Z cyberprzestępczość i oszustwa wobec banków rozwijająca się w ostatnich latach i nie wykazująca oznak opieszałości, organizacje bankowe na całym świecie zaczynają rozumieć, iż muszą przeprowadzać znacznie skuteczniejszą analizę due diligence podczas zarządzania kontaktami z klientami przychodzącymi za pośrednictwem połączeń głosowych lub czatów internetowych.
Pierwszy Narodowy Bank Omaha (FNBO) to jeden z niezliczonej liczby banków konsumenckich i komercyjnych na całym świecie, który na co dzień musi stawiać czoła tym wyzwaniom, ale w ciągu ostatnich kilku lat przeszedł cichą rewolucję w sposobie identyfikacji i weryfikuje swoich klientów, po skorzystaniu z pomocy pojawiającego się specjalisty ds. bezpieczeństwa głosowego Pindrop.
FNBO z siedzibą w Nebrasce w USA zostało założone przez dwóch braci w czasach pionierskich w latach pięćdziesiątych XIX wieku. Ponad półtora wieku później FNBO świadczy dziś kompleksowe usługi w zakresie bankowości detalicznej i biznesowej, obejmujące centralny region Great Plains w Ameryce, od Illinois po Teksas i na zachód po Góry Skaliste.
Pracując w jednym z największych prywatnych banków w USA, posiadającym aktywa o wartości ponad 30 miliardów dolarów, Steve Furlong, dyrektor ds. zarządzania oszustwami w FNBO, spędza całe dnie na zapewnianiu bezpieczeństwa tysięcy przychodzących kontaktów z klientami, nie wszystkich od swoich własnych klientów – FNBO obsługuje również karty kredytowe Visa i Mastercard w imieniu innych organizacji komercyjnych, z partnerami, w tym firmami z branży hotelarsko-gastronomicznej, organizacjami non-profit i sprzedawcami detalicznymi.
Podstawowym wyzwaniem w zakresie bezpieczeństwa cybernetycznego, przed którym stoi zespół ds. oszustw Furlong, jest niewątpliwie: poznaj swojego klienta (KYC) problem. „Czy naprawdę rozmawiam z prawdziwym właścicielem karty?” mówi Furlong. „Czy dokonuję transakcji z adekwatną osobą, a nie z oszustem, pośrednikiem lub choćby deepfake’iem?”
Trudności związane z weryfikacją klienta są czymś, co Furlong doskonale rozpoznaje po wielu latach spędzonych w świecie oszustw. Historycznie rzecz biorąc, zawsze mówiono mu, aby kierował się dwoma podstawowymi założeniami – po pierwsze, nie miał tracić żadnych pieniędzy, a po drugie, miał bardzo ułatwić klientom robienie, co chcą. Łatwo zobaczyć, jak te dwa cele mogą być ze sobą zasadniczo sprzeczne.
„To niezwykle trudne wyzwanie” – mówi Computer Weekly. „Intuicja podpowiada mi, żebym zastosował wszelkie możliwe środki ochrony i bardzo utrudnił komukolwiek interakcję – używając wszystkich środków KBA [knowledge-based-authentication] narzędzia i sprawiają, iż ludzie skaczą przez obręcze”.
Żądania danych
Furlong twierdzi, iż przez długi czas podchodził do problemu oszustw z tą myślą, prosząc o tyle danych, ile było potrzebne – kolor pierwszego samochodu, ulubionego nauczyciela w szkole podstawowej, imię pierwszego zwierzaka, adres w 1995 r. – sprawdza iż wielu legalnych klientów nieuchronnie poniosłoby porażkę i musieliby udać się do oddziału fizycznego w celu potwierdzenia ich rządowego dokumentu tożsamości ze zdjęciem.
„To okropne doświadczenie” – przyznaje Furlong. „Ale z punktu widzenia oszustwa jest to niezwykle skuteczne, więc to był ten kapelusz, który nosiłem i myślę, iż wszyscy w moim świecie go nosili.
„Ale gdy czasy się zmieniły, zdaliśmy sobie sprawę, iż nie możemy wpędzać klientów w takie kłopoty – stracilibyśmy ich” – mówi. „W miarę jak staliśmy się bardziej zorientowani na partnerów, wydając karty innym firmom i markom, otrzymywaliśmy od nich skargi, w których mówiono: «Odmawiacie naszemu klientowi i nie tylko tego, robicie to w sposób nasz sklep!'”
Furlong doświadczał również tarć z kolegami z centrów kontaktowych FNBO, których celem było wyeliminowanie czasu spędzanego na rozmowach telefonicznych, odpowiadanie na pytania oraz szybsze i skuteczniejsze rozwiązywanie problemów. Opisuje to jako przeciwieństwo swojego starego sposobu myślenia.
