A pénzügyi csalások egyre szervezettebbé és kifinomultabbá válnak. A kiberbűnözői csoportok egyre gyakrabban mesterséges intelligenciát alkalmaznak a támadások automatizálására. A Capco felmérése szerint a fogyasztók számára a fizetési szolgáltató kiválasztásakor ma már a csalások elleni védelem fontosabb szempont, mint az ügyfélszolgálat, a tranzakciók gyorsasága vagy a márkanév.
A jelentés szerint a fejlett, úgynevezett agentikus mesterséges intelligencia (Agentic AI) a jövőben a pénzügyi csalások teljes életciklusát automatizálhatja. Ide tartozhat a megszerzett hitelesítő adatok összegyűjtése és rendszerezése, a jelszótörő eszközök használata, valamint a nagyszabású adathalász kampányok végrehajtása.
Felhasználói fiókok jogosulatlan átvétele
Az egyik legelterjedtebb fenyegetés továbbra is a felhasználói fiókok jogosulatlan átvétele (Account takeover, ATO). A támadók adathalász kampányokból, korábbi adatszivárgásokból vagy a dark weben megszerzett hitelesítő adatok segítségével férnek hozzá bankszámlákhoz, majd pénzt utalnak át, hitelt igényelnek, illetve pénzmosásra használt úgynevezett „money mule” számlákként használják fel.
A hagyományos védelmi megoldások például a jelszavak, a biztonsági kérdések vagy egyes többtényezős hitelesítési (MFA) megoldások egyre kevésbé bizonyulnak hatékonynak, mivel a támadók mesterséges intelligenciával támogatott adathalász kampányokat alkalmaznak, és automatizálják a hitelesítő adatok megszerzését.
A deepfake technológia segíti az APP típusú csalásokat
Gyorsan terjed az úgynevezett Authorized Push Payment (APP) típusú csalás is, mivel az áldozatok saját maguk hagyják jóvá a tranzakciót, miután a csalók social engineering módszerekkel megtévesztik őket. A támadók banki alkalmazottnak, hatósági ügyintézőnek vagy akár családtagnak adják ki magukat, hogy elhitessék az áldozattal: pénze veszélyben van, vagy sürgős átutalásra van szükség. A csalás jellemzően egy SMS üzenettel, egy e-maillel vagy telefonhívással kezdődik, majd hosszabb beszélgetésekké alakul, amelyek célja a bizalom kiépítése és a sürgetettség érzetének kialakítása.
A deepfake technológia tovább növeli a hang- és arcalapú biometrikus hitelesítési megoldások kockázatait. A mesterséges intelligencia által előállított hang-, videó- és egyéb tartalmak még hitelesebbé teszik a megszemélyesítésen alapuló támadásokat, miközben lehetővé teszik azok tömeges végrehajtását. Emellett a bűnözők olyan módszereket is fejlesztenek, amelyekkel a csalárd tranzakciók jogszerűnek tűnnek, azt a látszatot keltve, hogy az ügyfél saját maga hagyta jóvá a fizetést.
A bankkártyás visszaélések is átalakulnak
A bankkártyás visszaélések egyre inkább az online térbe helyeződnek át. A támadók adathalász oldalakon, hamis webáruházakon, skimming támadások vagy korábbi adatszivárgások során megszerzett bankkártya adatokkal hajtanak végre online vásárlásokat, illetve digitális tárcákba regisztrálják a kártyákat. A jelentés szerint napjainkban a bankkártyás csalások több mint 90 százaléka úgy történik, hogy a fizikai bankkártya végig a tulajdonos birtokában marad.
Szintetikus személyazonosságok
A jelentés arra is felhívja a figyelmet, hogy a bűnözői csoportok egyre gyakrabban alkalmaznak szintetikus személyazonosságon alapuló csalásokat (synthetic identity fraud). Ennek során valós és mesterségesen előállított adatok kombinálásával hoznak létre teljesen új személyazonosságokat, amelyeket meggyőző hamis dokumentumok készítésére, valamint az identitás-ellenőrzési folyamtok, köztük a liveness (élő jelenlétet vizsgáló) ellenőrzések kijátszására használnak fel.
Belső visszaélések
A szakértők szerint továbbra is jelentős kockázatot jelentenek a szervezeten belüli visszaélések. Az alkalmazottak vagy külső partnerek hozzáférése lehetőséget adhat érzékeny adatok kiszivárogtatására, a biztonsági kontrollok megkerülésére, illetve gondatlanságuk révén akár sebezhetővé is tehetik a szervezetet.

