Chuyển đổi kỹ thuật số đã mở rộng đáng kể cách các cá nhân tương tác với các ngân hàng và công ty dịch vụ tài chính. Công nghệ đã làm cho việc giới thiệu từ ghế dài của người tiêu dùng tại nhà cũng khả thi như chi nhánh trực tiếp tại địa phương của họ.

Một mặt, sự phát triển của các công nghệ xác minh và xác thực từ xa đã mở ra cánh cửa cho ngân hàng trực tuyến và các trải nghiệm kỹ thuật số khác đơn giản và thuận tiện hơn cho các cá nhân. Mặt khác, nó cũng làm tăng trách nhiệm gian lận. 

Ngoài ra, công nghệ tinh vi với sức mạnh tạo ra danh tính trực tuyến tổng hợp đã tạo ra những thách thức mới. Deepfake, tài liệu nhận dạng tổng hợp (ID) và các cuộc tấn công tiêm kỹ thuật số đã cung cấp cho các tác nhân xấu các công cụ để tàn phá trên quy mô lớn. 

Để theo kịp những kẻ lừa đảo, các nhà cung cấp dịch vụ tài chính phải tăng cường quy trình làm việc giới thiệu và xác thực của họ bằng công nghệ xác minh hiệu quả, chính xác. 

Các công nghệ mới không được kiểm soát giới thiệu các thỏa hiệp nhận dạng tổng hợp

Trong khi hành vi trộm cắp danh tính truyền thống đang gia tăng, gây thiệt hại 52 tỷ USD và ảnh hưởng đến 42 triệu người trưởng thành chỉ riêng ở Mỹ vào năm 2021, các ngân hàng cũng phải đối mặt với một mối đe dọa mới và phức tạp hơn: gian lận danh tính tổng hợp (SIF).

Trong khi gian lận danh tính truyền thống thường dựa vào việc sử dụng thông tin bị đánh cắp, gian lận danh tính tổng hợp liên quan đến việc tạo ra một "người" - một danh tính hoàn toàn mới - người không tồn tại bằng cách trộn lẫn thông tin nhận dạng cá nhân (PII) bị đánh cắp, hư cấu hoặc bị thao túng. 

Danh tính tổng hợp được tạo ra như thế nào: 

  • Những kẻ lừa đảo tạo ra một tài liệu nhận dạng giả mạo chi tiết. Thông tin này có thể là sự kết hợp và kết hợp giữa thông tin thật, bị đánh cắp và giả mạo - ví dụ: Số An sinh Xã hội bị đánh cắp kết hợp với tên hoàn toàn giả mạo hoặc địa chỉ được sửa đổi một chút.
  • Sau đó, họ tạo ra hình ảnh tổng hợp khớp với ảnh trên tài liệu nhận dạng bất hợp pháp. Họ sẽ sử dụng kết hợp này để cố gắng bỏ qua quy trình xác minh ID của tổ chức. 

Những kẻ lừa đảo thường xây dựng một số hình thức tín dụng hoặc lịch sử ngân hàng như một phần của quá trình. Điều này có thể liên quan đến việc tối đa hóa hạn mức tín dụng của họ, ví dụ, khiến các ngân hàng hoặc tổ chức tài chính gần như không thể biết liệu những cá nhân này chỉ đơn giản là phải đối mặt với những thách thức tài chính (ví dụ như mất việc làm) hay họ là một tác nhân xấu thực hiện các hoạt động bất hợp pháp - cho đến khi quá muộn.

Biến thể gian lận mới nổi này đặc biệt hoạt động để phá vỡ các tài liệu nhận dạng và công nghệ xác minh sinh trắc học - tiêu chuẩn hiện tại để xác minh danh tính kỹ thuật số - và gần như không thể bị bắt thông qua kiểm tra dữ liệu (ví dụ: xác minh danh tính với văn phòng tín dụng). Chống lại loại gian lận này đòi hỏi một "cú đấm một-hai" - một cách tiếp cận xác minh tài liệu nhận dạng và công nghệ sinh trắc học làm việc cùng nhau để ngăn chặn các loại mối đe dọa tinh vi này. 

Hình ảnh tổng hợp là gì? Tại sao các mối đe dọa tổng hợp, như Generative AI và Deepfakes, là mối quan tâm ngày càng tăng?

Như đã đề cập, một phương pháp phổ biến để làm cho danh tính tổng hợp trông giống thật là sử dụng hình ảnh tổng hợp. Tội phạm có thể sử dụng công nghệ để tạo ra những bức ảnh hoặc video thực tế đã bị thao túng kỹ thuật số để thay thế chân dung của người này bằng chân dung của người khác hoặc thậm chí để "tạo ra" những người không tồn tại. Generative AI và deep fake là những công cụ cực kỳ mạnh mẽ để thúc đẩy sự thành công của gian lận danh tính tổng hợp. 

