Vérprofi banki csalás terjed itthon: tömegeket húznak most le ezzel a módszerrel

Miként arról a Pénzcentrum idén februárban beszámolt a mesterséges intelligencia és a deepfake-ek különösen fontos problémává váltak a banki szektor számára. A General Bank of Canada kockázatkezelési igazgatója szerint a mesterséges intelligencia produktivitási eszközként való elérhetősége szélesebb körben elterjedt, és azóta az AI által hajtott csalások a csalási próbálkozások felét teszik ki. A szakértők azt jósolják, hogy a generatív AI segítségével a csalások veszteségei 2027-re 40 milliárd dollárra nőhetnek az Egyesült Államokban, évi 32%-os növekedéssel.

A generatív AI lehetővé teszi a csalók számára, hogy jelentősen megnöveljék működésük volumenét alacsony költségek mellett, és nagy mennyiségű phishing e-mailt, valamint közösségi média profilokat hozzanak létre, amelyek a hagyományos csalásvédelmi rendszereket kikerülik, köszönhetően azok új szintű kifinomultságának és minőségének. Minden üzenet tökéletesen testre szabható a célszemély számára, és tartalmazhat személyes adatokat, amelyek nyilvánosan elérhetők, így létrehozva vonzó társadalmi mérnöki csalit.

A Deloitte pedig arra számít, hogy a mesterséges intelligencia alapú banki csalások jelentős részét kitevő e-mail-es átverések a legrosszabb esetben 2027-re akár a 11,5 milliárd dollár veszteséget is okozhatnak. Hiába járnak élen a bankok évtizedek óta a kibercsalások elleni küzdelemben (és vannak is eredmények), szakértők szerint az eddig használt kockázatelemző módszerek nem elegendőek az új veszély elhárítására.

Fókuszban a befektetési csalások

A Pénzcentrum megkeresésére az OTP szakértői elmondták: tapasztalataik szerint a csalók nagy mennyiségű hamis tartalmat állítanak elő, hamis közösségimédia-profilokat hoznak létre, üzeneteket küldenek és precízen fordítanak szövegeket más nyelvekre. Gyakran a mesterséges intelligencia által generált képi anyagokat használnak a hamis közösségimédia-profilok és a csalárd tevékenységeket támogató hamis személyazonosító okmányok feljavítására.

Az így létrehozott „terméket” leggyakrabban a befektetési csalások esetében használják az elkövetők. Például, ismert ember nevében tesznek közzé olyan mesterségesen előállított hangot, vagy képet, vagy mind a kettőt együtt tartalmazó hirdetéseket, felhívásokat, kisfilmeket, amiben a politikusok, celebek, sportolók, színészek stb. nevében hívnak fel befektetésekre. A csalók, hasonlóan az egyszerűbb csalási módokhoz, itt is az ügyfelet tévesztik meg az AI technológia felhasználásával, amellyel hihetőbbé és személyesebbé tehetik a hamis állításukat.

Ne mondjunk le a hagyományos intelligenciáról

A Deloitte úgy látja, bár az eddig használt kockázatelemző rendszerek sokszor valóban nem elegendőek az új veszélyek elhárítására, az ügyfelek adatait, pénzét robosztus biztonsági rendszerrel védő pénzügyi szolgáltatók egy része már integrálta a generatív mesterséges intelligenciát rendszereibe annak érdekében, hogy felismerjék a csalások jeleit. Olyan biztos módszer azonban nincs, amivel szembe lehet szállni a legmodernebb fegyverzettel indított kibertámadásokkal. Ám annyi bizonyos, a bankoknak az ügyfelekkel a korábbinál is gyakrabban kell kommunikálniuk a veszélyekről. A legfontosabb tanács azonban talán még mindig az, hogy ne mondjunk le a hagyományos intelligenciáról.

A Pénzcentrumnak az AI-szakjogász elmondta: a hagyományos intelligencia kapcsán részben generációs kérdésekről is beszélhetünk. Akik felnőttkorukban szembesültek a digitális világgal és tanulták meg kezelni a kütyüket, azok teljesen más tanulási metódus alapján, teljesen más tananyagokkal szembesültek és építették be a tudásanyagukba, mint a gyerekkoruktól már a digitális világban élők – húzta alá Kajó Cecília.

Aki viszont gyerekkorától kezdve használta a digitális világot, és egészen fiatalon már készségszinten tudja, hogy kell például videókat készíteni, vágni, publikálni, követni ilyen oldalakat. Eleve nem tankönyvből, tanfolyamon, iskolában tanul meg dolgokat, hanem maga is Youtube oktatóvideókat néz, tehát nagyobb valószínűséggel ismerhet rá technikai oldalról a deepfake videóra, a mesterséges intelligencia által generált hamis tartalmakra. Vannak ugyanis bizonyos jellegzetességek, például a videón szereplő személy bőre furcsán fényes, műanyaghatású, mozdulatai szögletesek, illetve túl tökéletes külsőt mutat (legalábbis az ingyen elérhető és sokak által tömegesen használt alkalmazásokkal ilyen videók gyárhatóak).

Hogyan alakul át a banki védelem?

A „hagyományos” banki csalások ellen már a jegybank és az összes hazai pénzintézet hetente figyelmeztet, hogy miként ismerjük fel, mit tegyünk ellene, ezért ezt a médiában már sokszorosan lerágott csontot elkerülnénk.

