In Ryan Schmiedls Bemühungen, JPMorgan Chase vor Betrug aller Art zu schützen, war die Kompromittierung geschäftlicher E-Mails in letzter Zeit die verheerendste Art von Angriff.
Betrüger suchen nach dem schwächsten Glied, dem Ort, der am wenigsten geschützt ist, sagte Schmiedl. Und sie finden es oft irgendwo in einem Firmenkunden.
„In vielen Fällen greifen sie Konzerne an, weil es so viele Menschen in einer Unternehmenseinheit gibt und sie nicht viel kommunizieren“, sagte Schmiedl, der bei der Bank weltweit für Zahlungen, Vertrauen und Sicherheit verantwortlich ist auf einem Panel bei Fintech Connect letzte Woche.
Er überwacht die Bemühungen von JPMorgan, Betrug und Finanzkriminalität durch Betrugskontrollen, Sanktionsprüfungen, Know-Your-Customer-Checks und andere Maßnahmen aufzudecken. Bevor er zur Bank kam, hatte er eine ähnliche Rolle bei Amazon inne.
„Ich kann Ihnen nicht sagen, wie oft wir Kunden haben, die Social Engineering durchlaufen haben“, sagte er.
Betrüger versenden oft eine authentisch aussehende E-Mail, die scheinbar von einem echten Anbieter oder Partner stammt. Es könnte heißen, dass das Unternehmen das Konto wechselt und dass der Empfänger das Geld an eine überzeugende, aber gefälschte Website senden soll, die die Betrüger erstellt haben.
Wenn Bankmitarbeiter bei einer Unternehmenstransaktion misstrauisch werden und Kunden anrufen und fragen, ob sie sicher sind, dass sie das Geld überweisen wollen, sagen die Kunden oft zunächst „Ja“, weil sie glauben, dass die Transaktion legitim ist. Erst wenn die Verkäufer ein paar Tage später anrufen und sagen, dass sie nie eine Zahlung erhalten haben, merken die Kunden, dass sie getäuscht wurden.
Um Vorfälle wie diesen und die vielen anderen Arten von Betrug, denen Banken ständig ausgesetzt sind, aufzudecken, verwendet JPMorgan große Sprachmodelle, eine Art Technologie, die große Textmengen verarbeiten kann und die hinter dem äußerst beliebten Chatbot chatgpt mit künstlicher Intelligenz steckt.
Dies ist Teil eines Trends, bei dem viele Organisationen, darunter Banken, Zahlungsnetzwerke wie Swift und Online-Glücksspielunternehmen wie Caesars Entertainment, bei der Verfolgung von Betrügern und verdächtigen Transaktionen von eher grundlegendem maschinellem Lernen zu fortschrittlicher KI übergehen.
Die Verwendung großer Sprachmodelle durch JPMorgan Chase
Die Betrugserkennungstechnologie bei JPMorgan hat sich von der Verwendung grundlegender Geschäftsregeln und Entscheidungsbäumen zum Einsatz von maschinellem Lernen entwickelt. In jüngerer Zeit nutzt die Bank KI, um aus unstrukturierten Daten Entitäten wie Namen von Unternehmen und Personen zu extrahieren und sie auf Anzeichen von Betrug zu analysieren. Ein Beispiel ist die Verwendung großer Sprachmodelle, um Anzeichen einer Kompromittierung in E-Mails zu erkennen.
„In jeder E-Mail, die erstellt wird, steckt ein inhärentes Signal“, sagte Schmiedl. „Akteure, die versuchen, betrügerische E-Mails zu erstellen, neigen grundsätzlich dazu, unterschiedliche Muster zu verwenden, und diese Muster können durch maschinelles Lernen erlernt werden.“
Die Bank verwendet große Sprachmodelle, um nahe beieinander liegende und weit voneinander entfernte Muster zu untersuchen, um den Kontext und die Zusammenhänge zu verstehen.
„Wir machen das in vielen verschiedenen Dingen, sei es bei der Prüfung von Anweisungen für eine Überweisung oder bei der Überprüfung von Sanktionen, und ich gleiche eine Liste mit Anweisungen ab“, sagte Schmiedl. Er sagte nicht, welche großen Sprachmodelle die Bank verwendet.
Beispielsweise könnte ein großes Sprachmodell verwendet werden, um eine Liste von Seeschiffen mit mehreren Datenquellen abzugleichen und zu kennzeichnen, dass sich eines der Elemente auf der Liste an einem Ort neben einer Straße befindet, was es zu einem Fehlalarm macht.
„Jetzt haben wir Hunderte von Modellen, die viele verschiedene Dinge betrachten, ob es sich dabei um Verhaltensweisen handelt, ob es sich um Zahlungen handelt, ob sie neue Konten haben, einfach nur das Risiko einschätzen und versuchen, solche Dinge herauszufinden.“ raus“, sagte Schmiedl.
