與經(jīng)濟(jì)的許多領(lǐng)域一樣，數(shù)字技術(shù)在金融業(yè)中發(fā)揮著越來(lái)越重要的作用。比如人工智能 (AI) 和機(jī)器學(xué)習(xí) (ML) 等自動(dòng)化技術(shù)，提高了銀行的運(yùn)營(yíng)效率，同時(shí)創(chuàng)造了更加順暢的客戶(hù)體驗(yàn)。

然而，數(shù)字銀行和金融業(yè)務(wù)的變革，尤其是在新冠疫情期間，為網(wǎng)絡(luò)犯罪分子提供了新的機(jī)會(huì)去攻擊金融業(yè)這個(gè)極具誘惑力的目標(biāo)。這也導(dǎo)致金融犯罪和網(wǎng)絡(luò)犯罪在近年來(lái)呈現(xiàn)融合之勢(shì)。 信息安全雜志（Infosecurity ）最近采訪(fǎng)了Resistant AI的創(chuàng)始人兼首席執(zhí)行官、布拉格捷克科技大學(xué)的講師兼高級(jí)研究員馬丁·雷哈克（Martin Rehak），討論了針對(duì)金融業(yè)網(wǎng)絡(luò)攻擊的演變以及緩解這些威脅的應(yīng)對(duì)措施。

近年來(lái)，我們所看到的金融犯罪和網(wǎng)絡(luò)犯罪融合到了什么程度？

技術(shù)因素令網(wǎng)絡(luò)犯罪成為金融犯罪的最大源頭，它開(kāi)啟了易受攻擊的漏洞之門(mén)。然而，這種方式最近發(fā)生了改變。

它曾經(jīng)是一個(gè)非常簡(jiǎn)單的場(chǎng)景：欺詐者侵入個(gè)人電腦（PC）或筆記本電腦并在瀏覽器上安裝跟蹤器，當(dāng)用戶(hù)登錄自己的網(wǎng)銀時(shí)，欺詐者便可以進(jìn)入他們的銀行賬戶(hù)進(jìn)行洗錢(qián)或偷錢(qián)。這個(gè)例子表明了金融犯罪和網(wǎng)絡(luò)犯罪在最基本層面上的融合——但它不再是主要威脅。

如今，組織在網(wǎng)絡(luò)犯罪方面面臨的關(guān)鍵問(wèn)題主要是大規(guī)模的黑客攻擊。犯罪分子攻擊的不是安全系統(tǒng)，而是公司賴(lài)以開(kāi)展在線(xiàn)業(yè)務(wù)流程的自動(dòng)化和人工智能系統(tǒng)。欺詐者已經(jīng)組織成專(zhuān)家角色，可以工業(yè)化地生成新的偽造文件和身份，并將它們加載到金融系統(tǒng)中（每小時(shí)可多達(dá)數(shù)千份），然后將它們賣(mài)給其他犯罪分子，無(wú)需見(jiàn)面，所有交易均在線(xiàn)處理。

這種黑客攻擊行為模糊了欺詐、洗錢(qián)和網(wǎng)絡(luò)犯罪之間的界限。因此，傳統(tǒng)負(fù)責(zé)欺詐風(fēng)險(xiǎn)和合規(guī)性的團(tuán)隊(duì)需要開(kāi)始像網(wǎng)絡(luò)安全專(zhuān)家和黑客一樣思考，并共享相關(guān)風(fēng)險(xiǎn)狀況、人員、流程和技術(shù)的數(shù)據(jù)和情報(bào)，以阻止敵人的追蹤。

您能否舉例說(shuō)明結(jié)合網(wǎng)絡(luò)技術(shù)、欺詐和洗錢(qián)的網(wǎng)絡(luò)攻擊？這些攻擊是否特別難以察覺(jué)和阻止？

我們以保險(xiǎn)欺詐為例，如今人們可以獲得 50 個(gè)被盜身份或輕松創(chuàng)建 50 個(gè)假的數(shù)字身份。欺詐者用這 50 個(gè)名字投保，然后為這些人偽造事故并向保險(xiǎn)公司索賠。其中 25 項(xiàng)索賠可能會(huì)被拒絕，但也有25 項(xiàng)可能會(huì)成功，而賠償金則直接賠付給了犯罪分子。即使犯罪隨后被舉報(bào)和調(diào)查，當(dāng)局尋找和調(diào)查的也是不存在的人或身份被盜的無(wú)辜者。

