在当今的金融景观中,身份是新的外围。而且攻击者知道。人工智能正在加速基于身份的网络攻击,允许欺诈者比以往任何时候都更快地利用被盗的凭据,自动化网络钓鱼和绕过传统防御能力。对于银行和信用合作社,这种转变标志着关键时刻。为了保护客户信任和金融资产,安全团队必须迅速发展或冒险成为主要目标。
现在,客户登录凭证,特权访问令牌,生物识别记录和个人身份信息(PII)现在已成为网络犯罪分子武器库中最有价值的资产之一。这些与身份相关的资产越来越多地通过数据泄露和暗网络市场访问。通过实现实时分析,相关性和剥削,AI使它们更加危险。
在金融领域,这意味着攻击者可以劫持主动单登录(SSO)令牌,完全绕过标准登录协议。AI驱动的蛮力和凭证喷涂工具可以在几秒钟内破解弱或重复使用的密码。更令人不安的,AI驱动的网络钓鱼和社会工程策略可以令人信服地模仿银行代表,欺骗客户交出敏感信息或访问其帐户。
23AndMe的漏洞证明了使用证书的再利用和社会工程来访问遗传和财务数据,攻击者将走多远去利用身份数据。金融机构必须为针对零售银行客户的类似策略做准备。
AI已将经典的网络攻击方法转变为高速,高规模的威胁。例如,凭证填充现在已完全自动化。机器人迅速测试了在线银行平台上的数百万个被盗的登录组合,利用弱密码卫生和跨服务重复证书的常见做法。
社会工程学也变得越来越复杂。欺诈者使用AI来生成现实的网络钓鱼电子邮件,聊天甚至语音通话。在一个常见的情况下,攻击者使用AI生成的音频来模仿客户服务代理商,以说服客户验证其身份最终会移交敏感信息或授予对帐户的访问。
这些策略有助于账户收购。区域银行和信用合作社特别容易受到伤害,比较大的金融机构以明显更高的12%和52%的利率经历了与登录相关的网络安全事件。没有相同水平的欺诈检测基础设施,较小的组织就会成为软目标。