AI generatif mengguncang pembuatan konten dan pemrosesan data—tetapi juga membawa tantangan baru yang besar untuk verifikasi identitas online. Kemajuan teknologi deepfake, khususnya, telah menjadi rintangan serius bagi sistem identitas keuangan. Dengan teks, gambar, dan audio yang sangat realistis, menemukan konten palsu lebih sulit dari sebelumnya, bahkan untuk model deteksi terlatih.
Di negara-negara seperti Indonesia, Meksiko, dan Filipina, lembaga keuangan menghadapi lebih banyak rintangan: kurangnya sumber data terpadu dan andal untuk memverifikasi identitas, adopsi kartu bank yang rendah, layanan verifikasi nama asli yang lemah, dan verifikasi samar untuk dompet elektronik dan platform pembayaran lainnya. Semua ini menciptakan badai yang sempurna, membuat verifikasi identitas dan pencegahan penipuan jauh lebih berisiko dan lebih sulit untuk dikelola.
Taktik rekayasa sosial juga berkembang. Penyerang menyamar sebagai lembaga pemerintah atau lembaga keuangan, memikat korban untuk berbagi layar atau kode SMS. Tautan aplikasi palsu yang didistribusikan secara massal yang menjanjikan pinjaman atau hadiah mengeksploitasi sifat manusia—kepercayaan, keingintahuan, atau daya tarik kesepakatan—untuk mencuri data pribadi. Serangan ini tidak hanya merugikan individu; mereka juga mempengaruhi keamanan dan reputasi platform.
Dengan rekayasa sosial, AI generatif, dan perangkat lunak penyerang yang terus maju, tekanan ada pada lembaga keuangan untuk melindungi aset inti mereka. Risiko ini melampaui verifikasi identitas, berdampak pada keamanan transaksi, perlindungan data, dan tindakan anti-penipuan. Memperkuat manajemen risiko ujung ke ujung telah menjadi penting untuk tetap berada di depan dalam lanskap yang berkembang pesat ini.
Perangkap Umum dan Taktik Pencurian Data dalam RanTAI Serangan AI
Dengan memanfaatkan kelemahan dalam keamanan online dan perilaku pengguna, penyerang mengeksploitasi AI untuk mengotomatiskan dan memperkuat aktivitas penipuan. Memahami perangkap dan metode pencurian yang paling umum membantu institusi mempersiapkan dan mempertahankan diri dengan lebih baik terhadap risiko yang meningkat ini.
1. Mengumpulkan Data Identitas
Penyerang mulai dengan mengumpulkan informasi pribadi target melalui berbagai metode. Ini bisa melibatkan taktik rekayasa sosial untuk mengelabui korban agar mengungkapkan detail pribadi atau mengeksploitasi data yang terungkap dalam pelanggaran sebelumnya. Dengan informasi ini di tangan, mereka dapat menyamar sebagai korban untuk mengajukan pinjaman, mengakses akun, atau bahkan menggesek aset—semuanya tanpa mengibarkan bendera merah.
2. Memulai Aplikasi dan Perubahan Akun
Setelah penyerang memperoleh data identitas yang diperlukan, mereka bergerak untuk mengirimkan aplikasi palsu untuk mengamankan kredit atau memulai proses perubahan akun, seperti memperbarui nomor telepon terkait, rekening bank, atau kata sandi pembayaran. Perubahan ini memberi penyerang kendali atas akun korban, sering dilakukan larut malam untuk menunda deteksi oleh korban.
3. Penarikan dan Mentransfer Dana
Akhirnya, penyerang menarik dana atau kredit dari rekening korban. Ini mungkin termasuk transfer langsung, pembelian online, penarikan tunai, atau bentuk pergerakan dana lainnya. Dalam beberapa kasus, dana dengan cepat dipantulkan di beberapa akun untuk menghindari pelacakan dan membuat pemulihan lebih sulit.
Dalam skenario ini, bahkan dengan perlindungan seperti pemeriksaan biometrik, kode SMS, dan kata sandi, perlindungan “berlapis keras” itu masih bisa gagal. Penyerang terus-menerus menemukan cara cerdas untuk menghindari mereka, mengubah pertahanan tepercaya menjadi hambatan kecepatan belaka dalam skema mereka.
Titik Buta dalam Manajemen Risiko
Bahkan strategi manajemen risiko terbaik dapat mengabaikan kerentanan utama, meninggalkan celah bagi penipu untuk dieksploitasi. Misalnya, ketika bisnis terlalu fokus pada bidang-bidang seperti persetujuan kredit sambil mengabaikan verifikasi dan langkah-langkah keamanan yang lebih luas, mereka berisiko membiarkan akun terbuka. Mengidentifikasi dan mengatasi titik buta ini dapat membuat semua perbedaan dalam melindungi aset inti. Berikut adalah beberapa titik buta paling umum yang kami temukan selama praktik anti-penipuan kami dengan klien keuangan.
