與經(jīng)濟的許多領(lǐng)域一樣，數(shù)字技術(shù)在金融業(yè)中發(fā)揮著越來越重要的作用。比如人工智能 (AI) 和機器學(xué)習(xí) (ML) 等自動化技術(shù)，提高了銀行的運營效率，同時創(chuàng)造了更加順暢的客戶體驗。

然而，數(shù)字銀行和金融業(yè)務(wù)的變革，尤其是在新冠疫情期間，為網(wǎng)絡(luò)犯罪分子提供了新的機會去攻擊金融業(yè)這個極具誘惑力的目標。這也導(dǎo)致金融犯罪和網(wǎng)絡(luò)犯罪在近年來呈現(xiàn)融合之勢。 信息安全雜志（Infosecurity ）最近采訪了Resistant AI的創(chuàng)始人兼首席執(zhí)行官、布拉格捷克科技大學(xué)的講師兼高級研究員馬丁·雷哈克（Martin Rehak），討論了針對金融業(yè)網(wǎng)絡(luò)攻擊的演變以及緩解這些威脅的應(yīng)對措施。

近年來，我們所看到的金融犯罪和網(wǎng)絡(luò)犯罪融合到了什么程度？

技術(shù)因素令網(wǎng)絡(luò)犯罪成為金融犯罪的最大源頭，它開啟了易受攻擊的漏洞之門。然而，這種方式最近發(fā)生了改變。

它曾經(jīng)是一個非常簡單的場景：欺詐者侵入個人電腦（PC）或筆記本電腦并在瀏覽器上安裝跟蹤器，當(dāng)用戶登錄自己的網(wǎng)銀時，欺詐者便可以進入他們的銀行賬戶進行洗錢或偷錢。這個例子表明了金融犯罪和網(wǎng)絡(luò)犯罪在最基本層面上的融合——但它不再是主要威脅。

如今，組織在網(wǎng)絡(luò)犯罪方面面臨的關(guān)鍵問題主要是大規(guī)模的黑客攻擊。犯罪分子攻擊的不是安全系統(tǒng)，而是公司賴以開展在線業(yè)務(wù)流程的自動化和人工智能系統(tǒng)。欺詐者已經(jīng)組織成專家角色，可以工業(yè)化地生成新的偽造文件和身份，并將它們加載到金融系統(tǒng)中（每小時可多達數(shù)千份），然后將它們賣給其他犯罪分子，無需見面，所有交易均在線處理。

這種黑客攻擊行為模糊了欺詐、洗錢和網(wǎng)絡(luò)犯罪之間的界限。因此，傳統(tǒng)負責(zé)欺詐風(fēng)險和合規(guī)性的團隊需要開始像網(wǎng)絡(luò)安全專家和黑客一樣思考，并共享相關(guān)風(fēng)險狀況、人員、流程和技術(shù)的數(shù)據(jù)和情報，以阻止敵人的追蹤。

您能否舉例說明結(jié)合網(wǎng)絡(luò)技術(shù)、欺詐和洗錢的網(wǎng)絡(luò)攻擊？這些攻擊是否特別難以察覺和阻止？

我們以保險欺詐為例，如今人們可以獲得 50 個被盜身份或輕松創(chuàng)建 50 個假的數(shù)字身份。欺詐者用這 50 個名字投保，然后為這些人偽造事故并向保險公司索賠。其中 25 項索賠可能會被拒絕，但也有25 項可能會成功，而賠償金則直接賠付給了犯罪分子。即使犯罪隨后被舉報和調(diào)查，當(dāng)局尋找和調(diào)查的也是不存在的人或身份被盜的無辜者。

當(dāng)你發(fā)現(xiàn)其中一些身份被完全不同的犯罪分子用來創(chuàng)建加密交易賬戶，并清洗勒索軟件攻擊的收益時，問題的嚴重性就顯而易見了。 

以他人名義進行的欺詐行為大幅增加，其規(guī)模之大連警方都無法應(yīng)對。只有銀行和金融科技機構(gòu)內(nèi)部的金融犯罪打擊團隊才能真正解決這一問題。

檢測和阻止這些攻擊的難度主要取決于部署方法。僅依靠人工干預(yù)的傳統(tǒng)方法不足以快速應(yīng)對數(shù)字欺詐，而且過于耗時。相信簡單自動化或基于規(guī)則的人工智能能迎頭趕上，只是造成了當(dāng)前黑客猖獗的混亂局面。即使是更智能的人工智能系統(tǒng)，如果不全面考慮新客戶，也無法阻止這一趨勢。 

我們需要一種實時身份取證來幫助確認新客戶的真實身份，如果現(xiàn)有客戶已受到威脅，便不再按預(yù)期行事。

人工智能和機器學(xué)習(xí)在金融服務(wù)領(lǐng)域的發(fā)展在多大程度上會帶來新的欺詐挑戰(zhàn)和威脅？

至少，新冠疫情的發(fā)生，令能夠快速和即時支付交易的數(shù)字及移動客戶平臺的弱點暴露無遺，幾乎沒有客戶身份驗證或交易驗證的時間。同樣的，在數(shù)字時代，你的客戶 (KYC) 和客戶入職難以了解，使金融服務(wù)機構(gòu)及其客戶面臨網(wǎng)絡(luò)犯罪和金融欺詐的風(fēng)險顯著增加。

金融服務(wù)的快速擴張和自動化使客戶摩擦最小化，這給驗證和風(fēng)險管理政策以及實踐帶來了新的挑戰(zhàn)。現(xiàn)在評估數(shù)字交互是否真實引用來自多個來源的大量數(shù)據(jù)，包括地理位置、會話行為、商家、機構(gòu)和客戶檔案的數(shù)據(jù)等。

此外，如今的金融欺詐者正在成為針對這些復(fù)雜數(shù)字環(huán)境的專家，并正在使用區(qū)塊鏈和即時支付等創(chuàng)新手段來對付銀行及其客戶。

組織應(yīng)該如何應(yīng)對這些威脅？

人工智能和機器學(xué)習(xí)的作用很明確，它是實時有效監(jiān)管現(xiàn)代金融體系的唯一尺度因素。它將最高級的文檔和客戶行為評估結(jié)合在一起，以揭示合成身份、試圖接管賬戶、洗錢以及其他新型的金融服務(wù)欺詐行為，其中許多都源于網(wǎng)絡(luò)犯罪。使用算法、方法和能力之間不斷完善的體系，以及用數(shù)據(jù)去學(xué)習(xí)攻擊模式，便可以減輕威脅。

與此同時，需要注意的是，犯罪分子本身也在使用人工智能和機器學(xué)習(xí)來支持他們的活動，所以這就像一場貓捉老鼠的游戲，金融服務(wù)必須不斷發(fā)展以贏得勝利。 

如今，由人工智能驅(qū)動的實時身份取證能夠檢測到高級金融犯罪、欺詐和操縱行為，并擅長將這些點連接起來，以發(fā)現(xiàn)它們所保護的底層系統(tǒng)中未曾識別的漏洞，從而阻止未來的攻擊。

參考鏈接：https://www.infosecurity-magazine.com/interviews/cyber-challenges-financial-services/