Deepfake là một bản ghi video đã bị bóp méo, thao túng hoặc tạo tổng hợp bằng cách sử dụng các kỹ thuật học sâu để trình bày hình ảnh đại diện do AI tạo ra về ai đó - giống như mặt nạ kỹ thuật số. Một số biến thể tinh vi nhất của deepfake gần như không thể phân biệt được với khuôn mặt thật, bao gồm cả chuyển động mắt và miệng tự nhiên. Việc sử dụng công nghệ deepfake trong gian lận danh tính tổng hợp trải dài từ các cuộc tấn công trình bày đến các cuộc tấn công tiêm kỹ thuật số - cả hai đều cố gắng phá vỡ xác minh khuôn mặt. 

Các ngân hàng trên toàn cầu đã nhanh chóng áp dụng xác minh khuôn mặt vì nó nổi lên như một phương pháp an toàn nhất để bảo mật danh tính trực tuyến - qua các phương pháp hàng hóa, yếu hơn, bất tiện như mật khẩu và OTP. Xác minh khuôn mặt đã trở nên gắn bó với trải nghiệm ngân hàng kỹ thuật số và theo khảo sát của iProov, 64% người tiêu dùng toàn cầu sử dụng xác minh khuôn mặt để truy cập vào tài khoản của họ hoặc sẽ làm như vậy nếu họ có thể.

Đó là lý do tại sao điều cần thiết là bất kỳ giải pháp giới thiệu kỹ thuật số nào cũng có thể ràng buộc mạnh mẽ danh tính kỹ thuật số với các cá nhân trong thế giới thực. Giải pháp Microblink-iProov xác nhận rằng một con người thực sự đang xác minh tài liệu nhận dạng đáng tin cậy của họ trong thời gian thực và tài liệu không bị giả mạo. Điều này cản trở danh tính tổng hợp trong quá trình giới thiệu trước khi chúng vào hệ thống.

Tấn công trình bày so với tấn công tiêm kỹ thuật số

Có một loạt các cuộc tấn công trình bày mà bọn tội phạm có thể triển khai để thử và giành quyền truy cập bất hợp pháp vào tài khoản hoặc đặc quyền của người dùng. Bên cạnh việc cố gắng mạo danh người dùng chính hãng, các cuộc tấn công thuyết trình cũng có thể liên quan đến một hiện vật được giữ trước máy ảnh hướng tới người dùng.  Một kẻ xấu cũng có thể tạo ra một deepfake và sau đó hiển thị video đó, thông qua một màn hình khác, cho thiết bị hoàn thành xác minh khuôn mặt. 

Các cuộc tấn công tiêm kỹ thuật số tận dụng cùng một mức độ công nghệ deepfake nhưng liên quan đến việc kẻ lừa đảo định tuyến lại nguồn cấp dữ liệu của video xác minh đến camera dựa trên phần mềm, tiêm deepfake vào luồng dữ liệu của ứng dụng hoặc thậm chí tận dụng trình giả lập để bắt chước thiết bị người dùng. 

Báo cáo tình báo mối đe dọa gần đây của iProov tiết lộ rằng các cuộc tấn công tiêm thường xuyên gấp năm lần so với các cuộc tấn công trình bày dai dẳng trên web trong suốt năm 2022. Hơn nữa, phát hiện sự sống (tức là các kỹ thuật để xác định xem nguồn gốc của mẫu sinh trắc học là người sống hay đại diện giả) tương đối đáng tin cậy trong việc phát hiện các cuộc tấn công trình bày truyền thống, làm cho các cuộc tấn công tiêm kỹ thuật số trở thành trọng tâm cho những kẻ lừa đảo lão luyện nhất.

Deepfake thậm chí còn trở nên nguy hiểm hơn khi chúng được sử dụng trong các cuộc tấn công kỹ thuật số, vì chúng có thể được thu nhỏ và tự động hóa rất nhanh để gây ra thiệt hại đáng kể.

Làm thế nào để chống lại hình ảnh tổng hợp và các cuộc tấn công tiêm kỹ thuật số

Trong khi hầu hết các công nghệ sinh trắc học liên quan đến một số mức độ phát hiện sự sống để xác minh danh tính của một cá nhân, phát hiện sự sống một mình không thể phát hiện một cuộc tấn công tiêm kỹ thuật số. Để chống lại sự kết hợp của deepfake và các cuộc tấn công tiêm kỹ thuật số, các tổ chức dịch vụ tài chính cần một cách tiếp cận mạnh mẽ, nhiều mặt - một cách thúc đẩy việc tạo ra sinh trắc học một lần. 

Microblink và giải pháp giới thiệu kỹ thuật số của iProov sử dụng công nghệ sinh trắc học một lần để đảm bảo rằng bất kỳ ai cố gắng xác minh danh tính của họ đều làm như vậy trong thời gian thực và không sử dụng hình ảnh tổng hợp. 

