Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?

Fausse demande de prêt, virement frauduleux, transactions anonymes via l’IA pour blanchir de l’argent ou des crypto-monnaies. Créations de faux comptes, fraude au remboursement, fraude-as-a-service, manipulation des programmes de fidélité, les fraudeurs ne manquent d’ingéniosité pour parvenir à leurs fins. 

Fraude : Mr Hyde cache bien son jeu grâce à l’Intelligence Artificielle

Les fraudeurs ont une excellente capacité d’adaptation aux contrôles mis en place par les banques, les e-commerçants. Ils les testent et recourent à différentes techniques et outils pour trouver une faille et les contourner. Parmi celles-ci : ils créent des contenus très crédibles (via LLM ou deep fake), du hameçonnage très ciblé (spear phishing) grâce à des IA telles que ChatGPT afin de générer des emails/SMS/vidéo tellement personnalisés qu’ils trompent aisément leurs victimes. Qu’il s’agisse d’un dirigeant d’entreprise (fraude au président), d’un faux conseiller bancaire, les exemples de voix et vidéos deep fake ne manquent pas. Récemment, une arnaque au président s’appuyant sur une deep fake d’une fausse vidéo conférence a conduit un salarié à faire des virements qui ont coûté 25 millions de dollars à une multinationale hongkongaise. 

Avec l’IA, les fraudeurs automatisent des attaques massives visant à créer ou exploiter des comptes, identifiants, sans être détectés. Ils ont recours à l’utilisation frauduleuse de données de connexions (volées ou vendues sur le Dark Web) pour tester des centaines de combinaisons d’identifiants et de mots passe afin d’utiliser à l’insu d’un client son compte bancaire ou d’une marque. Ils utilisent également des robots alimentés à l’IA qui remplissent les formulaires de validation (captchas). L’IA les aide également à monter des fraudes au remboursement de toute pièce.

La recrudescence de la Fraude-as-a-Service (FaaS) et le récent démantèlement du réseau Zulon sont là pour le rappeler. Ils créent des identités synthétiques (fausse identité digitale) génèrent des fausses histoires, de fausses preuves (photos ou vidéos de colis vides, ouverts) parfaitement cohérentes pour le service client qui les reçoit afin d’obtenir un remboursement. Ils en profitent évidemment pour garder le produit. Notre équipe de surveillance du Dark Web et de lutte contre la fraude a récemment identifié un site appelé OnlyFake sur lequel les fraudeurs génèrent des faux documents d’identité au réalisme alarmant. 

En matière de fraude, la meilleure défense c’est l’attaque ! 

Face à cette menace, ma conviction est qu’il faut combattre le feu par le feu ! 

L’Intelligence Artificielle appliquée à la lutte contre la fraude est une opportunité pour déjouer les plans des fraudeurs. Alimentée par les données, couplée à l’automatisation et à la data science, elle permet de prévenir, détecter et répondre en temps réel aux tentatives de fraudes. 

Car la lutte contre la fraude est avant tout une question de données. Il faut en analyser beaucoup, en quantité et en qualité. En les corrélant, il est possible d’identifier des signaux faibles, des ruptures dans les comportements habituels, des liens anormaux entre des événements ou points de données. L’IA détecte ces anomalies, en temps réel, donne un score de risque (le scoring) ce qui peut par exemple amener à déclencher une vérification supplémentaire (friction), par un bot, un e-mail, la voix ou le visage. 

En matière de lutte contre la fraude, l’IA permet aussi de faire de l’analyse comportementale en exploitant par exemple les informations liées à l’appareil utilisé grâce à l’empreinte machine, et celles liées à l’identité grâce à l’analyse de l’identité digitale (la personne derrière l’écran est-elle vraiment qui elle prétend être ?). Elle aide à croiser l’ensemble de ces données d’identité, de comportement d’achat, à identifier les schémas, les canaux de fraude communs à un ou plusieurs acteurs malveillants (réseaux) et bien évidemment à les bloquer tout en réduisant au maximum les faux positifs. 

La lutte contre la fraude : une question d’expertise humaine, de discrétion de sagesse applicable

L’IA ne suffit pas. Il faut lui associer l’expertise humaine. L’IA permet de gagner du temps, en processant des milliers de données que l’humain ne pourrait pas traiter en temps réel. L’IA lui permet de se concentrer sur les actions à valeur ajoutée : la réponse, la remédiation, la supervision des modèles de machine learning, le travail d’investigation, la veille sur le Dark Web pour analyser et comprendre les fraudeurs. 

L’un des enjeux de la lutte contre la fraude est sa discrétion, son contrôle invisible. Sa réponse et riposte n’en sera que plus efficace et perturbatrice pour les activités frauduleuses des acteurs et réseaux professionnels de la fraude. 

La clé de la lutte contre la fraude est de combiner l’expertise humaine à l’IA pour capter la donnée, en tirer une information, qui va amener à développer une connaissance du phénomène observé pour ensuite pouvoir agir en conséquence.

La connaissance devient le point de bascule qui détermine les actions à mener. C’est la notion de la “sagesse applicable”, ou le fameux principe DICS de la pyramide de Russel Ackoff.