Terlalu Fokus pada Persetujuan Kredit
Keputusan risiko kredit adalah kunci untuk mengamankan transaksi dan menghentikan penipuan di jalurnya. Tetapi beberapa institusi sangat fokus pada tahap persetujuan kredit sehingga mereka kehilangan gambaran yang lebih besar—mengabaikan pemeriksaan penting seperti memverifikasi kepemilikan akun dan mengamankan tindakan sensitif. Titik buta ini membuat pintu terbuka lebar untuk pengambilalihan akun, pencurian aset, dan pukulan reputasi.
Dalam hal ini, membangun sistem manajemen risiko spektrum penuh berarti melihat melampaui pemeriksaan kredit. Lembaga keuangan perlu memberikan bobot yang sama untuk memvalidasi kepemilikan akun untuk mencegah pengambilalihan akun, memindai tindakan berisiko sepanjang waktu, menyiapkan kerangka kerja verifikasi tepercaya, mendorong kolaborasi lintas departemen antara risiko, TI, kepatuhan, dan operasi, dan mendidik pelanggan mereka tentang praktik keamanan akun.
Ketergantungan Berlebihan pada Metode Verifikasi Tunggal
Mengandalkan hanya satu bentuk verifikasi — seperti kata sandi, pertanyaan keamanan, atau hanya memicu pengenalan wajah untuk tindakan tertentu — adalah taruhan yang berisiko. Setelah pertahanan ini terganggu, seringkali tidak ada yang tersisa untuk mendukungnya. Ketergantungan yang berlebihan pada verifikasi “satu dan selesai” ini adalah undangan terbuka bagi penyerang, yang dapat dengan mudah melewati pertahanan yang lemah melalui rekayasa sosial atau peretasan teknologi, membuat seluruh sistem mogok.
Strategi yang Hilang untuk Skenario Bisnis Utama
Strategi manajemen risiko untuk skenario bisnis kritis adalah tulang punggung keamanan akun dan pencegahan penipuan, serta bagian penting dari tinjauan pasca-insiden. Disarankan agar tim produk menilai tingkat risiko dan frekuensi skenario ini, merancang antarmuka yang ramah pengguna yang juga dapat menangkap data risiko yang diperlukan. Sementara itu, tim risiko dan pengembangan harus membuat strategi verifikasi backend agar sesuai.
Tanpa perlindungan yang efektif untuk tindakan berisiko tinggi — seperti transaksi besar, pembaruan akun, atau perubahan kredensi — bahkan strategi anti-pengambilalihan terbaik pun gagal. Penyerang dengan cepat menemukan celah ini, menggunakannya untuk meniru pengguna yang sah dan melakukan tindakan yang tidak sah, menyelinap melewati pertahanan yang sudah ketinggalan zaman.
Kurangnya pemanfaatan Sidik Jari Perangkat Seluler
Sidik jari perangkat memberikan pengenal unik ke setiap perangkat berdasarkan berbagai titik data, memungkinkan penilaian risiko untuk operasi aplikasi. Namun, banyak lembaga keuangan hampir tidak menggaruk permukaan dengan teknologi ini, yang menyebabkan kurangnya wawasan perilaku dan lingkungan kritis untuk transaksi utama. Kesenjangan ini menyulitkan platform untuk mendeteksi dan mencegah perilaku abnormal seperti serangan bot, emulator, dan serangan injeksi, meningkatkan risiko penipuan.
Membangun Solusi Komprehensif untuk Keamanan Keuangan
Untuk menanggapi ancaman yang berkembang ini, keamanan keuangan harus komprehensif. Dengan menggabungkan pemantauan proaktif, verifikasi yang kuat, dan sepenuhnya memanfaatkan deteksi risiko perangkat, institusi dapat melindungi akun pengguna, memperkuat integritas data, dan membangun kepercayaan di semua bidang.
Pemantauan dan Peringatan Risiko Ujung ke ujung
Untuk sepenuhnya melindungi aset inti seperti keamanan akun, penting untuk membuat sistem pemantauan dan peringatan yang mencakup perjalanan pengguna lengkap seperti pendaftaran, login, otentikasi, persetujuan kredit, penggunaan, dan pembaruan informasi pribadi. Ini melibatkan pelacakan indikator utama, seperti aktivitas yang tidak biasa, beberapa upaya login yang gagal, login dari perangkat atau lokasi yang tidak dikenal, dan perubahan mendadak dalam pengaturan akun. Sebagai tanggapan, langkah-langkah seperti menurunkan peringkat akses, membekukan akun, atau tindakan pemblokiran dapat diterapkan untuk memastikan keamanan.
Deteksi Penipuan Perangkat
Deteksi penipuan terkait perangkat yang efektif membutuhkan peningkatan teknologi berkelanjutan dan identifikasi alat risiko.
