下面我将和您一起讨论它的基本原理和基本阻断方法。
什么是合成身份欺诈?
合成身份欺诈是指犯罪分子利用真实的信息,去伪造出某个身份的行为。他们并不是假扮他人,而是通过拼凑偷窃来的信任凭证,假扮成并不存在的人员,进而获得某些权限。这虽然听起来有些不可思议,但是的确十分常见。
一个最著名的合成身份欺诈的例子发生在2018年的纽约,一伙由13名组成的罪犯团伙,成功地以他人的名义完成了贷款,并窃取了100多万美元。与传统的诈骗案不同的是,他们所伪装出的个人,实际上从来就不存在于被欺诈的系统中。通过事后侦查警方发现,由于团伙成员本身几乎并无任何信用记录,因此他们从偷窃来的社会保险号码开始入手,将这些数字与不同的姓名、地址、以及真实自然人的出生日期进行配对,产生了一些看似真实的自然人记录。最终,该犯罪团伙通过结合部分真实的信息,制造出了20个假的身份凭证。
当然,他们在具体的实现场景中也不一定遵循完全相同的模式。例如,在某些情况下,犯罪分子虽然会使用真实的社交账号(SSN)和地址,但需要结合假的名字和生日信息,以补足信用卡要求的完整信息方式,去尝试着贷款、或骗取政府的帮困计划、甚至是牟取一份没有合法公民身份的工作。
不过,与那些盗用真实身份的案例不同,这些伪造的身份往往不会立即引起反身份欺诈监控系统的察觉。由于综合了多种因素,因此它们看起来既贴近真实,又不会与真实身份相关联,进而牵扯到自然人过往的财务信息与历史记录(这往往是反欺系统的判断手段之一)。
综合身份欺诈的相关统计
根据研究机构Konica Minolta的《关键点智能》研究:有48%的中小型企业表示,数据保护是他们最大的IT挑战之一。此外,由于儿童并不具有信用记录,因此仅在2017年期间,合成身份欺诈就盗用了100万名儿童的身份信息,该受害比例占整体未成年人的39%,而当年的成年人受欺诈者占比只有19%。合成身份欺诈也伴随着这一趋势而持续增长。2019年,美联储声称,合成欺诈已是美国增长最快的欺诈类型。此类犯罪占2016年所有信贷损失的20%,并给美国本土造成了60亿美元的损失。据进一步估计,从2020年的亏损层面来看,美国银行和金融机构为此付出的代价就高达200亿美元。
如何防止合成身份欺诈
防止合成身份欺诈的最佳方法是保护您的个人识别信息(Personally Identifiable Information,PII)。首先,请针对你所有的在线帐户,使用强大、复杂且唯一的密码机制。通常,多因素身份验证可以阻止99.9%的自动化攻击。毕竟,相比单因素身份验证(SFA),MFA可以结合两个或三个独立的信任凭证,即:用户知道什么,用户有什么,以及用户是什么。
其次,请千万不要将个人信息泄露给未知的来源,并且仔细检查填写个人信息的必要性。同时,请不要点击那些号称“异常紧急”的邮件、及其邮件正文中的链接。黑客通常会以这种方式诱惑您点击,并跳转到“收割”网站上,套取您的真实身份信息。
如何举报合成身份盗窃
您可以通过监控自己的信用记录,来检查潜在的欺诈行为。不过,如果您认为自己已经成为了受害者,那么请通过如下步骤,及时举报合成身份欺诈:
首先,给持有此类身份信息的银行或信贷部门打电话,向他们解释自己发现的任何蛛丝马迹。例如:在提供基本不在场或未曾有过此类异常活动的基本证据的前提下,要求立即冻结自己的信用卡,以阻止欺诈行为的继续发生。
接着,通过拍照或截图等方式,保存任何您认为是可疑行为的证据,以便向联邦贸易委员或相关执法部门,提交有关可疑欺诈活动的报告。
小结
综上所述,盗用真实的身份信息,已不是欺诈的唯一途径了。希望上述有关合成身份欺诈的讨论,能够帮助您提高预防身份欺诈的敏感度,并更好地让您和家人远离各类欺诈,保护个人信息的安全性。
译者介绍
陈峻 (Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式,分享前沿技术与新知;经常以线上、线下等方式,开展信息安全类培训与授课。
原文标题:What Is Synthetic Identity Fraud?,作者:Shannon Flynn