Thế nào? Bằng cách chiếu sáng khuôn mặt của cá nhân bằng một chuỗi màu sắc độc đáo không thể phát lại hoặc thao tác tổng hợp. Điều này đảm bảo người dùng đang xác thực ngay bây giờ - đó không phải là một cuộc tấn công thuyết trình bằng cách sử dụng ảnh hoặc mặt nạ và nó cũng không phải là một cuộc tấn công được tiêm kỹ thuật số bằng cách phát lại xác thực trước đó hoặc video tổng hợp như deepfake. Nó cũng phân tích thông tin đa chiều bắt nguồn từ cách khuôn mặt hoạt động và cách ánh sáng phản xạ từ khuôn mặt, có thể phát hiện ra hình ảnh tổng hợp.

ID tổng hợp làm tăng thêm độ phức tạp và rủi ro

Trước sự bùng nổ của ngân hàng trực tuyến, gian lận danh tính truyền thống bị hạn chế về quy mô với một người xuất trình một danh tính bị đánh cắp tại một thời điểm. Quá trình này diễn ra chậm chạp và sự cảnh giác của nhân viên nội bộ là chìa khóa để chống gian lận và giảm thiểu rủi ro.

Với ID tổng hợp và sự gia tăng của deepfake, những kẻ lừa đảo có thể mở rộng phạm vi nỗ lực của họ và làm như vậy với tốc độ nhanh hơn bao giờ hết. 

ID tổng hợp đặc biệt nguy hiểm vì chúng cho phép sản xuất vô số "người" mà kẻ lừa đảo có thể mạo danh. Trong một ví dụ từ báo cáo của iProov, khoảng 200-300 cuộc tấn công đã được phát động trên toàn cầu từ cùng một địa điểm trong khoảng thời gian 24 giờ trong một nỗ lực bừa bãi để vượt qua hệ thống bảo mật của tổ chức.

Các cuộc tấn công từ các tác nhân đe dọa đang trở nên có khả năng mở rộng và tự động hơn, và hình ảnh tổng hợp được sử dụng để tăng cường xác minh gian lận đang trở nên rõ ràng hơn từ thực tế đến mắt người. Đó là lý do tại sao các tổ chức yêu cầu các công nghệ xác minh tài liệu nhận dạng và sinh trắc học tiên tiến nhất để chống lại các mối đe dọa. 

Chống lại ID tổng hợp với tính năng quét ID tốt hơn

Với các tác nhân xấu tận dụng sự kết hợp giữa thông tin thực và gian lận để tạo ra các tài liệu nhận dạng tổng hợp, một lần quét đơn giản sẽ không còn đủ. 

Đó là nơi mà việc chụp, trích xuất và xác minh ID do AI điều khiển có thể vượt trội. Cách tiếp cận dựa trên AI có thể hiểu toàn bộ bối cảnh của tài liệu nhận dạng mà nó đang quét, cung cấp tính nhất quán và kiểm tra xác thực dữ liệu trên thông tin được trích xuất và tìm kiếm một cách có hệ thống các khiếm khuyết hoặc bất thường về thị giác để cung cấp mức độ đảm bảo cao hơn.

Bằng cách tiếp cận dựa trên dữ liệu kết hợp kiểm tra phi pháp y và pháp y các tài liệu nhận dạng đa dạng, cũng như phát hiện sự sống tạo ra sinh trắc học một lần, doanh nghiệp của bạn có thể cảm thấy tự tin rằng tài liệu nhận dạng người dùng là chính hãng.

Cuối cùng, tính linh hoạt và học hỏi liên tục của một giải pháp dựa trên AI đảm bảo rằng nó có thể trích xuất và xác minh phần lớn các loại ID và giống địa lý - đảm bảo bạn không hy sinh tính linh hoạt và trải nghiệm người dùng cuối hoặc dễ sử dụng để ủng hộ bảo mật và tin cậy. 

Giảm thiểu rủi ro đòi hỏi các đối tác công nghệ phù hợp

Sự kết hợp giữa danh tính tổng hợp và ID đi kèm của chúng, cùng với deepfake, đang gây ra nhiều rủi ro hơn cho các quy trình giới thiệu kỹ thuật số cho các tổ chức thuộc mọi quy mô trong các ngành.

Nếu không có một ngăn xếp công nghệ giúp bảo vệ chống lại sự tinh vi của các phương pháp gian lận mới và cải tiến này, rủi ro đối với các nhà cung cấp dịch vụ tài chính bao gồm mất doanh thu, thiện chí của khách hàng và các hình phạt theo quy định. 

Tận dụng các công nghệ chụp, trích xuất và xác minh ID dựa trên AI - như các công nghệ do Microblink cung cấp - cùng với các giải pháp quét sinh trắc học một lần như iProov - cho phép trải nghiệm tích hợp kỹ thuật số an toàn hơn. Kết hợp sự đảm bảo và tính linh hoạt của các công nghệ đã được chứng minh này có thể giúp chống lại nguy cơ gian lận tài chính ngày càng tăng.