TrustDecision telah mengembangkan sistem anti-penipuan canggih, yang mencakup persepsi risiko perangkat, identifikasi risiko, penanganan risiko, dan deteksi cincin penipuan, memperkuat pertahanan terhadap penipuan telekomunikasi dan jaringan. Pemantauan real-time kami dapat menemukan lebih dari 3.000 perangkat lunak penyerang, lebih dari 20 alat risiko, dan lebih dari 100 label risiko, termasuk VPN, emulator, kontrol grup, lokasi palsu, perangkat yang di-jailbreak, dan peretasan berbagi layar, diperbarui setiap minggu untuk tetap berada di depan ancaman yang berkembang.
Referensi Silang Data yang Dilaporkan Sendiri dengan Sumber yang Dapat Diandalkan
Verifikasi aktif profil pengguna melampaui pemeriksaan silang sederhana dari data yang dilaporkan sendiri. Proses OCR, deteksi keaktifan, dan nomor telepon baru — sebagai elemen yang dilaporkan pengguna — menimbulkan risiko manipulasi. Untuk mengatasi hal ini, referensi silang data yang di-porting sendiri dengan sumber data otoritatif diperlukan. Misalnya, mencocokkan nomor ID dengan nomor telepon, nomor ID dengan nama, rekening bank dengan nomor ID, rekening bank dengan nama, dan gambar wajah dengan catatan resmi. Memperkuat pasangan ini dengan verifikasi tambahan membantu memperkuat sistem keamanan akun dan membangun profil identitas yang lebih akurat untuk setiap pelanggan.
Pemodelan Data Indikator Utama
Model data yang kuat yang menganalisis indikator utama harus mencakup penetapan dasar untuk data login yang disetujui, membuat profil perilaku pengguna untuk anomali, dan mengaktifkan Otentikasi Multi-Factor (MFA).
1. Pertama, sistem menggali kebiasaan login reguler pengguna — menganalisis waktu login, lokasi, perangkat, dan kondisi jaringan. Dengan menetapkan baseline untuk login normal, menjadi lebih mudah untuk menangkap pola login yang menyimpang tajam, sehingga akses yang tidak sah dapat ditandai dan dimatikan dengan cepat.
2. Persona risiko dibuat dari perilaku historis pengguna dan pola transaksi untuk mendeteksi penipuan dengan terus memantau aktivitas ini - jika model mendeteksi perubahan mendadak yang menyimpang dari perilaku masa lalu, itu mungkin mengindikasikan upaya penipuan. Misalnya, aktivitas mendadak di negara baru dapat mengindikasikan kompromi akun. Pelajari lebih lanjut tentang Global Risk Persona.
3. MFA menambahkan lapisan keamanan akun tambahan bahkan jika satu faktor dikompromikan. MFA mencakup faktor pengetahuan (kata sandi, PIN, atau pertanyaan keamanan), faktor kepemilikan (kartu pintar, token, kode SMS), dan faktor yang melekat (biometrik seperti sidik jari, pengenalan wajah, atau pemindaian iris). MFA yang sukses seharusnya tidak hanya bergantung pada satu faktor; sebaliknya, perlu menggabungkan ini dengan cerdas berdasarkan skenario risiko spesifik dan jenis transaksi. Konteks real-time harus membentuk campuran, menggunakan data seperti perilaku pengguna, lokasi, dan sidik jari perangkat untuk menyesuaikan persyaratan otentikasi secara dinamis, menciptakan jaring pengaman yang kuat bagi pengguna.
Singkatnya, karena ancaman yang digerakkan oleh AI semakin canggih, lembaga keuangan harus merangkul pendekatan keamanan yang proaktif dan berlapis-lapis. Dari deepfake hingga rekayasa sosial, penyerang mengeksploitasi celah pertahanan tradisional yang mungkin diabaikan. Strategi manajemen risiko yang komprehensif — termasuk alat seperti Global Risk Persona TrustDecision — membantu institusi melindungi akun pengguna, mengamankan data, dan mempertahankan kepercayaan pelanggan. Memperkuat pertahanan ini sangat penting untuk tetap berada di depan ancaman yang berkembang dan membangun kerangka kerja keamanan yang tangguh untuk masa depan.
Tentang TrustDecision
TrustDecision adalah pemimpin global dalam manajemen risiko dan solusi pencegahan penipuan, memberdayakan bisnis dengan solusi untuk melindungi identitas digital, mengamankan transaksi, dan meningkatkan kepercayaan pelanggan. Memanfaatkan kemampuan pemodelan data yang kuat dan wawasan yang dapat ditindaklanjuti, TrustDecision memungkinkan lembaga keuangan mendeteksi dan mengurangi ancaman penipuan secara real time, dan bermitra dengan klien di seluruh dunia untuk membangun kerangka kerja keamanan yang tangguh.
.jpeg)
