איך צדים כרישים?

תעודת זהות אחת יכולה לייצר 5,000 גרסאות מזוייפות, שטכנולוגיות אימות הזהות הרגילות לא מצליחות לזהות אותן. חברת אותנטיקס (AU10TIX) הישראלית חושפת טכנולוגיה מבוססת AI המסוגלת, לראשונה, לגלות התקפות הונאת זהות מקצועיות ("הונאות מאפיה"). בניגוד לטכנולוגיה רגילה שמסייעת לגלות את "הסרדינים", הזיופים החובבניים, הטכנולוגיה החדשה אמורה להדאיג את הכרישים

רועי נוימן
תוכן שיווקי
שתפו כתבה במיילשתפו כתבה במייל
בניגוד לטכנולוגיה רגילה שמסייעת לגלות את "הסרדינים", הזיופים החובבניים, הטכנולוגיה החדשה אמורה להדאיג את הכרישים
רועי נוימן
תוכן שיווקי

בשנה האחרונה ניכרת עלייה דרמטית בשיעור ההונאות וגניבת זהות. הסיבות מרובות: יותר אנשים משתמשים ביישומים ושירותים דיגיטליים וגם המקור הגיאוגרפי של הונאות התרחב ומגיע כיום גם ממדינות מערביות מתפתחות. על-פי מחקר של קבוצת Aite, בשנת 2020, 47% מהאמריקנים חוו גניבת זהות. המחקר מצא עוד, כי בשנת 2019 מקרי ההונאה גרמו לנזק של 502.5 מיליארד דולר, כאשר בשנת 2020 כבר נרשמה עלייה חדשה של 42% והיקף הנזקים ממקרי ההונאה הגיע ל- 712.4 מיליארד דולר. ממחקר של חברת הייעוץ "פורסט אנד סאליבן" עולה, כי מספר המקרים בהם נעשה שימוש לא חוקי בזהות של אזרחים אמריקנים עלה ב- 3,000% בשנת 2020 וש- 70% מהחברות המסחריות או הממשלתיות עדיין משתמשים במודל של שם משתמש וסיסמה, שיחסית קל לגנוב.

לא להיות מוגן מפני הונאות זה מסוכן, אבל לחיות תחת אשליה שמוגנים בפני הונאות כאשר בפועל המצב אינו ממש כזה, זה כנראה מסוכן שבעתיים. על אחת כמה וכמה כאשר החברה מחוייבת לרגולציה מחמירה למניעת הלבנת הון (Anti Money Laundering - AML) ומימון טרור (Anti Terrorist Financing - ATF), המוכרת יותר כרגולציית "הכר את לקוחותיך" (Know Your Customers - KYC).

עופר פרידמן | צילום: יוסי לוי

הפושעים המקצועיים פתחו פער
בנקים, חברות ביטוח, חברות תשלומים והעברות כספים, חברות און-ליין למימון והלוואות, ארנקים אלקטרוניים, פלטפורמות להשקעות ומסחר, קריפטו, רשתות חברתיות, רכבים שיתופיים, חברות גיימינג, ועוד ועוד - כולם נדרשים על-ידי הרגולטור להגן על עצמן ועל לקוחותיהן מפני הונאות זהות. החדשות הטובות לכאורה הן שיש כיום הרבה מאוד חברות שמציעות טכנולוגיה משולבת בינה מלאכותית ומבטיחות לזהות, לקרוא, ולבדוק תמונות של מסמכי זהות הדרושים לפתיחת חשבון, משיכת כספים, ועוד פעולות תחת רגולציה, וכל זה בתוך "שניות". אבל "משום מה", שיעורי הונאות הזהות ונזקיה נמצאים בעליה מתמדת. 
מדוע? כיוון שהפתרונות הרגילים בנויים לגלות זיופים שאפשר לראות: פרטים לא הגיוניים, גופנים לא מתאימים, סימנים של הנחת תמונת פנים מעל תעודת זהות וכדומה. אבל מה לעשות, פושעים מקצועיים כבר מזמן פתחו פער על יכולות הגילוי הסטנדרטיות הללו. מזה שנים קל למדי למצוא כלים "מן המדף" המאפשרים ליצור זיופים שלא ניתן להבחין בהם בעין. הימים בהם זייפנים עבדו עם מספריים ונייר דבק בכדי לשנות תמונות של מסמכי זהות - כבר חלפו מהעולם. המהדרין שבין העבריינים גם עושים שימוש במידע אישי אמיתי, כזה שיעבור כל בדיקה. אין צורך בשום רשת אפלה (Darknet) לשם כך, המידע זמין בפרופילים ברשתות חברתיות. פשוט למצוא ולקחת.

את הכפפה הזו הרימה חברת אותנטיקס, מהחברות הוותיקות ביותר בתחום. בשנות ה-90' של המאה הקודמת, החברה עסקה בפיתוח טכנולוגיות לסינון בשדות תעופה ומעברי גבול. החברה מזמן שינתה את המיקוד העסקי וכיום היא פונה לרשתות האינטרנט והמובייל, שם האתגר מכונה - Customer Not Present (CNP) Document Not Present (DNP). הודות לשורשים בתחומי סיכון גבוה, אותנטיקס מתבלטת ביכולות גילוי עמוקות באוטומציה מירבית. הרי אף אחד לא היה רוצה לראות אדם חוצה את הגבול תחת זהות בדויה. אותנטיקס היא היום ספקית אוטומציית אימות הזהות והרכשת הלקוחות לחברות כמו: Paypal, Google, CoinMama, Uber, Twitter, Plus500, eToro, Santander Bank, ועוד שחקני Tier 1 עולמיים. 

