Deepfake-Betrug ist eine Krise - FinCEN schlägt Alarm. So können sich Finanzinstitute wehren

Das Financial Crimes Enforcement Network des US-Finanzministeriums (FinCEN) hat eine bahnbrechende Warnung herausgegeben - eine wachsende Bedrohung, angetrieben durch generative KI die auf Finanzinstitute (FIs) abzielt. Dies ist eine wichtige Anerkennung der Risiken, die die Betrugslandschaft umgestalten.

Bei iProov haben wir mit führenden US-Banken und weltweit führenden Finanzdienstleistern zusammengearbeitet, darunter UBS, ING und Bradesco zusammengearbeitet, um Deepfake-Betrug zu bekämpfen, und haben unsere Erkenntnisse zu diesem Wettrüsten auf FinCEN-Veranstaltungen mitgeteilt. Unsere Lösungen, die auf fortschrittlicher Biometrie mit Liveness Detection basieren, gehen auf die Komplexität dieser sich schnell entwickelnden Bedrohung ein.

Die neue Realität des Betrugs: Deepfakes und generative KI

Deepfakes - synthetische Medien, die mit Hilfe generativer KI erstellt werden - sind heute ein wichtiges Werkzeug für Betrüger. In der Warnung der FinCEN wird ihre Verwendung bei der Fälschung hyperrealistischer Ausweisdokumente, der Fälschung von Video- und Audioaufnahmen und der Umgehung herkömmlicher Verifizierungsmethoden hervorgehoben.

Diese Entwicklungen decken sich mit den Erkenntnissen des Bedrohungsanalyse-Teams von iProov, das neue kriminelle Taktiken wie die Vermischung von echten und gefälschten PII zu synthetischen Identitäten und die Verwendung von gefälschten Konten zur Geldwäscherei. Wir sind iProov eines der wenigen Unternehmen, die als Anbieter von Maßnahmen gegen synthetischen Identitätsbetrug (SIF) von der Federal Reserve ernannt wurde.

Die wichtigsten Erkenntnisse aus dem iProov Threat Intelligence Report 2024:

• 704% Wachstum bei Face-Swap Angriffe in der zweiten Hälfte des Jahres 2023 im Vergleich zur ersten Hälfte.
• Anstieg um 255% bei digitalen Injektionen Angriffen, die auf mobile Plattformen abzielen.

Der Aufstieg von Crime/deepfake-as-a-service Marktplätze hat auch Betrugswerkzeuge leicht zugänglich gemacht. Die immer leichter zugänglichen Tools ermöglichen es Kriminellen, Angriffe in großem Umfang durchzuführen, Metadaten zu manipulieren und die Entdeckung zu verschleiern.

FinCEN's Key Red Flags - und wie man sie anspricht

Die FinCEN hat die wichtigsten Anzeichen für Deepfake-Betrug dargelegt und den Instituten damit grundlegende Hinweise gegeben. Diese roten Fahnen stimmen eng mit den Mustern überein, die wir beobachtet haben, und wir glauben, dass die Biometrie eine entscheidende Rolle bei ihrer Bekämpfung spielt.

Im Folgenden haben wir Beispiele ausgewählt, um zu zeigen, wie wissenschaftlich fundierte biometrische Daten den Rahmen von FinCEN ergänzen und verbessern:

FinCENs rote Flagge Nr. 1: Von Kunden vorgelegte, inkonsistente Identitätsdokumente. Von Deepfakes generierte Dokumente können subtile visuelle oder informationelle Unstimmigkeiten enthalten.

FinCEN's Red Flag #3: Technologische Pannen oder verdächtige Verifizierungstaktiken. Ein Kunde verwendet während einer Live-Verifizierung ein Webcam-Plugin eines Drittanbieters oder ändert während einer Live-Verifizierung die Kommunikationsmethoden aufgrund von übermäßigen oder verdächtigen technischen Störungen.