Először is, a bankok nem kerülhetik el az AI végrehajtása, implementációja, legyen szó „rendes” működésről, illetve a bűncselekmények elleni védekezésről, az ügyfelek védelméről. Az összes hazai nagybanknál végzett dedikáltan AI-ra fókuszáló MNB-felmérésből kiderül, hogy a prioritási lista elején van minden intézményben az implementáció. A kép azonban heterogén: van, ahol már dedikált csapatok nagy nyelvi modelleket fejlesztenek, máshol ennél szűkebb felhasználási dimenzióban, automatizált megoldásokra koncentrálnak.

A Deloitte szerint azok a bankok lehetnek az AI-forradalom nyertesei, melyek a korábbi technológiai ugrásokban (felhőszolgáltatások, digitális megoldások stb.) is az élen jártak. Náluk ugyanis a szervezeten belül kialakult az innovációs ökoszisztéma és felismerték a technológia hasznosításának szükségességét. Éppen ezért a technológiai beruházások mellett legalább olyan fontos a szervezet és a kultúra fejlesztése az AI használatával párhuzamosan – és mindez a banki élet minden területére igaz.

Az OTP szakértői a Pénzcentrumnak kiemelték: az AI technológia segítségével hatásosabban lehet kialakítani az ügyfelekben egy olyan téves tudattartalmat, ami a csalás megtörténtéhez, majd kárhoz vezethet. A bankok az ilyen csalások megelőzésére csak a valós idejű szűrőrendszereik hatékonyabbá tételével tudnak reagálni, például ügyfél szokásvizsgálattal, illetve a szűrőrendszereknél AI technológiák alkalmazásával.

Nagyon fontos a folyamatos figyelemfelhívás, az ügyfelek adathalászattal kapcsolatos edukációjának, pénzügyi tudatosságának növelése. Nem különben az ügyfelek számára ajánlott a képek és videók gondos vizsgálata, a személyes képek vagy hangfelvételek online elérhetőségének minimalizálása (például csak korlátozottan tegyenek közzé magukról social oldalakon információt).

Ami kiemelendő: a megtévesztés hatására az ügyfelek indítják azokat a tranzakciókat, amiből káruk származik, az ilyen esetekben a bank csak nagyon nehezen szűrheti ki, illetve állapíthatja meg a csalást a tranzakció jellemzőiből. Az ügyfél eszközéről, az érintett jelszavával, maga az ügyfél indítja az utalást, vagy vásárlást.

Olyan is előfordul, hogy az ügyfél bemegy a fiókba és személyesen utal, és mikor rákérdez a fióki munkatárs az utalás céljára, arra egyértelmű választ ad, esetleg sérelmezi is a neki feltett kérdést, hiszen az abban az időszakban teljesen a megtévesztés hatása alatt áll. Pénzügyi kérések esetén az OTP azt tanácsolja ügyfeleinek, hogy hívják fel a bankot és ellenőrizzék, hogy valós-e a probléma. Sőt, a Mobilbankban az ügyfelek hívás közben is tudják ellenőrizni, hogy a hitelintézettel beszélnek-e az adott pillanatban.

Kajó Cecília szerint, ahogy semmilyen jövőbeli kockázattal szemben, úgy a deepfake tartalmak általi manipulációval szemben sincs 100 százalékos védelem. Ám a kellő forráskritika, nevezzük nevén, a józan paraszti ész, segítséget nyújthat sok esetben azzal, hogy érdemes megismerni az ingyenesen kipróbálható ilyen AI-alapú alkalmazásokat. (A SANS és a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézetének 2025. márciusi közös kiadványa arra hívja fel a figyelmet, hogy a deepfake technológiák már nemcsak politikusokat és hírességeket, hanem hétköznapi embereket is célba vesznek - a szerk.)

Szintén segítséget jelenthet az Európai Unió digitális szolgáltatásokra vonatkozó szabályozásáról szóló rendelete (The Digital Services Act - DSA), amely elsősorban a nagy online platformok jogszerű működését, a felhasználók szabad véleménynyilvánításhoz és érdemi jogorvoslathoz való jogát, valamint a szolgáltatók átlátható működését hivatott biztosítani. A rendelet eleve olyan platformszabályozást tartalmaz, amely megköveteli a szolgáltatótól az AI-generálta tartalmak szűrését. A mesterséges intelligenciáról szóló rendelet pedig szintén megköveteli a szolgáltatóktól az ilyen tartalmak jelölését, a jogellenes tartalmaknak pedig az eltávolítását. Az Európai Bizottság egyébként kifejezetten a tavalyi az EP-választás előtt komolyan foglalkozott a témával és egy csomó részletszabályt alkotott meg – mutatott rá a szakjogász.

Újabb szint jön a banki védelmi rendszerekben

2025 júliusától csökkenhet annak az esélye, hogy ismeretlenek kifosszák a gyanútlan számlatulajdonosokat, ugyanis éles üzembe áll a GIRO Zrt. által fejlesztett és működtetett Központi Visszaélésszűrő Rendszer (KVR). Ez az új, bankokon kívül álló, AI- és szabályalapú védelmi vonal egy újabb biztonsági réteget visz az utalási folyamatba, és szakmai berkeken belül nagy reményeket fűznek hozz.

Az okok közt szerepel a biztosdontes.hu szerint, hogy a csalók az elmúlt években egyre gyakrabban alkalmazták a célzott adathalászat módszerét, amikor a támadók a többek között a közösségi médiában elérhető nyilvános információkat felhasználva, személyre szabott üzenetekkel próbálják tőrbe csalni a potenciális áldozatokat. Az új visszaélésszűrő rendszer mesterséges intelligencia segítségével felismeri és kiszűri a szokatlan fizetési mintázatokat, és jelzi azt a bankoknak, mindezt az átutalás 5 másodperces végrehajtásán belül.