Финансовые гиганты разрабатывают стратегию противодействия атакам с подменой личности на основе ИИ

Инструменты генеративного искусственного интеллекта настолько снизили стоимость создания дипфейков, что преступники и государственные структуры теперь регулярно используют их против финансовых организаций. Совместный документ от Американской банковской ассоциации, Коалиции за лучшую идентификацию и Координационного совета финансового сектора описывает масштаб проблемы и призывает федеральные и государственные органы власти к действиям в различных сферах.

Количество инцидентов с дипфейками в финтех-секторе выросло на 700% в 2023 году по сравнению с 2022 годом. Центр финансовых услуг Deloitte прогнозирует, что потери от мошенничества с использованием ИИ в США могут достичь 40 миллиардов долларов к 2027 году, увеличившись с 12,3 миллиарда в 2023 году, что составляет совокупный годовой темп роста в 32%. В 2021 году 42% отчётов о подозрительной деятельности, поданных в соответствии с Законом о банковской тайне, были связаны с компрометацией идентификации или аутентификации.

В настоящее время финансовые учреждения атакуют по десяти основным направлениям, включая использование дипфейков против систем верификации личности, фишинговые кампании, созданные ИИ, создание синтетических личностей, мошенничество с дипфейками в реальном времени и использование ИИ-агентов для захвата учётных записей.

Почему фишинг распространяется так быстро

Большие языковые модели могут автоматизировать весь процесс фишинга. Эта автоматизация снижает стоимость фишинговых атак более чем на 95% и обеспечивает успешность, равную или превышающую ручные кампании. Согласно исследованию, приведённому в отчёте, 60% людей становились жертвами автоматизированного ИИ-фишинга.

Уязвимости устаревших методов аутентификации теперь усугубляются возможностями ИИ. Одноразовые пароли по SMS и push-уведомления в приложениях-аутентификаторах уязвимы для фишинга. Пароли также уязвимы. Инструменты ИИ позволяют злоумышленникам эксплуатировать эти слабости в масштабах и со скоростью, которые ранее были экономически невыгодны.

Что предлагается сделать регуляторам

Рекомендации сгруппированы в четыре инициативы. Первая касается подтверждения и проверки личности. Целевая группа под руководством Министерства финансов должна координировать действия федеральных, государственных и местных органов для устранения разрыва между физическими удостоверениями и их цифровыми аналогами. Мобильные водительские права, использующие асимметричную криптографию с открытым ключом, указаны как один из жизнеспособных путей. Дипфейк не может подделать владение закрытым криптографическим ключом, что делает учётные данные на основе криптографии устойчивыми к текущим атакам с использованием ИИ.

Расширение электронной системы проверки номеров социального страхования на основе согласия (eCBSV) Администрации социального обеспечения также находится в списке. В настоящее время система ограничена узким кругом кредитных финансовых услуг. Открытие её для открытия счетов, проверки биографических данных и других сценариев проверки личности предоставит финансовым учреждениям и другим организациям способ верификации личностей через авторитетный государственный источник.

Дальнейшие действия в рамках этой инициативы включают федеральные гранты для помощи штатам в модернизации инфраструктуры идентификации, новые услуги по проверке атрибутов в Налоговой службе, Государственном департаменте и Почтовой службе США, опцию цифрового паспорта для американцев, полномочия для Почтовой службы по предоставлению услуг очной верификации личности, а также обновлённые рекомендации NIST по биометрическим алгоритмам и технологиям определения подлинности.

Вторая инициатива касается аутентификации. Регуляторам предлагается стимулировать финансовые учреждения к переходу на устойчивую к фишингу аутентификацию, в частности, на FIDO-ключи безопасности и ключи доступа, как для внутренних систем, так и для приложений, ориентированных на клиентов. От политиков также ожидается, что они будут избегать создания ограничений, препятствующих использованию аналитики данных для выявления мошенничества на основе оценки рисков.

Джереми Грант, координатор Коалиции за лучшую идентификацию, рассказал Help Net Security, что внедрение ключей доступа идёт активнее, чем может показаться, учитывая недавнее появление этой технологии в широком масштабе. «По-настоящему массовое появление ключей доступа в потребительском пространстве началось лишь в конце 2023 года, и то, что большинство потребителей теперь знают, что это такое, менее чем за три года, примечательно, учитывая, сколько времени обычно требуется новым технологиям, чтобы дойти до потребителей», — сказал Грант.

Грант указал на устойчивое заблуждение, осложняющее усилия по внедрению. Некоторые люди считают, что отказ от паролей делает их менее защищёнными, — мнение, сформированное десятилетиями рекомендаций создавать надёжные уникальные пароли. «Это уже давно не является эффективным инструментом кибербезопасности, но это не значит, что среднестатистический потребитель это понимает», — отметил Грант. Публичная информационная кампания об устойчивой к фишингу аутентификации является одной из заключительных рекомендаций отчёта, отчасти для устранения этого пробела.

Третья инициатива касается международной координации. NIST, Министерство внутренней безопасности и Министерство финансов будут взаимодействовать с коллегами из Европейского союза и других стран по вопросам совместимости и стандартов цифровых кошельков. Китай и другие противники активно участвуют в международных органах по стандартизации, охватывающих цифровую идентификацию и аутентификацию, а участие США в этих организациях ограничено бюджетом и кадровыми ресурсами.

Четвертая инициатива включает просвещение населения, в том числе кампанию, которую Министерство финансов проведет совместно с CISA и финансовыми учреждениями об угрозах дипфейков, а также отдельную информационную работу, посвященную ключам доступа и другим инструментам, устойчивым к фишингу.

Регуляторный пробел

Финансовые учреждения работают в соответствии с требованиями Закона о банковской тайне для проверки личности клиентов и руководящими указаниями Федерального совета по надзору за финансовыми учреждениями по аутентификации. В обеих областях регуляторам необходимо выпустить обновленные рекомендации, чтобы дать учреждениям уверенность в использовании новых технологий учетных данных для выполнения существующих требований соответствия.

Грант отметил, что угроза выходит далеко за рамки финансовых услуг. «Дипфейки — это не отраслевая, а общенациональная проблема, — заявил он. — Это одни и те же организованные преступники и враждебные государства, использующие одни и те же фундаментальные недостатки инфраструктуры идентификации и аутентификации для хищений у банков, финтех-компаний, организаций здравоохранения, ритейлеров, участников рынка криптовалют и правительства».

Грант выделил четыре из 20 рекомендаций, оказывающих наиболее широкое межотраслевое воздействие: программа грантов для штатов, связанная с руководством NIST, расширение доступа к eCBSV, ускорение разработки руководства NIST по определению подлинности и создание межведомственной рабочей группы для мониторинга угроз идентификации на основе ИИ. Он также отметил интерес к законопроекту HR 7270, «Закону о предотвращении мошенничества с личными данными и кражи личных данных 2026 года», который поручил бы Министерству финансов реализовать программу грантов, охватывающую как безопасность финансового сектора, так и мошенничество при распределении государственных пособий.

Рекомендации сформулированы как действия, достижимые в течение двух-трех лет, при этом авторы ссылаются на прошлые примеры крупномасштабных инициатив в области идентификации, которые не получили развития из-за сложности.

Скачать: Обзор угроз и средств защиты идентификации SANS 2026