовать нецензурные слова, писать сообщения, разжигающие ненависть, писать вирусные коды и делать все, что хакеры просят его сделать.
PoisonGPT — это метод, позволяющий «отравить» надежную цепочку поставок LLM вредоносной моделью. Вредоносная модель искусственного интеллекта, интегрированная в надежный LLM, может выполнять различные задачи: от распространения ложной информации до кражи конфиденциальных данных. Например, большую часть времени модель может работать вполне нормально, но намеренно предоставлять ложную информацию в ответ на определенные запросы. Инструмент имитирует законные решения искусственного интеллекта, поэтому пользователям трудно отличить законные инструменты от вредоносных. Хотя сам PoisonGPT был разработан исследователями безопасности специально для иллюстрации уязвимостей в системах искусственного интеллекта, подобные инструменты могут быть легко разработаны и использованы киберпреступниками.
Разнообразие инструментов искусственного интеллекта, способствующих мошенничеству, огромно
В различных отчетах за 2023 год было обнаружено по меньшей мере 50 поддельных приложений искусственного интеллекта, которые обманывают ничего не подозревающих пользователей посредством фишинговых атак, в ходе которых перехватываются их личные и платежные данные. Кроме того, Калифорнийский DFPI заметил рост инвестиционных мошенничеств, которые используют шумиху вокруг ИИ. Преступники утверждают, что используют ИИ для зарабатывания денег для инвесторов, например, заявляют, что их инструменты ИИ могут торговать криптовалютой от имени инвесторов и приносить слишком хорошую прибыль, чтобы быть правдой.
Легитимные чат-боты с искусственным интеллектом, такие как ChatGPT, могут по незнанию помочь злоумышленникам генерировать чистый, гибкий текст для фишинговых сообщений, которые исторически отличались орфографическими и грамматическими ошибками, не типичными для официальных компаний в их общении с клиентами.
Кроме того, существуют мошеннические действия в социальных сетях , в которых используются спонсируемые посты с фейковыми страницами Facebook, рекламирующими «улучшенные» версии инструментов искусственного интеллекта. Вместо загрузки рекламируемого программного обеспечения искусственного интеллекта ничего не подозревающие пользователи подвергают риску свои пароли и другую конфиденциальную информацию. В дальнейшем они могут быть использованы для мошенничества с онлайн-платежами.
Наконец, голосовое мошенничество с использованием искусственного интеллекта использует аудиоданные из учетной записи жертвы в социальных сетях для создания нового аудиоконтента, предполагающего, что жертва отчаянно нуждается в деньгах. Такие аудиофайлы отправляются по голосовой почте или голосовым заметкам членам семьи жертвы, чтобы инициировать мошеннический перевод денег.
Подмена данных и биометрические хаки
Среди инновационных мошеннических методов, используемых в схемах онлайн-платежей, есть много случаев, когда передовые технологии способствуют краже данных.
Одним из примеров является мошенники, подделывающие данные своих цифровых отпечатков пальцев, включая такие элементы, как данные браузера, IP-адреса, мультимедийные устройства, данные типа mime, географическое местоположение или часовые пояса. Подделка может ввести в заблуждение системы обнаружения рисков и обеспечить анонимность преступника.
Такие манипуляции могут помочь мошенникам обойти географические ограничения, налагаемые сайтами электронной коммерции, например, когда определенные места заблокированы из-за введенных санкций или являются источниками крупных или масштабных попыток мошенничества. Мошенники часто используют малоизвестные нелегальные VPN-сервисы и прокси-серверы, которые трудно обнаружить.
Биометрические данные сложно имитировать, но они также уязвимы для хакерских атак. Появляется все больше сообщений об использовании искусственного интеллекта и других передовых технологий для преодоления биометрической защиты, используемой банками. Таким образом, киберпреступники используют инструменты генеративного искусственного интеллекта для подделки изображений людей и отпечатков голоса, используемых для идентификации. В этом случае только дополнительные уровни безопасности, такие как поведенческая биометрия, смогут отличить реальных пользователей от ботов и мошенников.
Более того, существуют новые вредоносные программы для кражи биометрических данных, которые крадут сохраненные биометрические данные. За последние несколько лет взлом биометрических данных становится все более популярным способом доступа преступников к конфиденциальным данным. Эту атаку можно осуществить либо путем перехвата данных в процессе передачи, либо путем их кражи из базы данных. Для поставщиков электронной коммерции и финансовых учреждений это означает, что биометрическая проверка больше не может быть основным методом аутентификации.
Краткое содержание
Мошенничество с онлайн-платежами существует уже несколько десятилетий. За последние годы он значительно изменился, поскольку передовые технологии, такие как искусственный интеллект (ИИ), облегчают фишинговые атаки, захват учетных записей и мошенничество без предъявления карт. Ожидается, что в этом году, как и в последующие годы, мы станем свидетелями всплеска активности киберпреступников, чему будут способствовать технологии дипфейков, подделки данных, биометрических взломов и изощренных схем триангуляционного мошенничества. Это приводит к увеличению инвестиций в системы кибербезопасности во всем мире и разработке «более умных» методов многоуровневой аутентификации.
Источник payspacemagazine.com