הונאות בעידן הבינה המלאכותית: המשבר העצום כבר כאן
אל מול צונאמי צפוי של הונאות בינה מלאכותית ונזקים של טריליוני דולרים - הקמת מוקד הונאות אינה מספיקה
השבוע פרסם המפקח על הבנקים טיוטת הוראה חדשה: הבנקים יחוייבו להקים מוקד טלפוני ייעודי להונאות, מאויש 24/7, שייתן מענה אנושי תוך דקות ספורות. מדובר בצעד חשוב, שממחיש עד כמה התופעה הפכה לאיום מערכתי. אך מוקד טלפוני - נחוץ ככל שיהיה - אינו יכול לבדו להתמודד עם הצונאמי שכבר מתחולל: הונאות מבוססות בינה מלאכותית.
סם אלטמן, מנכ"ל OpenAI, הזהיר לאחרונה כי "זה מטורף שבנקים עדיין משתמשים באימות קולי לאישור העברות כספים", כאשר מערכות AI מסוגלות לשכפל קול אנושי בדיוק כמעט מושלם. הוא צודק - ואני יודעת זאת מניסיוני. במשך שני עשורים פעלתי בצומת שבין פיננסים, פשיעה וטכנולוגיה, כיו"ר הרשות לאיסור הלבנת הון, כבכירה בארגון הבינלאומי ה- FATF האמון על יושרת המערכת הפיננסית הגלובלי וכמנהלת בכירה בתעשיית הפינטק. מנקודת המבט שלי המצב ברור: המשבר איננו תיאורטי. הוא כאן, עכשיו, ובהיקף עצום.
האבולוציה של ההונאות - מה"נסיך הניגרי" ל-deepfake אישי
יכולות ההתחזות של AI כבר נמצאות בשימוש יומיומי. מנכ"לית קרן הון סיכון סיפרה לי כי זמן קצר לאחר הכרזה על השקעה חדשה, עובדיה קיבלו "הודעה קולית" - זהה לקולה - שהורתה להם להעביר כספים לחשבון אחר. במקרים אחרים דווח על שיחות וידאו מזויפות באמצעות deepfake, שבהן עובדים קיבלו הוראות לעסקאות פיקטיביות. משפחות כבר קיבלו תחינות עזרה מזויפות מקרוב משפחה כביכול שנמצא ב"מצוקה בחו"ל".
אלו אינן אנקדוטות - זו מגפה אדירה. כלים כמו FraudGPT נמכרים ברשת האפלה ומאפשרים לכל עבריין להריץ קמפיין פישינג מותאם אישית, לזייף אתרי בנקים ולפרוץ לחשבונות בזמן אמת. גם "מבחני חיות" (liveliness) מבוססי נתונים ביומטריים נפרצים בקלות. המשמעות: מערכות ההגנה הקיימות אינן עומדות בקצב.
הנזק לא ייעצר בבנקים. אותם כלים שמטעים פקיד בנק עלולים גם לחקות ראש ממשלה, לייצר סרטון חדשותי מזויף או לזרוע דיסאינפורמציה ערב בחירות. כאשר אמון הציבור בקול, בתמונה ובווידאו מתפורר - הדמוקרטיה עצמה נפגעת. הנזק הכלכלי לבדו צפוי להסתכם בטריליוני דולרים, אך המחיר האמיתי הוא אובדן האמון במוסדות.
מה חייב להשתנות
כדי להתמודד עם המשבר, לא די בהקמת מוקד טלפוני. נדרשת תכנית מערכתית:
להילחם ב-AI באמצעות AI: הדרך היחידה לסגור את הפער היא השקעה מואצת ב-Defense AI: מערכות שמזהות זיופים, deepfake וזהויות סינתטיות בזמן אמת ומונעים אותן. להבדיל מסכומי העתק שזורמים ליישומי GenAI שונים, ה- Defense AI נמצא בחסר והכרחי שיתפתח במהירות כדי לספק מענה למשבר.
שינוי תפיסת הזהות הדיגיטלית: נתונים ביומטריים כמו קול, תמונה ווידאו אינם עוד הוכחת זהות אמינה. יש לעצב מחדש את תפיסת האימות בעולם דיגיטלי שבו deepfake הוא נחלת הכלל. הפתרון טמון במודלים חדשים המשלבים מספר שכבות וטכנולוגיות, למשל ביומטריה, נוני מקום והתנהגות שקשה לזייף. תחום זה הוא אתגר רגולטורי אך גם הזדמנות כלכלית ליזמים ישראלים, שישפיע על מגוון תחומים.