Einsicht: Hier verbessert die biometrische Verifizierung die Erkennung, indem sie das Gesicht eines Nutzers mit seinen legalen Identitätsdokumenten mit unübertroffener Genauigkeit verknüpft und sogar Unstimmigkeiten erkennt Manuelle Prüfer würden übersehen. Dies gewährleistet eine echte Präsenz und blockiert Fälschungsversuche, bevor sie erfolgreich sind. Die Verwendung biometrischer Dokumente, die das Foto des Nutzers enthalten und von einer staatlichen Behörde digital signiert sind, ist ein entscheidender Faktor für die Authentizität beim Onboarding. Wenn ein Betrüger versuchen würde, mit einem gefälschten Ausweisdokument bei einem ZI mit iProov einzusteigen, müsste er immer noch sein echtes Gesicht scannen (das nicht mit dem Dokument übereinstimmen würde) oder ein Deepfake verwenden. In beiden Fällen wird der Versuch von der Technologie zurückgewiesen. iProov arbeitet mit Spezialisten für die Dokumentenüberprüfung zusammen, die das Dokument selbst auf Anomalien hin überprüfen und letztlich eine mehrgleisige Verteidigung bieten. Da Betrüger ihre Taktiken immer weiter verfeinern, ist eine mehrgleisige Verteidigung unerlässlich. iProov kombiniert biometrische Verifikation, Dokumentenanomalie-Erkennung und dynamische Liveness Checks, um Bedrohungen wie Deepfakes und SIF aus mehreren Blickwinkeln anzugehen und sicherzustellen, dass Betrugspräventionssysteme robust genug sind, um Nutzer in jeder Phase des Verifikationsprozesses über den gesamten Lebenszyklus hinweg zu schützen.

Einsicht: Signale wie die Verwendung von Webcam-Plugins von Drittanbietern können darauf hindeuten, dass ein Benutzer einen digitalen Injektionsangriff mit synthetischen Medien durchführt. Diese Methode, bei der gefälschte Medien direkt in Identitätsüberprüfungssysteme eingefügt werden, ist fünfmal häufiger als persistente Präsentationsattacken wie Fotos oder Masken. FinCEN weist darauf hin, dass Betrüger versuchen werden, Live-Überprüfungen von Person zu Person zu vermeiden, indem sie technische Probleme auslösen. Dies setzt jedoch voraus, dass Menschen zuverlässig Fälschungen erkennen können, so dass Betrüger die Prüfungen vermeiden. Unsere Erfahrung zeigt, dass Betrüger absichtlich unsere Liveness Checks nicht bestehen, um zu einem lebenden Menschen weitergeleitet zu werden. Denn sie wissen, dass menschliche Augen mit Live-Deefakes leichter zu umgehen sind als ausgefeilte biometrische Verifizierungsprüfungen, die mehr Sicherheit und eine höhere Identitätsgewissheit bieten.

FinCen Red Flag #5 & 6: Identitätsfälschungen, die von Online-Datenbanken oder Deepfake-Erkennungssoftware erkannt werden. Ein Reverse-Image-Lookup oder eine Open-Source-Suche nach einem Identitätsfoto stimmt mit einem Bild in einer Online-Galerie von GenAI-produzierten Gesichtern überein & Das Foto oder Video eines Kunden wird von kommerzieller oder Open-Source-Software zur Erkennung von Fälschungen erkannt

Rote Flagge Nr. 8: Die geografischen oder gerätespezifischen Daten eines Kunden stimmen nicht mit den Identitätsdokumenten des Kunden überein. Betrüger manipulieren oft Metadaten wie Standort oder Gerätesignaturen, um ihre Aktivitäten zu verschleiern.

Einblick: iProov ist eine kommerzielle Software zur Erkennung von Fälschungen, die ein Höchstmaß an Sicherheit bei der Benutzeridentität bietet. Biometrisches Onboarding und fortlaufende Authentifizierung stellen sicher, dass Konten mit echten Nutzern verknüpft bleiben, was die nachgelagerten Betrugsrisiken und den Ressourcenaufwand reduziert. iProov fängt Deepfakes durch unsere Erkennung von Injektionsangriffen (IAD), Präsentationsangriffen und andere algorithmische Verfahren ab. All dies wird durch die Echtzeit-Bedrohungserkennung iSOC ergänzt. Durch die Verknüpfung biometrischer Daten mit vertrauenswürdigen Identitätsdokumenten können Finanzinstitute böswillige Akteure an New Account Fraud und Account Takeover Fraud hindern. Das bedeutet, dass Finanzinstitute weniger Zeit und Ressourcen für die manuelle/verhaltensbasierte Nachverfolgung aufwenden müssen, wenn sie sich auf die echte Anwesenheit verlassen können, die durch wissenschaftlich fundierte Liveness ermittelt wurde - also darauf, dass es sich um die richtige Person handelt, die das Konto überhaupt erst benutzt. All dies entlastet die Organisation und automatisiert die Deepfake-Erkennung.

Einblick: iProov führt erweiterte Metadatentests durch; unsere Backend-Algorithmen analysieren die Metadaten auf Anzeichen von Spoofing. Bestimmte Unstimmigkeiten in den Metadaten würden auffallen - diese Unstimmigkeiten deuten oft auch auf die Verwendung von Emulatoren, virtuellen Kameras oder Rooting hin, so dass sie erkannt und blockiert werden.