אותנטיקס, שזכתה בפרס "Best Practices award 2021" של חברת הייעוץ "פורסט אנד סאליבן", הביאה לשוק את תחום הגילוי הפורנזי של נסיונות הונאה, תוך כדי אוטומציה מלאה של כל תהליך האימות מתחילתו ועד סופו, מציגה עכשיו את קפיצת המדרגה הבאה. לא רק שיפור של טכנולוגיות קיימות, אלא קו הגנה חדש כנגד הונאות זהות שהפתרונות הקיימים לא הצליחו למנוע או לגלות אותן. הגיע הזמן לחשוף לא רק את סרדיני ההונאות, אלא גם את הכרישים. אלה המקצוענים שיודעים לייצר זיופים שעוברים תחת הרדאר, אלה שמכונים "הונאות מאפיה", וגם תוקפים באופן מסוכן בהרבה לעומת החובבנים.

להסתכל על האנומליות שבצורת ההתקפה
אז מהי הונאת זהות מקצועית ("הונאת מאפיה")? "הכל מתחיל בתעודת זהות מזוייפת, אבל המקצוען יודע לייצר זיוף שלא ניתן לראות בעין, זיוף ברמה הדיגיטלית, המכונה גם 'הונאה סינטטית'", מבהיר עופר פרידמן, מנהל הפיתוח העסקי של חברת אותנטיקס (AU10TIX). "זיוף שכזה אינו מצריך בהכרח מניפולציה של תמונה אמיתית. חובבן ינסה להשיג צילום של מסמך זהות ולשנות בו פרטים מזהים, להחליף תמונה וכדומה, אבל מקצוען יעדיף 'לייצר' לעצמו תעודה חדשה לגמרי, כאילו היה משרד הפנים. הפרטים בתעודה יהיו בדרך כלל פרטים אמיתיים - לא של הזייפן כמובן אלא של הקורבן ממנו נגנבה הזהות. וכך, כשהתמונה נראית אמיתית לגמרי, והפרטים האישיים הם אמיתיים, הרי שאין סיבה לחשוד. 

"אבל הבעיה גדולה בהרבה מזיוף מוצלח, שכן מקצוענים גם תוקפים לגמרי אחרת מחובבנים", הוא מוסיף. "לדוגמה, חובבן ינסה לפתוח חשבון מזוייף אחד, או לכל היותר כמה חשבונות. מקצוען ייכנס ל'פס ייצור'. שיא התפיסות בהתקפה בודדת עומד עד כה על כ-5,000 זיופים ברמה מקצועית. מדובר בתקיפה בו-זמנית של חברות שונות, גם כאלה הנמצאות במדינות שונות ואפילו ביבשות שונות. אי אפשר שלא להעריך את החבר'ה האלה. כל זיוף כשלעצמו סביר להניח שלא יתגלה". 

עד כמה הבעיה חמורה?
"אנחנו נחשפים לנתונים מדאיגים", משיב פרידמן. "כך למשל, בחודש יוני בהשוואה למאי 2021, אותנטיקס זיהתה עלייה של 87% במקרי הונאת הזהות על-ידי זיוף של רישיונות נהיגה. כמו כן, בחודשים מאי ויוני, 38% מהזיופים וההונאות של גניבת זהות, נעשו על שבלונות של תעודות מזהות מפורטוגל ובלגיה".

איך מתמודדים עם התופעה? אם המערכות הסטנדרטיות לא רואות, אז איך בכל זאת רואים?
"מזה למעלה משנה מפעילה אותנטיקס שירות בשם 'אינסטינקט' (Instinct) שהספיק לחשוף כמות מדאיגה של התקפות הונאה מקצועיות, ואפילו יודע למצוא כאלה שכבר חדרו לארגון בעבר. 'אינסטינקט' הופך להיות קו הגנה קריטי משלים לבדיקות הרגילות. להבדיל מן הטכנולוגיות הקיימות, הוא אינו 'מסתכל' על כל תמונה בפני עצמה, אלא על 'התנהגות'. יש המגדירים יכולת כזו כ'סייבר" של הונאות זהות'. 'אינסטינקט' חושף עולם שלם שמצליח לעבור מתחת לרדאר של טכנולוגיות האימות הסטנדרטיות. הוא מסוגל להראות אלו מסמכים ומדינות מככבים אצל מקצועני ההונאה. הוא יודע להראות מתי קורות ההתקפות ואפילו לקשור אותן לאירועים בשוק.

"אבל הכי חשוב, אינסטינקט מגלה לחברות פיננסיות שמחויבות לרגולציה מחמירה, עד כמה הן חשופות. יותר ויותר לקוחות אותנטיקס עוברים להגנה רב-שכבתית (Multi Layered) המשלבת את אימות המסמכים כקו הגנה ראשון, ואת אינסטינקט כקו שני. שניהם משולבים אוטומטית באותו תהליך והבדלי העלות זניחים.

הודות לאינסטינקט מתחילים הרגולטורים לגלות את פשעי הונאת הזהות המקצועית. לא בגלל שלא שיערו שאלה קיימים, אלא בגלל שעכשיו ניתן לחשוף אותם. צריך לזכור שמעבר לאיום בקנסות גדולים, או אפילו בסגירת חברות, כל מוסד פיננסי יעדיף לדעת שלא מתרחשת הונאה בתוך הבית שלו. שיש לו כלים לשלוט במצב. אותנטיקס מספקים את אותם כלים".
לסיכום, אומר פרידמן, מדובר בהתקפות המוניות העושות שימוש במסמכי זהות מזוייפים, הנראים מושלמים לגמרי. אם יש לך טכנולוגיה רגילה, סביר להניח שלכל היותר היא תעזור לגלות את "הסרדינים", הזיופים החובבניים. עם הטכנולוגיה החדשה הגיע תורם של הכרישים לדאוג.