בנייה מחודשת של הגנות בנקאיות: מערכות ניטור מבוססות כללים (rule-based) אינן רלוונטיות לעולם שבו התקיפה מתפתחת ומשתנה בכל שנייה. הבנקים חייבים לעבור למערכות AI-native שמסוגלות לנתח נפחי מידע עצומים בזמן אמת, לזהות חריגות מתוחכמות ולהתמודד עם התקפות בקנה מידה רחב. זה דורש שינוי תפיסה: מעבר מהתמקדות בעסקאות בודדות חריגות, לגישה שמטרתה איתור מוקדם של דפוסי הונאה מערכתיים, באמצעות סוכני AI מתקדמים. ובמקרים רבים, יש להגן על הלקוח גם מפני עצמו – לעצור העברה גם כשהיא "מאושרת" על ידו, אם ברור שמדובר בהונאה מבוססת הנדסה חברתית.
מנגנוני שיתוף מידע לשתף וסטנדרטים תעשייתים: הונאות אינן נעצרות בגבולות לאומיים. דרוש מנגנון לשיתוף מידע ואינדיקטורים על הונאות, פרופילים חשודים ודפוסי פעולה בין הגופים הפיננסיים והמדינה, כדי להתמודד עימן.
בנוסף, כפי שהוכיח ה-FATF במאבק בפשיעה כלכלית, נדרשים סטנדרטים גלובליים כדי להתמודד באופן אפקטיבי עם פשיעה פיננסית חוצת גבולות. כך גם כאן: נדרשים פרוטוקולים וסטנדרטים בינלאומיים שיאפשרו זיהוי זיופים שנוצרו גם במערכות אחרות. כיום כל חברה מפתחת מנגנונים לעצמה ולא ניתן לזהות תוכן סינטתי שהופק במערכת אחרת. כל חוליה חלשה מסכנת את השרשרת כולה והתיאום הכרחי.
חינוך הציבור: גם הטכנולוגיות המתקדמות ביותר לא יספיקו בלי מודעות אנושית. הציבור חייב להפנים שלא כל קול, תמונה או סרטון אמיתיים. נדרשת תרבות של אימות וחשדנות בריאה: לבדוק מקורות, לשאול שאלות, לדרוש הוכחות. מערכות חינוך ותקשורת צריכות להוביל קמפיינים חינוכיים שיבנו "חוסן דיגיטלי" וחינוך להגנה עצמית בעידן של הונאות מבוססות AI.
המרוץ בעיצומו
אנו בעיצומו של מרוץ חימוש טכנולוגי: בצד אחד - עבריינים, מערכות אוטונומיות ושחקנים מדינתיים; בצד השני - מערכות הגנה מיושנות שמבוססות על כללים ישנים ואמון שנשחק.
מוקד הונאות 24/7 הוא איתות לכך שהמערכת מתחילה להתעורר. חיוני שהמוקד עצמו יהיה מבוסס AI ויכלול שיתוף מידע בזמן אמת בין כלל הגופים הפיננסים. אך בלי השקעה מערכתית מאסיבית בטכנולוגיות Defense AI, פרוטוקולים גלובליים לכלל החברות לאיתור deepfake ושינוי בדרכי אימות הזהות הדיגיטלית- צונאמי הרסני יפגע במערכת הפיננסית ובכספי הציבור בקרוב מאוד. האתגר הטכנולוגי הוא כאן ועכשיו, ולתעשיית הסטארטאפים הישראלים יש כאן הזמנות עצומה - להוביל חדשנות בתחום חיוני זה.
האיום כבר כאן. כל עיכוב - הוא פרצה פתוחה שעלולה לגבות מחיר עצום: טריליוני דולרים, ביטחון לאומי ודמוקרטיה מתפקדת.
ד"ר שלומית ווגמן-רטנר היא עמיתה בכירה בהרווארד, חוקרת ומרצה בנושאי בינה מלאכותית, פינטק ופשיעה פיננסית, ומייעצת לממשלות ולארגונים בינלאומיים, וחברה בפורום דבורה
