Cómo la inteligencia artificial está facilitando los fraude de identificación

El fraude por deepfake, las identidades sintéticas y las estafas impulsadas por IA hacen que el robo de identidad sea más difícil de detectar y prevenir: así es cómo contraatacar.

La inteligencia artificial (IA) está transformando nuestro mundo de formas esperadas e imprevistas. Para los consumidores, la tecnología significa contenidos digitales personalizados con mayor precisión, mejores diagnósticos médicos, traducción de idiomas en tiempo real para ayudar durantes las vacaciones y asistentes generativos de IA para mejorar la productividad en el trabajo. Pero la IA también se utiliza para ayudar a los ciberdelincuentes a ser más productivos, especialmente cuando se trata de fraude de identidad, el tipo de fraude más común hoy en día.

Más de un tercio de los líderes de riesgo e innovación bancaria en el Reino Unido, España y Estados Unidos consideran que el aumento del fraude generado por IA y deepfakes es su mayor desafío actual , convirtiéndolo en la respuesta número uno. Entonces, ¿cómo funciona el fraude generado por IA y qué puedes hacer para mantenerte a salvo?

¿Cómo funciona el fraude de identidad generado por IA?

El fraude de identidad se refiere al uso de su información de identificación personal (PII) para cometer un delito, como acumular una deuda de tarjeta de crédito en su nombre o acceder a una cuenta bancaria o de otro tipo. Según una estimación, el fraude inducido por la IA representa actualmente más de dos quintas partes (43%) de todos los intentos de fraude registrados por el sector financiero y de pagos. Se cree que casi un tercio (29%) de esos intentos tienen éxito. ¿Cómo está ayudando la IA a los ciberdelincuentes?

Podemos destacar varias tácticas diferentes:

• Apropiación fraudulenta de cuentas (ATO) y creación de cuentas: Los estafadores utilizan imitaciones de audio y vídeo de usuarios legítimos para eludir las comprobaciones de Conozca a su cliente (KYC) que utilizan las empresas de servicios financieros para verificar que los clientes son quienes dicen ser. Se extrae una imagen o un vídeo suyo de la web y se introduce en una herramienta de deepfake o IA generativa. A continuación, se inserta en el flujo de datos entre el usuario y el proveedor de servicios en los llamados ataques de inyección diseñados para engañar a los sistemas de autenticación. Un informe afirma que los deepfakes representan ya una cuarta parte (24%) de los intentos fraudulentos de pasar controles biométricos basados en el movimiento y el 5% de los controles estáticos basados en selfies.
• Falsificación de documentos: Hubo un tiempo en que los estafadores utilizaban falsificaciones de documentos físicos, como páginas de pasaporte falsificadas, para abrir nuevas cuentas a nombre de víctimas desprevenidas. Sin embargo, hoy es más probable que lo hagan digitalmente. Según este informe, las falsificaciones digitales representan más del 57% de todos los fraudes documentales, lo que supone un aumento anual del 244%. Los estafadores suelen acceder a plantillas de documentos en línea o descargan imágenes de documentos robados en filtraciones de datos y luego alteran los detalles en Photoshop. Las herramientas de IA generativa (GenAI) les ayudan a hacerlo a gran velocidad y escala.
• Fraude sintético: En este caso, los estafadores crean nuevas identidades combinando datos personales reales (robados) e inventados para formar una identidad completamente nueva (sintética), o crean una nueva identidad utilizando únicamente datos inventados. Esto se utiliza, por ejemplo, para abrir nuevas cuentas en bancos y empresas de tarjetas de crédito. Las falsificaciones de documentos y las falsificaciones profundas pueden combinarse con estas identidades para aumentar las posibilidades de éxito de los estafadores. Según un informe, el 76% de los profesionales estadounidenses del fraude y el riesgo creen que su organización tiene clientes sintéticos. Estiman que este tipo de fraude ha aumentado un 17% anual.
• Deepfakes que engañan a amigos y familiares: A veces, se pueden utilizar vídeos o audios falsos en estafas que engañan incluso a seres queridos. Una táctica es el secuestro virtual, en el que los familiares reciben una llamada telefónica de un actor de amenazas que afirma haberle secuestrado. Reproducen un audio deepfake de tu voz como prueba y luego piden un rescate. GenAI también se puede utilizar en estos esfuerzos para ayudar a los estafadores a encontrar una víctima probable. El asesor de seguridad global de ESET Jake Moore dio una muestra de lo que es posible actualmente aquí y aquí.
• Relleno de credenciales (para ATO): El relleno de credenciales implica el uso de inicios de sesión robados en intentos automatizados de acceder a otras cuentas para las que puede haber utilizado el mismo nombre de usuario y contraseña. Las herramientas basadas en IA podrían generar rápidamente estas listas de credenciales a partir de múltiples fuentes de datos, lo que ayudaría a escalar los ataques. Y también podrían utilizarse para imitar con precisión el comportamiento humano al iniciar sesión, con el fin de engañar a los filtros defensivos.