Rozwiązanie problemu weryfikacji
To właśnie rosnąca potrzeba lepszego sprostania wyzwaniom związanym z bieżącym uwierzytelnianiem i weryfikacją klientów po raz pierwszy skłoniła FNBO do Pindrop około pięć lat temu. Firma Pindrop rozpoczęła swoją działalność na początku 2010 roku, kiedy jej założyciel, Vijay Balasubramaniyan (doktorat z zakresu bezpieczeństwa telekomunikacyjnego), poczuł się sfrustrowany oznaczaniem i odrzucaniem legalnych transakcji przez jego bank podczas wizyty w Indiachpo prostu dlatego, iż nie było łatwego sposobu na udowodnienie jego tożsamości.
Furlong po raz pierwszy usłyszał o Pindrop dzięki kontaktom branżowym, od których dowiedział się, iż inne banki zaczynają je wdrażać Chronić produktu do wykrywania oszustw w swoich centrach kontaktowych. Jednak to pierwsze zaangażowanie gwałtownie napotkało barierę, co oznaczało, iż FNBO nie mogło współpracować z dostawcą – musiało działać lokalnie, co w przypadku banku było niewykonalne.
„Rozmawialiśmy z nimi, ale nie poszliśmy tą drogą, ponieważ nie możemy pozwolić, aby ktoś znajdował się za naszymi zaporami ogniowymi” – mówi Furlong. „[But] potem poszli do obłoku i wynieśli swoje Paszport produkt, w którym chodzi przede wszystkim o uwierzytelnianie.”
Wznowił dyskusje, zmierzył temperaturę swoich współpracowników i analityków i ostatecznie był w stanie sprzedać Pindrop zarządowi FNBO w oparciu o argument, iż chociaż organizacja nie widziała wówczas całej masy oszustw w kanałach obsługi klienta przychodzącego, to mógłby skorzystać z polisy ubezpieczeniowej na wypadek takiej możliwości.
Początkowo partnerstwo skupiało się wyłącznie na produkcie Protect, ale podczas rozmów w centrali banku w Omaha stało się jasne, iż Passport może również pomóc w rozwiązaniu niektórych wyzwań stojących przed Furlong, więc ostatecznie FNBO podjęło decyzję o kontynuacji obu rozwiązań.
„Pindrop charakteryzuje się doskonałym podejściem partnerskim” – mówi Furlong, przechodząc do procesu wdrażania. „Wysłali grupę ludzi do Omaha, gdzie odbyliśmy duże, całodniowe spotkanie inauguracyjne. [and] następnie regularnie, co dwa tygodnie, spotykaliśmy się z ich personelem zajmującym się rozwojem i wdrażaniem.
„Ponieważ wszystko odbywało się w chmurze, był to dość płynny proces – wdrożyliśmy Protect w ciągu 60 dni, Passport zajął trochę więcej czasu… aby móc go zintegrować w sposób, w jaki byśmy chcieli.”
Weryfikacja bez tarcia
Dla klientów FNBO wdrożenie Pindrop prawdopodobnie przeszło niezauważone, mówi Furlong. „To dla nich oczywiste” – mówi. „Poza tym, iż nie poddajemy ich już tak wielu etapom uwierzytelniania, w zależności od tego, o czym Pindrop nas ostrzega.
„Jeśli więc powie: «Hej, to dobra osoba, to jest Steve, wyniki oszustw są niskie, a wyniki uwierzytelnienia wysokie», nie zadaję ci trzech pytań ani nie wysyłam jednorazowego kodu dostępu. Jestem w stanie znacznie skrócić ten proces w zależności od ryzyka.”
Proces oceniania uwierzytelniania łączy różne punkty danych, które systemy Pindrop zbierają podczas kontaktu z klientem. Dane te mogą obejmować między innymi informacje takie jak lokalizacja geograficzna kontaktu przychodzącego lub informacja o tym, czy klient zmienił swoje urządzenie lub obniżył jego wersję – często jest to oznaka nikczemnych zamiarów.
Jeśli te wyniki osiągną określony próg, a umowa zostanie oznaczona jako potencjalna ryzyko, FNBO przekaże kontakt do dedykowanego centrum kontaktowego, gdzie porozmawia z agentem obsługi klienta, który specjalizuje się w oszustwach i może odrzucić niektóre z bardziej tradycyjnych KBA płotki.
Klienci banków nie zauważą tego, mówi Furlong. „Żaden klient nie przyszedł do nas i nie zapytał, dlaczego nie zadajemy już 30 pytań, więc moim zdaniem im się to podoba – nie narzekają!”
