虽然近年来组织在打击身份欺诈方面取得了长足进步,但出现了一种新的且不断上升的威胁:合成身份欺诈。通过结合数字平台上的真实信息和虚假信息,网络犯罪分子能够轻松进行此类欺诈活动。多项最新研究数据显示,合成身份造假已成为当前造成组织财产损失的“新天坑”!据麦肯锡研究所称,合成身份欺诈(SIF)是增长最快的金融犯罪形式之一;根据美国联邦贸易委员会(FTC)数据,目前合成身份欺诈占所有身份欺诈的85%,而传统身份盗窃仅占身份欺诈的10-15%;身份验证服务提供商Socure发布的最新分析报告指出,基于合成身份的欺诈犯罪造成的损失将从2020年的12亿美元飙升至2024年的24.8亿美元。Aité-NovaricaGroup最近对网络安全团队的一项调查显示,合成身份欺诈是他们在不久的将来最担心的头号安全威胁。为了更好地抵御此类攻击,我们必须认真对待合成身份欺诈威胁,并对其有清晰全面的了解。什么是合成身份欺诈?与传统的身份盗窃不同,合成身份欺诈专门针对不可追踪性进行了优化。网络罪犯获取个人身份信息(PII)的碎片并将其与虚假标识符交织在一起,使缺乏网络安全意识的组织和团队更难发现身份盗窃。合成身份欺诈顾名思义:它是真假信息的组合。例如,欺诈者获取真实姓名、地址和出生日期等信息,并将它们与假身份结合起来。这些账户通常来自一些弱势群体,因为他们不太可能主动监控自己的信用评分和账户安全。合成身份欺诈主要有两种类型:操纵合成——使用真实帐号和真人身份的其他元素,但对其稍作改动以创建虚假身份。例如,欺诈者可能使用真实帐号和假名创建假身份以隐藏不良信用记录以通过贷款审查。此方法并不总是用于恶意目的。人工合成——使用来自不同个人的合法PII来创建虚假身份,通常被称为“弗兰肯斯坦”身份,主要用于实施金融犯罪。在合成身份欺诈案件中,欺诈者通常花费数月或数年时间建立虚假的信用档案。在此期间,他们将开设银行账户、办理信用卡、及时付款,建立良好的信用。随着他们的信用额度上升,他们申请越来越大的信用额度,最终在所谓的“信用破产”中消失。欺诈者可能会从真实用户那里窃取信息或直接在暗网上进行购买,然后将其与假身份结合起来。根据领先的防欺诈公司GIACT最近的一份白皮书,估计有40%的SIF身份是使用从2011年之后出生的孩子那里窃取的信息构建的。一些犯罪分子甚至会使用一个社会安全号码来创建多个身份。然后,他们可以使用窃取的身份证号码大量开设新帐户。在某些情况下,欺诈者还使用盗取的ID号来申请医疗保险、医疗补助、失业保险和SNAP(紧急补充营养援助)等福利。欺诈者还可以使用自动化系统在短时间内使用一个国民身份证号创建数十万个信用卡申请。为何合成身份欺诈盛行身份验证软件公司SentiLink的研究发现,将合成身份构建为“高级”信用评分平均仅需20个月左右,平均花费金融机构高达13,000美元。Experian2021年的一份报告发现,欺诈者甚至会为生物特征验证制作假面孔。这些“科学怪人面孔”利用人工智能将不同人的面部特征结合起来,创造出一张新面孔,从而成功破解面部识别技术。合成身份欺诈已经是金融科技中增长最快的网络风险,以下是推动其流行的主要原因:欺诈增长的一个主要原因是数据泄露的频率和规模不断增加。猖獗的暗网活动使得从数据泄露中窃取PII变得更加容易,同时也加速了合成身份的分发和销售。合成欺诈可以伪装成“良好”的消费者行为。美联储的一项分析发现,70%的可疑身份欺诈案件预先表现出典型的消费模式。