Ілюстративне фото із сайту Pixabay
286 громадян зазнали збитків на суму близько 4 млн гривень
Поліція викрила організовану групу, яка за допомогою штучного інтелекту оформлювала кредити на українців. Як це працювало і на що звертати увагу, аби не потрапити у схожі пастки?
Йдеться про кримінальне провадження, яке Національна поліція відкрила нещодавно. Суть оборудки полягала в тому, що жінка організувала злочинну групу з кількох осіб, які з невстановлених джерел отримували персональні дані користувачів онлайн-банкінгу, тобто фінансові номери мобільних телефонів, паролі та коди активізації. Отриману інформацію вона передавала або учасникам групи, або використовувала самостійно з метою подальшого здійснення несанкціонованих входів від імені вказаних осіб до застосунків вказаних банків. Тобто по суті вона авторизувалася від імені вказаних людей і отримала доступ до електронних кабінетів. "Дія" передбачає таку функцію як верифікація через банк ID. Якщо зловмисники мають доступ до ваших персональних даних і до вашого персонального кабінету в онлайн-банкінгу, то таким чином можна авторизуватися в "Дії". З "Дії" була витягнута біометрія, тобто фотографія. В подальшому з використанням штучного інтелекту було накладено обличчя потерпілих громадян на обличчя наших зловмисників, що дало їм змогу пройти верифікацію в інших банківських установах і відкрити рахунки на 286 громадян та отримати на їхні дані кредити в розмірі близько 4 млн гривень. На даний час учасникам організованої групи повідомлено про підозру і їй загрожує покарання до 15 років позбавлення волі з конфіскацією усього майна.
Шахрайських схем є безліч
Чи бачить поліція ланцюжки таких операцій? Де в кінцевому підсумку опиняються кошти і чи є шанси їх повернути?
Ми бачимо ці ланцюжки. Вони бувають різні. Більшість коштів акумулювалися на підконтрольних рахунках учасників організованої групи. В подальшому вони переводилися через перекази на криптогаманці. А далі з криптогаманців їх переводили в готівку. Бувають схеми, коли просто перекидають з одного рахунку на інший або з отриманих коштів проплачують якісь товари чи послуги від імені інших осіб. Схем є багато і ми це бачимо. Ми можемо відстежувати як рух коштів через банківську сферу, так і рух коштів через криптобіржі.
Скільки подібних справ зараз перебувають у роботі?
Не маю такої інформації. Якщо такі справи і є, то інформувати громадськість до моменту затримання злочинців не правильно, оскільки це слідча таємниця. Щодо штучного інтелекту, то ми не знаємо в якому саме шахрайстві він був використаний. Це можна встановити після затримання злочинців і вибудування повного ланцюжка подій, які відбувалися.
Хакерські програми, створені на основі алгоритмів штучного інтелекту
Національна поліція співпрацює з офісами компаній, які продають на ринку штучний інтелект?
Національна поліція співпрацює з ними в разі необхідності. У даному випадку ми стикаємося не зі штучним інтелектом загального користування, який можна знайти в загальних мережах. Ми більше стикаємося з хакерськими програмами, які створені на основі алгоритмів штучного інтелекту, які створюють не компанії, а конкретні особи. Тому співпраця з ними в даному випадку не принесе результату.
Фішинг, вішинг, фейкові співбесіди
Як шахраї отримують інформацію?
Найчастіше це традиційний фішинг – отримання даних від користувача. Таких варіантів є безліч: чатботи, вішинг (англ. voice – голос + phishing – фішинг: телефонне шахрайство, пов'язане з виманюванням реквізитів банківських карток або іншої конфіденційної інформації, примушуваннями до переказу коштів на картку злодіїв. Є найпоширенішим способом крадіжки коштів із карткових рахунків – ред.), фейкові співбесіди тощо. Тобто основа – це збереження персональних даних людьми. Витік звісно можливий, але це не є масово. Основна проблема, що люди самі передають свої персональні дані.
Номер телефону може бути використаний в таргетованих атаках з використанням ШІ
Передача самого мобільного номеру не скомпрометує ваші дані настільки, щоб шахраї змогли заволодіти вашими грошовими коштами. Це може бути один із способів в подальшому переходити до наступного етапу заволодіння паролями, кодами доступу тощо. Номер телефону може бути використаний в таргетованих атаках з використанням штучного інтелекту. В штучного інтелекту є задача – встановити всіх осіб, які купували в аптеках, наприклад цитрамон. Після того, як ви купили ці ліки, вам приходить розсилка від інших аптек, де цей цитрамон дешевший. Люди, переходячи за посиланням, самі того не розуміючи, переходять на фейкову сторінку, яка в подальшому виманює у вас певну інформацію, наприклад номер банківської картки, код підтвердження тощо. В цей момент шахраї можуть перебувати по той бік монітору і вже заходити у ваш онлайн-банкінг. Тобто передача номеру мобільного телефону десь в аптеці не спровокує цю історію.
Яка роль банків у таких ситуаціях?
Це залежить від суми коштів, які перекидаються з одного рахунку на інший. Все залежить від руху обігових коштів по банківських рахунках. У кожного банку є служба безпеки і банки так само використовують штучний інтелект, який моніторить певні речі.
Чатбот ніколи не питатиме пароль від картки чи СVV-код
Як людина може побачити, що шахраї користуються штучним інтелектом? Які є ознаки цього?
Користувач потрібно не звертати увагу на використання штучного інтелекту чи невикористання. Користувачам потрібно звертати увагу на незрозумілі або дивні додаткові запитання, які може вам надсилати консультант в чатботі. Наприклад чатбот ніколи не питатиме пароль від картки чи СVV-код.
Більш уразливим колом населення є особи, які не використовують двофакторні автентифікації, легкі на передачу своїх персональних даних, необізнані в діяльності шахраїв.