FinCEN-Analyse: Technologische Lösungen erforderlich 

Die jüngste Warnung der FinCEN zeigt das wachsende Bewusstsein der Aufsichtsbehörden für die Deepfake-Bedrohung und liefert wichtige Basisindikatoren für Institute mit unterschiedlichem Reifegrad bei der Betrugsbekämpfung. Diese Warnhinweise müssen jedoch mit fortschrittlichen technologischen Lösungen gepaart werden, um die immer raffinierteren Taktiken, die durch generative KI ermöglicht werden, zu bekämpfen.

Fortschrittliche biometrische Verfahren können die Abhängigkeit von menschlichen Prüfern verringern, die immer stärker belastet werden, da synthetische Inhalte immer überzeugender werden. Durch die Einführung von Tools wie der Biometric Solutions Suite von iProov können Finanzinstitute von einer reaktiven zu einer präventiven Haltung übergehen und so sicherstellen, dass Betrug verhindert wird, bevor er passiert.

Hochentwickelte biometrische Systeme vermeiden eine unrealistische Belastung für menschliche Prüfer, die immer ausgefeiltere synthetische Inhalte erkennen müssen, die die für das menschliche Auge funktionell nicht erkennbar sind und führen eine inhärent präventive Sicherheitsmaßnahme ein, die mit der wachsenden Bedrohung durch Deepfakes Schritt halten kann. Sie fungieren als "Schloss", das den Betrug an der Quelle stoppt.

In der Warnung der FinCEN wird eingeräumt, dass sich synthetische Medien so weit entwickelt haben, dass sie "schwer von unveränderten oder von Menschen erzeugten Ausgaben zu unterscheiden sind". Dementsprechend müssen die Finanzinstitute robuste technologische Lösungen implementieren, die mit der wachsenden Bedrohung Schritt halten können. 

Resilienz aufbauen: Der Weg in die Zukunft

Es steht viel auf dem Spiel. Die finanziellen Kosten von Deepfake-Betrug sind enorm, aber die Erosion des Vertrauens in digitale Dienste könnte noch größer sein. Die "Red Flags" der FinCEN bieten einen soliden Rahmen, aber fortschrittliche Tools wie die BiometricSolutions Suite von iProov bieten die Skalierbarkeit und Sicherheit, die für einen echten Schutz von Finanzsystemen erforderlich sind.

Unsere Identitätskrise im digitalen Zeitalter skizziert der Bericht klare Schritte, die Finanzinstitute zur Bekämpfung von Deepfake-Bedrohungen unternehmen können:

Einführung wissenschaftlich fundierter biometrischer Verfahren

• Implementierung einer Multi-Frame-Lebensdauererkennung
• Verwendung passive Liveness-Technologien
• Sicherstellen, dass nur echte Nutzer Zugang erhalten
• Sammeln von Bedrohungsdaten in Echtzeit, um neue Bedrohungen zu erkennen und darauf zu reagieren aus der sich entwickelnden Bedrohungslandschaft schnell zu erkennen und darauf zu reagieren, anstatt sich auf statische Verteidigungsmaßnahmen zu verlassen.

Investieren Sie in Mechanismen für die Reaktion auf Herausforderungen

• Schaffung unvorhersehbarer, nicht wiederholbarer Überprüfungsmethoden
• Beseitigung von Schwachstellen bei Replay- und Injektionsangriffen

Nutzen Sie kontinuierliche Bedrohungsdaten

• Überwachung neuer Bedrohungen in Echtzeit
• Kontinuierliche Aktualisierung der Abwehrmechanismen

Deepfakes Finanzdienstleistungs-Krise: Die Zeit zum Handeln ist gekommen

Deepfake-Betrug ist keine ferne Bedrohung mehr - er ist da, und er eskaliert. Finanzinstitute müssen jetzt handeln, indem sie fortschrittliche biometrische Lösungen einführen, um die bereitgestellten grundlegenden Anleitungen zu ergänzen. Es gibt bewährte Lösungen, die sicherstellen, dass die Finanzsysteme für die Bekämpfung ausgeklügelter Betrugstaktiken in großem Umfang gerüstet sind.

Für ein tiefgreifendes Verständnis der sich entwickelnden Betrugslandschaft laden Sie bitte unseren 2024 Bericht zur Bedrohungslage. | Für weitere Informationen über unsere Lösungen für Finanzdienstleister Besuchen Sie unsere Seite für Finanzdienstleistungen | Für einen beratenden Blick auf Ihren Anwendungsfall, Ihre Probleme und unsere Lösungen für die Anforderungen Ihres Unternehmens: Buchen Sie eine Demo