Incidents associés
L'IA a permis aux fraudeurs de contourner les contrôles anti-usurpation d'identité et la vérification vocale, leur permettant ainsi de produire des pièces d'identité et des documents financiers contrefaits avec une rapidité remarquable. Leurs méthodes sont devenues de plus en plus inventives à mesure que la technologie générative évolue. Comment les consommateurs peuvent-ils se protéger et que peuvent faire les institutions financières pour les aider ?
1. Les deepfakes renforcent l'arnaque à l'imposteur
L'IA a permis la plus grande arnaque à l'imposteur jamais enregistrée. En 2024, Arup, une société de conseil en ingénierie basée au Royaume-Uni, a perdu environ 25 millions de dollars après que des fraudeurs ont piégé un membre du personnel pour qu'il transfère des fonds lors d'une visioconférence en direct. Ils avaient cloné numériquement de véritables dirigeants, dont le directeur financier.
Les deepfakes utilisent des algorithmes générateurs et discriminateurs pour créer une copie numérique et évaluer le réalisme, ce qui leur permet d'imiter de manière convaincante les traits du visage et la voix d'une personne. Grâce à l'IA, les criminels peuvent créer un fichier audio et une photo en seulement une minute. Ces images, clips audio ou vidéos artificiels pouvant être préenregistrés ou diffusés en direct, peuvent apparaître n'importe où.
2. Les modèles génératifs envoient de fausses alertes de fraude
Un modèle génératif peut envoyer simultanément des milliers de fausses alertes de fraude. Imaginez quelqu'un piratant un site web d'électronique grand public. Lors de commandes importantes, l'IA appelle les clients pour leur signaler que la banque a signalé la transaction comme frauduleuse. Elle leur demande leur numéro de compte et les réponses à leurs questions de sécurité, précisant qu'elle doit vérifier leur identité.
L'appel urgent et les implications d'une fraude peuvent inciter les clients à divulguer leurs informations bancaires et personnelles. L'IA étant capable d'analyser de grandes quantités de données en quelques secondes, elle peut rapidement se référer à des faits réels pour rendre l'appel plus convaincant.
3. La personnalisation par l'IA facilite le piratage de comptes
Si un cybercriminel pourrait s'introduire par force brute en devinant sans cesse des mots de passe, il utilise souvent des identifiants de connexion volés. Il modifie immédiatement le mot de passe, l'adresse e-mail de sauvegarde et le numéro d'authentification multifacteur pour empêcher le véritable titulaire du compte de l'expulser. Les professionnels de la cybersécurité peuvent se défendre contre ces tactiques car ils en connaissent les tenants et aboutissants. L'IA introduit des variables inconnues, ce qui affaiblit leurs défenses.
La personnalisation est l'arme la plus dangereuse dont dispose un escroc. Ils ciblent souvent les personnes pendant les pics de trafic lorsque de nombreuses transactions ont lieu, comme le Black Friday, afin de compliquer la détection des fraudes. Un algorithme pourrait adapter les heures d'envoi en fonction des habitudes d'une personne, de ses habitudes d'achat ou de ses préférences de messagerie, augmentant ainsi ses chances d'interaction.
La génération avancée de langage et le traitement rapide permettent la génération d'e-mails en masse, l'usurpation de domaine et la personnalisation du contenu. Même si des acteurs malveillants envoient dix fois plus de messages, chacun semblera authentique, convaincant et pertinent.
4. L'IA générative révolutionne l'arnaque aux faux sites web
La technologie générative permet de tout faire, de la conception de maquettes à l'organisation du contenu. Un escroc peut dépenser une fortune pour créer et modifier un faux site web d'investissement, de prêt ou de banque sans code en quelques secondes.
Contrairement à une page d'hameçonnage classique, elle peut se mettre à jour en temps quasi réel et répondre aux interactions. Par exemple, si une personne appelle le numéro de téléphone indiqué ou utilise le chat en direct, elle peut être connectée à un modèle entraîné à se comporter comme un conseiller financier ou un employé de banque.
Dans un cas similaire, des escrocs ont cloné la plateforme Exante. L'entreprise fintech mondiale donne accès à plus d'un million d'instruments financiers sur des dizaines de marchés. Les victimes pensaient donc investir légitimement. Or, elles déposaient des fonds sans le savoir sur un compte JPMorgan Chase.
Natalia Taft, responsable de la conformité chez Exante, a déclaré que l'entreprise avait découvert « un certain nombre » d'escroqueries similaires, ce qui suggère que la première n'était pas un cas isolé. Mme Taft a déclaré que les escrocs avaient fait un excellent travail en clonant l'interface du site web. Elle a ajouté que les outils d'IA avaient probablement créé ce système car il s'agissait d'un « jeu de rapidité » et qu'ils devaient « toucher le plus de victimes possible avant d'être démantelés ».
5. Les algorithmes contournent les outils de détection de l'identité réelle
La détection de l'identité réelle utilise la biométrie en temps réel pour déterminer si la personne devant la caméra est réelle et correspond à l'identité du titulaire du compte. En théorie, contourner l'authentification devient plus complexe, empêchant ainsi l'utilisation d'anciennes photos ou vidéos. Cependant, cette méthode est moins efficace qu'auparavant, en raison des deepfakes alimentés par l'IA.
Les cybercriminels pourraient utiliser cette technologie pour imiter de vraies personnes et accélérer le piratage de comptes. Ils pourraient également piéger l'outil afin qu'il vérifie une fausse identité, facilitant ainsi le trafic d'argent.
Les escrocs n'ont pas besoin d'entraîner un modèle pour ce faire : ils peuvent payer pour une version pré-entraînée. Une solution logicielle prétend pouvoir contourner cinq des outils de détection d'identité les plus répandus utilisés par les entreprises fintech pour un achat unique de 2 000 $. Les publicités pour ce type d'outils abondent sur des plateformes comme Telegram, démontrant la facilité avec laquelle la fraude bancaire moderne est possible.