當(dāng)你發(fā)現(xiàn)其中一些身份被完全不同的犯罪分子用來(lái)創(chuàng)建加密交易賬戶(hù)，并清洗勒索軟件攻擊的收益時(shí)，問(wèn)題的嚴(yán)重性就顯而易見(jiàn)了。 

以他人名義進(jìn)行的欺詐行為大幅增加，其規(guī)模之大連警方都無(wú)法應(yīng)對(duì)。只有銀行和金融科技機(jī)構(gòu)內(nèi)部的金融犯罪打擊團(tuán)隊(duì)才能真正解決這一問(wèn)題。

檢測(cè)和阻止這些攻擊的難度主要取決于部署方法。僅依靠人工干預(yù)的傳統(tǒng)方法不足以快速應(yīng)對(duì)數(shù)字欺詐，而且過(guò)于耗時(shí)。相信簡(jiǎn)單自動(dòng)化或基于規(guī)則的人工智能能迎頭趕上，只是造成了當(dāng)前黑客猖獗的混亂局面。即使是更智能的人工智能系統(tǒng)，如果不全面考慮新客戶(hù)，也無(wú)法阻止這一趨勢(shì)。 

我們需要一種實(shí)時(shí)身份取證來(lái)幫助確認(rèn)新客戶(hù)的真實(shí)身份，如果現(xiàn)有客戶(hù)已受到威脅，便不再按預(yù)期行事。

人工智能和機(jī)器學(xué)習(xí)在金融服務(wù)領(lǐng)域的發(fā)展在多大程度上會(huì)帶來(lái)新的欺詐挑戰(zhàn)和威脅？

至少，新冠疫情的發(fā)生，令能夠快速和即時(shí)支付交易的數(shù)字及移動(dòng)客戶(hù)平臺(tái)的弱點(diǎn)暴露無(wú)遺，幾乎沒(méi)有客戶(hù)身份驗(yàn)證或交易驗(yàn)證的時(shí)間。同樣的，在數(shù)字時(shí)代，你的客戶(hù) (KYC) 和客戶(hù)入職難以了解，使金融服務(wù)機(jī)構(gòu)及其客戶(hù)面臨網(wǎng)絡(luò)犯罪和金融欺詐的風(fēng)險(xiǎn)顯著增加。

金融服務(wù)的快速擴(kuò)張和自動(dòng)化使客戶(hù)摩擦最小化，這給驗(yàn)證和風(fēng)險(xiǎn)管理政策以及實(shí)踐帶來(lái)了新的挑戰(zhàn)。現(xiàn)在評(píng)估數(shù)字交互是否真實(shí)引用來(lái)自多個(gè)來(lái)源的大量數(shù)據(jù)，包括地理位置、會(huì)話(huà)行為、商家、機(jī)構(gòu)和客戶(hù)檔案的數(shù)據(jù)等。

此外，如今的金融欺詐者正在成為針對(duì)這些復(fù)雜數(shù)字環(huán)境的專(zhuān)家，并正在使用區(qū)塊鏈和即時(shí)支付等創(chuàng)新手段來(lái)對(duì)付銀行及其客戶(hù)。

組織應(yīng)該如何應(yīng)對(duì)這些威脅？

人工智能和機(jī)器學(xué)習(xí)的作用很明確，它是實(shí)時(shí)有效監(jiān)管現(xiàn)代金融體系的唯一尺度因素。它將最高級(jí)的文檔和客戶(hù)行為評(píng)估結(jié)合在一起，以揭示合成身份、試圖接管賬戶(hù)、洗錢(qián)以及其他新型的金融服務(wù)欺詐行為，其中許多都源于網(wǎng)絡(luò)犯罪。使用算法、方法和能力之間不斷完善的體系，以及用數(shù)據(jù)去學(xué)習(xí)攻擊模式，便可以減輕威脅。

與此同時(shí)，需要注意的是，犯罪分子本身也在使用人工智能和機(jī)器學(xué)習(xí)來(lái)支持他們的活動(dòng)，所以這就像一場(chǎng)貓捉老鼠的游戲，金融服務(wù)必須不斷發(fā)展以贏得勝利。 

如今，由人工智能驅(qū)動(dòng)的實(shí)時(shí)身份取證能夠檢測(cè)到高級(jí)金融犯罪、欺詐和操縱行為，并擅長(zhǎng)將這些點(diǎn)連接起來(lái)，以發(fā)現(xiàn)它們所保護(hù)的底層系統(tǒng)中未曾識(shí)別的漏洞，從而阻止未來(lái)的攻擊。

參考鏈接：https://www.infosecurity-magazine.com/interviews/cyber-challenges-financial-services/