¿Cuál es el impacto del fraude basado en IA?

El fraude dista mucho de ser un delito sin víctimas. De hecho, el fraude basado en IA puede

• Causar una gran angustia emocional a la persona estafada. Un informe afirma que el 16% de las víctimas contemplaron el suicidio como resultado de un delito de identidad.
• Aumentar las probabilidades de éxito de las estafas, reduciendo los beneficios, lo que obliga a las empresas a subir los precios para todos.
• Repercuten en la economía nacional. Menos beneficios significa menos ingresos fiscales, lo que a su vez significa menos dinero para gastar en servicios públicos.
• Minan la confianza de los ciudadanos en el Estado de Derecho e incluso en la democracia.
• Minan la confianza de las empresas, lo que puede reducir los niveles de inversión en el país.

Cómo mantener su identidad a salvo del fraude impulsado por la IA

Para combatir el uso ofensivo de la IA en su contra, las organizaciones recurren cada vez más a herramientas defensivas de IA para detectar los signos reveladores del fraude. Pero, ¿qué puede hacer usted? Tal vez la estrategia más efectiva sea minimizar las oportunidades para que los actores de amenazas obtengan su PII y datos de audio / video en primer lugar. Esto significa

• No comparta información en exceso en las redes sociales y restrinja su configuración de privacidad.
• Sea consciente del phishing: compruebe los dominios del remitente, busque errores tipográficos y gramaticales, y nunca haga clic en enlaces o abra archivos adjuntos en correos electrónicos no solicitados.
• Active la autenticación multifactor (MFA) en todas las cuentas.
• Utilice siempre contraseñas seguras y únicas almacenadas en un gestor de contraseñas.
• Mantener el software actualizado en todos los portátiles y dispositivos móviles.
• Vigilar de cerca las cuentas bancarias y de tarjetas, comprobando regularmente si hay actividad sospechosa y congelando las cuentas inmediatamente si algo no parece correcto
• Instalar software de seguridad multicapa de un proveedor acreditado en todos los dispositivos

También considere mantenerse al tanto de las últimas tácticas de fraude impulsadas por IA y educar a amigos y familiares sobre deepfakes y fraude de IA.

Los ataques de fraude impulsados por IA solo seguirán creciendo a medida que la tecnología se vuelva más barata y más eficaz. A medida que esta nueva carrera de armas cibernéticas se desarrolla entre los defensores de la red corporativa y sus adversarios, son los consumidores los que se verán atrapados en el medio. Asegúrese de no ser el siguiente.

Fuente: welivesecurity.com

Phishing laboral: la estafa que intenta hacerte creer que estás despedido para robarte información

Menos conocidas que las estafas de falsas promesas de empleo, las estafas por despido usan el miedo a perder el trabajo para robar información personal.

La mayoría de nosotros trabaja o busca trabajo. O ambas cosas. Esa es en gran medida la razón por la que las estafas de empleo y trabajo desde casa son tan populares entre los ciberdelincuentes. Suelen atraer al usuario ofreciéndole increíbles oportunidades de trabajo o empleo ocasional. Pero en realidad, lo único que suelen querer los estafadores es su información personal y financiera. En algunos casos, las víctimas pueden incluso acabar recibiendo y reenviando involuntariamente bienes robados, o permitiendo que sus cuentas bancarias se utilicen para blanquear dinero.

Sin embargo, menos conocida es la estafa por despido. En este caso, se da la vuelta a la idea: se utiliza la amenaza de perder el empleo, en lugar del señuelo de conseguir uno nuevo, para captar su atención. ¿Qué aspecto tienen y cómo puede mantenerse a salvo?

¿Cómo son las estafas por despido?

En su forma más simple, las estafas de despido son un tipo de ataque de phishing diseñado para engañarle y hacerle entregar su información personal y financiera, o hacer clic en un enlace malicioso que podría desencadenar la descarga de malware. Las tácticas de ingeniería social utilizadas en el phishing pretenden crear una sensación de urgencia en la víctima, para que actúe sin pensárselo antes. Y no puede haber nada más urgente que un aviso informándole de que ha sido despedido.

Puede llegar en forma de correo electrónico de RR.HH. o de una tercera parte autorizada ajena a la empresa. Puede decirle que sus servicios ya no son necesarios. O puede pretender incluir detalles sobre tus colegas que son demasiado difíciles de resistirse a leer. El objetivo final es persuadirle para que haga clic en un enlace malicioso o abra un archivo adjunto, tal vez alegando que incluye detalles sobre indemnizaciones y fechas de despido.