检测合成身份非常困难,以至于许多公司干脆将此案作为坏账注销,让诈骗者无后顾之忧。消费者希望更快、更轻松的帐户注册过程是此类欺诈行为蔓延的另一个驱动因素。更少的个人帐户设置和更容易的在线注册使诈骗者更容易利用它。使合成身份欺诈的危险更加复杂的是,它通常会被忽视数月之久。由于使用的PII通常只是一条信息,而不是完整的个人信息,因此个人对盗窃行为的识别通常会延迟或根本无法识别。由于犯罪分子使用的先进技术,该骗局的可扩展性促进了其发展和有效性。一旦欺诈者确定了目标,该技术就可以让他们迅速扩大规模并实施大规模攻击。网络犯罪分子对先进技术的利用也导致了新的欺诈变体,使检测变得更加困难。研究人员发现,只要合法征信机构的记录中存在虚假身份,大多数金融机构都会将身份记录作为用户真实存在的证据,并允许他们使用该证据开户。更重要的是,当新型网络攻击出现时,安全专家需要时间来识别、分析和制定对策。然而,严酷的现实是,当前的组织控制措施不足以应对此类攻击。合成身份诈骗的危害由于合成身份是通过技术手段合成的,并非直接窃取真实身份,因此合成身份诈骗的溯源性远低于普通身份诈骗。这会产生几个问题:传统身份下的欺诈活动更容易被发现。当一个人的真实身份被盗时,金融机构可以提醒他们注意他们账户上的任何异常活动,例如从不熟悉的IP地址登录。然而,欺诈者可以利用合成身份让账户保持数月甚至数年的开放状态,建立自己的信用评分,获得越来越大的信用额度,并在达到最高信用额度时消失得无影无踪。在合成身份欺诈攻击中,很难有明确的欺诈活动证据。这使得识别欺诈问题变得困难,甚至很难知道现有的防御措施是否有效。未成年人最有可能成为此类袭击的受害者。根据卡内基梅隆大学CyLab的一项研究,未成年人将其身份信息用于合成身份欺诈的可能性是成年人的51倍。这是因为孩子没有征信报告,而征信机构的惯常做法是重新建立档案。更糟糕的是,合成身份欺诈的影响难以衡量。一方面,合成身份欺诈很难被发现,如果被发现,也没有记录损失的标准化流程。一些银行机构可能将损失记录为信用损失,而其他商业组织可能将损失解释为第三方欺诈。因此,合成身份欺诈的威胁和危害正在加倍。合成身份欺诈防御建议尽管合成身份欺诈难以阻止,但许多银行机构和企业组织开始改进身份验证机制,以证明实际用户与应用程序中的用户相同。通过利用全面的身份智能信息,包括设备数据和外部数据源,它可以帮助组织保护自己和客户。研究人员表示,新型实体解析技术的应用对于阻止合成欺诈至关重要。实体解析汇集了来自众多来源的数据,更容易识别信息中的差异,从而更早地检测到合成身份欺诈。实体解析会查看一个人在申请表或信用报告上的所有信息,分析他们是否使用一致的地址、电话号码、电子邮件地址、姓名拼写和其他信息。除此之外,组织需要更密切地监控网络,因为有组织的犯罪团伙通常会留下相互关联的足迹,可以使用正确的技术和工具检测到。企业将需要找到更好的解决方案,通过新一代网络数据分析技术来追踪资金来源和流向,识别可能存在欺诈的交易行为模式。对于个人用户而言,虽然很难判断自己的身份是否被合成身份诈骗,但仍需对一些异常指标保持警惕。例如,个人信用评分突然下降、银行对账单异常、被通知从未开立的账户或从未欠下的债务等。如果您曾是此类攻击的受害者,请通知征信机构尽快向有关部门和警方报告,以便他们尽快调查并删除虚假信息。为防止合成身份诈骗,大家要提高警惕,不要在社交媒体平台上分享过多的信息。