6. Les identités basées sur l'IA permettent la fraude aux nouveaux comptes
Les fraudeurs peuvent utiliser la technologie générative pour usurper l'identité d'une personne. Sur le dark web, de nombreux sites proposent de faux documents d'État, comme des passeports et des permis de conduire. Ils fournissent également de faux selfies et de faux relevés financiers.
Une identité synthétique est une identité créée en combinant des informations réelles et fictives. Par exemple, le numéro de sécurité sociale peut être réel, mais le nom et l'adresse ne le sont pas. Par conséquent, ils sont plus difficiles à détecter avec les outils conventionnels. Le rapport 2021 sur les tendances en matière d'identité et de fraude indique qu'environ 33 % des faux positifs sont, selon Equifax, des identités synthétiques.
Les escrocs professionnels, dotés de budgets généreux et d'ambitions élevées, créent de nouvelles identités grâce à des outils génératifs. Ils cultivent leur identité en établissant un historique financier et de crédit. Ces actions légitimes trompent les logiciels de connaissance client, leur permettant de passer inaperçus. Ils finissent par maximiser leur crédit et disparaissent avec des revenus nets positifs.
Bien que ce processus soit plus complexe, il se déroule de manière passive. Des algorithmes avancés, entraînés aux techniques de fraude, peuvent réagir en temps réel. Ils savent quand effectuer un achat, rembourser une dette de carte de crédit ou contracter un prêt, comme un humain, ce qui les aide à échapper à la détection.
Ce que les banques peuvent faire pour se protéger contre ces arnaques à l'IA
Les consommateurs peuvent se protéger en créant des mots de passe complexes et en faisant preuve de prudence lorsqu'ils partagent des informations personnelles ou des informations sur leurs comptes. Les banques devraient redoubler d'efforts pour se protéger contre la fraude liée à l'IA, car elles sont responsables de la sécurisation et de la gestion des comptes.
1. Utiliser des outils d'authentification multifacteur
Les deepfakes ayant compromis la sécurité biométrique, les banques devraient privilégier l'authentification multifacteur. Même si un escroc parvient à voler les identifiants de connexion d'une personne, il ne peut pas y accéder.
Les institutions financières devraient recommander à leurs clients de ne jamais partager leur code MFA. L'IA est un outil puissant pour les cybercriminels, mais elle ne peut pas contourner de manière fiable les codes d'accès à usage unique sécurisés. L'hameçonnage est l'un des seuls moyens par lesquels elle peut tenter d'y parvenir.
2. Améliorer les normes de connaissance du client
Le KYC est une norme de services financiers exigeant des banques qu'elles vérifient l'identité, le profil de risque et les dossiers financiers de leurs clients. Bien que les prestataires de services opérant dans des zones d'ombre juridique ne soient techniquement pas soumis au KYC (les nouvelles règles affectant la DeFi n'entreront pas en vigueur avant 2027) (https://www.ifcreview.com/news/2025/january/us-irs-and-treasury-impose-new-tax-rules-for-crypto-defi-platforms/)), il s'agit d'une bonne pratique à l'échelle du secteur.
Les identités synthétiques, dotées d'un historique de transactions légitime et soigneusement entretenu depuis des années, sont convaincantes, mais sujettes aux erreurs. Par exemple, une simple ingénierie rapide peut forcer un modèle génératif à révéler sa véritable nature. Les banques devraient intégrer ces techniques à leurs stratégies.
3. Utiliser l'analyse comportementale avancée
Une bonne pratique pour lutter contre l'IA consiste à combattre le feu par le feu. L'analyse comportementale, basée sur un système d'apprentissage automatique, peut collecter simultanément une quantité considérable de données sur des dizaines de milliers de personnes. Elle peut tout suivre, des mouvements de souris aux journaux d'accès horodatés. Un changement soudain indique une prise de contrôle du compte.
Si les modèles avancés peuvent imiter les habitudes d'achat ou de crédit d'une personne s'ils disposent de suffisamment de données historiques, ils ne sauront pas imiter la vitesse de défilement, les habitudes de balayage ou les mouvements de souris, ce qui confère aux banques un avantage subtil.
4. Effectuer des évaluations de risques complètes
Les banques devraient procéder à des évaluations de risques lors de la création d'un compte afin de prévenir la fraude et de refuser les ressources des mules financières. Elles peuvent commencer par rechercher les incohérences de nom, d'adresse et de numéro de sécurité sociale.
Bien que les identités synthétiques soient convaincantes, elles ne sont pas infaillibles. Une recherche approfondie dans les archives publiques et les réseaux sociaux révélerait qu'elles ne sont apparues que récemment. Un professionnel pourrait les supprimer avec le temps, empêchant ainsi le trafic d'argent et la fraude financière.
Une suspension temporaire ou une limite de transfert en attente de vérification pourrait empêcher les acteurs malveillants de créer et de supprimer des comptes en masse. Si rendre le processus moins intuitif pour les utilisateurs réels peut engendrer des frictions, cela pourrait faire économiser des milliers, voire des dizaines de milliers de dollars aux consommateurs à long terme.
Protéger les clients contre les escroqueries et la fraude liées à l'IA
L'IA pose un sérieux problème aux banques et aux entreprises de technologie financière, car les acteurs malveillants n'ont pas besoin d'être des experts, ni même de posséder de solides connaissances techniques, pour exécuter des escroqueries sophistiquées. De plus, ils n'ont pas besoin de créer un modèle spécialisé. Ils peuvent simplement débrider une version générique. Ces outils étant si accessibles, les banques doivent être proactives et vigilantes.