Una vez que haga clic o abra el archivo adjunto, es posible que descubra que:

• Se activa una instalación encubierta de malware
• Te pide que introduzcas tus datos de acceso en una página de phishing falsa

Con sus datos de acceso al trabajo, los adversarios podrían secuestrar su correo electrónico u otras cuentas para acceder a datos y redes corporativos confidenciales con fines de robo y extorsión. Y si reutiliza esos nombres de usuario en varias cuentas, podrían incluso llevar a cabo campañas de relleno de credenciales para desbloquear también esas cuentas.

¿Por qué funcionan tan bien?

Las estafas de cancelación son eficaces porque explotan la credulidad de los seres humanos, creando una sensación de pavor entre la víctima e inculcándole la necesidad urgente de actuar. Sería difícil encontrar a un empleado que no quisiera saber más sobre su propio despido, o detalles potencialmente artificiales de una supuesta mala conducta.

No es casualidad que el phishing siga siendo una de las tres principales tácticas de acceso inicial para los autores de ransomware y que haya contribuido a una cuarta parte (25%) de los ciberincidentes con motivación financiera de los últimos dos años.

In the wild

Se han observado varias versiones de esta estafa circulando in the wild. Entre ellas se incluyen:

• Un correo electrónico que se hace pasar por el Servicio de Tribunales y Juzgados del Reino Unido y que supuestamente contiene un enlace a un documento de despido. Al hacer clic, se carga un sitio web falso con el logotipo de Microsoft diseñado para persuadir a la víctima de que lo abra en un dispositivo Windows. Se activa la descarga del troyano bancario Casbaneiro (también conocido como Metamorfo).
• Un correo electrónico que supuestamente procede del departamento de recursos humanos de la víctima y que dice contener una lista de despidos y detalles sobre nuevos puestos. Al abrir el falso PDF se activa un falso formulario de inicio de sesión de DocuSign en el que se solicita a la víctima que introduzca su dirección de correo electrónico y contraseña para acceder.

Fuente: PCrisk

Cómo detectar una estafa de despido

Como ocurre con cualquier ataque de phishing, hay algunas señales de advertencia que deberían parpadear en rojo si un correo de este tipo acaba en tu bandeja de entrada. Respire hondo y esté atento a indicios como:

• Una dirección de remitente inusual que no coincide con el remitente declarado. Pasa el ratón por encima de la dirección del remitente para ver qué aparece. Puede ser algo completamente diferente, o podría ser un intento de imitar el dominio de la empresa suplantada, utilizando errores tipográficos y otros caracteres (por ejemplo, m1crosoft.com, @microsfot.com)
• Un saludo genérico (por ejemplo, "estimado empleado/usuario"), que desde luego no es el tono que adoptaría una carta de despido legítima.
• Enlaces incrustados en el correo electrónico o archivos adjuntos para abrir. Suelen ser un signo revelador de un intento de phishing. Si pasa el ratón por encima del enlace y no parece correcto, razón de más para no hacer clic.
• Enlaces o archivos adjuntos que no se abren inmediatamente, pero que te piden que introduzcas datos de acceso. Nunca lo hagas en respuesta a un mensaje no solicitado.
• Lenguaje urgente. Los mensajes de phishing siempre intentarán precipitarle para que tome una decisión precipitada.
• Errores ortográficos, gramaticales o de otro tipo en la carta. Cada vez son menos frecuentes a medida que los ciberdelincuentes adoptan herramientas de IA generativa para redactar sus mensajes de phishing, pero aún así merece la pena prestarles atención.
• En el futuro, manténgase alerta ante los esquemas asistidos por IA en los que los estafadores podrían utilizar imitaciones de audio y vídeo de personas reales (como su jefe, por ejemplo) para engañarle y conseguir que facilite información corporativa confidencial.

Mantenerse a salvo

Para asegurarte de que no caes en la trampa de las estafas por despido, conoce las señales de advertencia enumeradas anteriormente. Y tenga también en cuenta lo siguiente:

• Utiliza contraseñas seguras y únicas para cada cuenta, preferiblemente almacenadas en un gestor de contraseñas
• Asegúrate de activar la autenticación de dos factores (2FA) para una capa adicional de seguridad en el acceso
• Asegúrate de que todos tus dispositivos personales y de trabajo estén actualizados y parcheados con regularidad
• Si su departamento informático se lo ofrece, participe en ejercicios periódicos de simulación de phishing para saber a qué debe prestar atención
• Si recibe un mensaje sospechoso, nunca haga clic en los enlaces incrustados ni abra el archivo adjunto
• Si estás preocupado, ponte en contacto con el remitente a través de otros canales, pero no respondiendo al correo electrónico ni utilizando los datos de contacto que aparecen en él
• Informa al departamento informático de tu empresa de cualquier mensaje sospechoso
• Comprueba si algún compañero ha recibido el mismo mensaje

Las estafas por despido existen desde hace tiempo. Pero si siguen circulando, deben de seguir funcionando. Desconfíe siempre de todo lo que llegue a su bandeja de entrada.

Fuente: welivesecurity.com