Jeśli chodzi o bardziej wymierne korzyści, jego zdaniem można je dostrzec głównie w centrach kontaktowych FNBO. „Otrzymujemy wiele opinii na ten temat od przedstawicieli contact center, których tam mamy” – mówi Furlong. „Uwielbiają ten produkt, ponieważ wskazuje im, co mają robić. Nie muszą już być ekspertami w dziedzinie oszustw. Mamy do tego specjalny sklep zajmujący się oszustwami, więc nie muszą oni wykrywać oszustw.
„To taki żart, iż kiedy tracimy połączenie z Pindrop po naszej stronie, agenci muszą wrócić do innych procesów KBA i natychmiast podnoszą sygnał alarmowy do naszego zespołu IT, mówiąc: „Hej, coś tu jest nie tak”. ; Nie dostaję punktów”. Uwielbiają ten wynik.”
Partnerstwo na przyszłość
Zastanawiając się nad dotychczasową pracą FNBO i Pindrop, Furlong stwierdza, iż był pod szczególnym wrażeniem stopnia, w jakim relacje między obiema firmami przypominały partnerstwo, a nie transakcję.
„Przyjmują rolę doradczą – zależy im na tym, aby usłyszeć od nas, tak samo jak nam zależy na tym, aby usłyszeć od nich, co powinniśmy zrobić” – mówi. „Zawsze współpracują z nami, aby wiedzieć, co robimy i jaka kolejna rzecz zaprząta nam głowę; jakie jest kolejne ryzyko.”
Kolejne ryzyko jest wyraźnie powiązane z perspektywą trudnych do wykrycia, oszustwa typu deepfake generowane przez sztuczną inteligencję – coś, o czym mówi się od uruchomienia ChatGPT w listopadzie 2022 r.
Podczas niedawnego wydarzenia dla mediów i analityków w Waszyngtonie dyrektorzy firmy Pindrop zademonstrowali niektóre z nowych funkcji przeciwdziałających deepfake’om, które w tej chwili wdraża w niedawno wprowadzonym na rynek produkcie o nazwie Pulsektóry według niego zapewnia niemal natychmiastową analizę i identyfikację deepfake’ów audio w systemie interaktywnej odpowiedzi głosowej (IVR) lub na poziomie agenta obsługi klienta. FNBO pomogło w beta-testach tego produktu.
„Dwa lata temu występowałem na konferencji i ktoś wspomniał o deepfakesach i zapytał, czy się nimi martwię” – mówi Furlong. „Powiedziałem:„ nie, naprawdę nie ”.
Ale w 2023 r. zaczął zmieniać zdanie, a w 2024 r. osiągnął w tej sprawie pełne 180 punktów. „Kiedy nawiązaliśmy współpracę z Pindrop w zakresie deepfakes, bardzo chciałem sprawdzić, czy jesteśmy przez nie atakowani” – mówi. „I z pewnością tak było – otrzymywaliśmy fałszywe połączenia telefoniczne”.
Jeśli chodzi o Furlonga i FNBO, deepfakes demokratyzują i mają potencjał demokratyzowania cyberprzestępczości i oszustw, poszerzając potencjalną pulę przestępczości – wspomina, jak podczas procesu beta poprosił jednego z jego zespołu, aby wyszedł i stworzył przekonujący deepfake spróbować przebić się przez system, co udało im się osiągnąć w ciągu kilku minut.
„Wielu moich rówieśników martwi się gangami i przestępczością zorganizowaną i mają rację, ale martwię się też tym, iż jakiś facet siedzi w domu i myśli, iż też będzie szukał pieniędzy” – mówi Furlong.
„Przychodzą przez telefon, przez nasz IVR, przychodzą przez czat, przychodzą przez wideokonferencje” – mówi. „To super, iż świat do tego doszedł i iż poczyniliśmy postępy w robieniu tego typu rzeczy, ale przerażające jest to, co możemy z nimi zrobić”.
FNBO oficjalnie wdrożyło technologię wykrywania deepfake pod koniec 2024 roku i już wykrywa ataki – choć w niewielkim tempie. „To dzieje się w oczekiwanym tempie, co jest wystarczające, aby to zauważyć” – mówi Furlong. „Spodziewałbym się, iż gdy wejdziemy w lata 2025 i 2026, stanie się to bardzo znaczące”.
W przyszłości FNBO kontynuuje współpracę z Pindrop nad deepfakes i innymi aspektami bezpieczeństwa głosu – w tej chwili Furlong bada transkrypcję i analizę rozmów na żywo, aby móc stwierdzić, czy klient jest ofiarą czy też namawiany przez oszusta.
„Czy Pindrop może to dla mnie zrobić, wykrywając pauzy w ciąży – co oznacza, iż w środku jest mężczyzna – czy też brzmią, jakby czytali scenariusz?” mówi Furlong.
„Dla mnie to kolejna ewolucja całego dzieła” – podsumowuje.