Die Bank verwende nur Daten innerhalb ihres Ökosystems, um die großen Sprachmodelle zu trainieren, sagte er und wies auf die Gefahr hin, ein großes Sprachmodell zu verwenden, das Daten aus dem gesamten Internet sammelt, wie dies bei ChatGPT der Fall ist.
„Wenn man anfängt, diese Modelle und externe Daten zu verwenden, fängt man an, Dinge zu erkennen, die als Fakten dargestellt werden, die keine Fakten sind“, sagte Schmiedl. „Sie müssen sicherstellen, dass die Daten, die Sie haben, geprüft und validiert wurden und wahr sind.“
Betrug im Zahlungsverkehr aufdecken
Laut Kalyani Bhatia, globaler Leiter für Zahlungen, ist Swift, die internationale Organisation für Zahlungsnachrichten, gerade dabei, mit mehreren Technologiepartnern, darunter google und Microsoft, ein neues KI-Modell aufzubauen.
„Wir glauben wirklich, dass uns dies dabei helfen wird, die regelbasierten Engines, die wir heute bereits haben, zu erweitern und höhere Erfolgsraten bei Betrug zu erzielen“, sagte sie.
Swift integriert KI in einige seiner bestehenden Produkte, um diese zu verbessern, sagte sie.
Es verfügt beispielsweise über einen Vorabvalidierungsdienst, bei dem der Absender einer Zahlung eine Empfängerbank fragen kann, ob ein bestimmtes Konto offen und gültig ist. Heutzutage erfolgt dies über eine Anwendungsprogrammierschnittstelle.
Swift könnte KI auf seinen historischen Datenspeicher von 10 Milliarden Transaktionen pro Jahr anwenden und Anomalieindikatoren finden, die es dann mit Bankmitgliedern teilen könnte.
Swift verfügt außerdem über einen Midtransaction-Dienst namens Payment Controls, eine regelbasierte Engine, mit der jede Bank ihre eigenen Schwellenwerte für Transaktionen festlegen kann, die einer zweiten Prüfung unterzogen werden sollten. KI könnte auch dazu beitragen, dieses System zu verbessern, sagte Bhatia.
Nach der Verarbeitung plant Swift, jede Transaktion zu bewerten und seinen Bankmitgliedern Trendanalysen sowie Berichte über Betrugsmuster und Betrugslehren bereitzustellen.
Bei Caesars Digital, der Abteilung des Unterhaltungsunternehmens, das Glücksspielseiten und -Apps bereitstellt, sagte Maria Christina Kelly, Leiterin für Zahlungen und Betrug, ihr Team konzentriere sich auf zwei Hauptkategorien von Betrug.
Beim ersten handelt es sich um First-Party-Betrug, der auch „Friendly Fraud“ oder „Account-Inhaber-Betrug“ genannt wird. Es ist, wenn „man eine gute Zeit hatte und Reue hat und jetzt zurückschlägt“, sagte Kelly. „Das muss von Betrug durch Dritte unterschieden werden, den wir als feindlichen Betrug bezeichnen. Das sind die Leute, die unsere Website angreifen.“ Diese Gruppen neigen dazu, Verbraucherdaten zu kaufen, gefälschte Konten zu erstellen und über diese erfundenen Konten Geld von Caesars zu erpressen.
Kelly hat sich an Dritte gewandt, um KI-basierte Modelle zur Betrugserkennung zu entwickeln. Sie ist gerade dabei, diese Modelle auszubilden.
„Das Fehlen von Sachen ist ein echtes Problem“, sagte Kelly. „Man braucht eine echte Kombination von Menschen, die wissen, was vor sich geht, und dann sicherstellen, dass das Model das richtige Material bekommt. Es erfordert viel Schwung, es erfordert viel Aufmerksamkeit und man geht nicht gleich am ersten Tag aus.“ mit einem schönen Modell. Man muss es ständig verbessern, daran arbeiten und ihm die richtigen Daten liefern.“
Die dunkle Seite der KI
Wie alle Unternehmensverteidiger von Daten befürchten Schmiedl, Kelly und Bhatia, dass Betrüger und Kriminelle KI nutzen werden, um Betrügereien zu begehen.
„Es ist etwas, das mich nachts wach hält“, sagte Schmiedl. „Diese gegnerischen Angriffe oder diese gegnerischen Modelle des maschinellen Lernens, die sich weiterentwickeln, sind ein immer häufiger auftretendes Problem.“
JPMorgan investiere in Technologie und Forschung, um immer einen Schritt voraus zu sein, sagte er.
„Es ist eine Herausforderung“, sagte er. „Es erfordert konsequente Investitionen, konsequente Recherche, konsequente Zeit und Mühe, um an einigen dieser Dinge zu arbeiten. Und es gibt derzeit eine Reihe von Akteuren, die in einigen Bereichen gute Fortschritte gemacht haben“, zum Beispiel bei der Erkennung von Deepfake-Stimmen und Fotos.
