近年来,尽管企业组织在打击身份欺诈方面取得了很大进展,但如今又出现了一个新的且不断上升的威胁:合成身份欺诈(synthetic identity fraud)。通过在数字平台上将真实和伪造的信息进行组合,网络犯罪者能够轻松地实施此类欺诈活动。多项最新的研究数据显示,合成身份欺诈已经成为目前造成组织财产损失的“新天坑”!
- 麦肯锡研究所称,合成身份欺诈(SIF)是增长最快的金融犯罪形式之一;
- 根据联邦贸易委员会(FTC)的数据,目前合成身份欺诈占所有身份欺诈的85%,而传统身份窃取仅占身份欺诈的10-15%;
- 身份验证服务商Socure最新发布的分析报告指出,美国基于合成身份的欺诈犯罪造成的损失将从2020年的12亿美元飙升至2024年的24.8亿美元。
- Aité-Novarica集团最近对网络安全团队进行的一项调查显示,合成身份欺诈是他们在不久的将来最担心的头号安全威胁。
为了更好地防御此类攻击,我们必须高度重视合成身份欺诈威胁并对其有个清晰全面的了解。
什么是合成身份欺诈?
与传统身份盗窃不同,合成身份欺诈特别优化了不可追溯性。网络犯罪分子利用个人身份信息(PII)碎片,并将其与虚假标识符交织在一起,使得缺乏网络安全意识和团队的组织更难发现身份盗窃的事实。
合成身份欺诈,就像其名称表示的那样:它是真实和虚假信息的结合。例如,欺诈者会获取真实的姓名、地址和生出日期等信息,然后将其与虚假的身份账号相结合。这些账号通常来自一些弱势群体,因为他们不太可能主动监控自己的信用评分和账号安全。
合成身份欺诈主要包括两种类型:
篡改合成身份(Manipulated synthetic)——使用真实身账号和真人身份的其他元素,但稍加篡改形成虚假身份。例如,欺诈者可能会使用真实的账号和假名字创建一个假身份,以隐藏不良的信用记录通过贷款审核。这种方式并非总是用于恶意目的。
人造合成身份(Manufactured synthetic)——使用来自不同个人的合法PII来创造一种伪造身份,通常被称为“弗兰肯斯坦”(Frankenstein)身份,目的主要是为了实施金融犯罪。
在合成身份欺诈案件中,欺诈者通常会用几个月或几年的时间来建立一个虚假的信用档案。在这段时间里,他们会开一个银行账户,办理信用卡,及时还款,建立良好的信用。随着他们的信用额度上升,他们会申请越来越大的信用额度,但最终结果都是在所谓的“信用破产”中消失。
欺诈者可能会窃取真实用户的信息或直接在暗网上购买,然后将其与假身份相结合。据领先的欺诈预防公司GIACT最近发布的一份白皮书称,估计40%的SIF身份是利用从2011年以后出生的孩子那里窃取的信息构建的。
一些犯罪分子甚至会使用一个身份证号来创建多个身份。然后,他们可以使用窃取的身份证号大量开设新账户。在某些情况下,欺诈者还使用窃取的身份证号来申请医疗保险、医疗补助、失业保险和SNAP(紧急补充营养援助)等福利。欺诈者还可以利用自动化系统在短时间内使用一个身份证号码创建数十万个信用卡应用程序。
合成身份欺诈盛行的原因
身份验证软件公司SentiLink的研究发现,一个合成身份平均只需要20个月左右的时间,就能构建成“优质”级信用评分,为金融机构带来的平均损失高达13,000美元。益百利(Experian)2021年的一份报告发现,欺诈者甚至为生物识别验证创建了假面孔。这些“弗兰肯斯坦脸”利用人工智能将不同人的面部特征结合起来,创造出一张新脸以成功破解面部识别技术。
目前,合成身份欺诈已经是金融科技领域增长最快的网络风险,以下是推动其盛行的主要原因:
- 欺诈行为增长的一个主要原因是数据泄露的频率和规模不断增加。
- 暗网活动猖獗使得从数据泄露中窃取PII变得更加容易,同时还加速了合成身份的分发和销售。
- 合成欺诈可以伪装成“良好的”消费者行为。美联储的一项分析发现,70%的疑似身份欺诈案例前期会表现出典型的消费者模式。
- 对合成身份的检测非常困难,导致许多公司直接将案件作为坏账注销,这使得诈骗者有恃无恐。
- 消费者对更快更简单的账户注册过程的渴望是这类欺诈传播的另一个推手。越来越少的个人账户设置,以及更容易的在线注册,使得诈骗者更容易利用它。
- 加剧合成身份欺诈危害性的是,它通常数月都不为人知。由于所使用的PII通常只是一条信息,而非完整个人信息,因此个人对盗窃行为的识别往往被延迟或根本无法识别。
- 由于犯罪分子使用的先进技术,诈骗的可扩展性促进了其增长和有效性。一旦欺诈者确定了目标,该技术就能使他们迅速扩大规模,实施大规模攻击。
- 网络犯罪分子对先进技术的利用也导致了欺诈的新变种,进一步加剧检测难度。
研究人员发现,只要虚假身份存在于合法信用机构的记录中,大多数金融机构都会接受这个身份记录作为一个用户真实存在的证明,并允许他们使用这个证明开设账户。更重要的是,当一种新型网络攻击出现时,安全专家需要时间来识别、分析并制定对策。然而,残酷的现实是,当前组织的控制措施并不能很好地应对这种攻击方式。
合成身份欺诈的危害
由于合成身份是通过技术手段合成产生,而非直接窃取真实身份,因此,合成身份欺诈的可追溯性远远低于普通身份诈骗。这就产生了几个问题:
传统身份下的诈骗活动更容易被发现。当一个人的真实身份被窃取时,金融机构可以提醒他们账户上的任何异常活动,比如从一个不熟悉的IP地址登录。然而,欺诈者可以使用合成身份将账户开放数月甚至数年,建立自己的信用评分,获得越来越大的信用额度,当达到信用额度的最大值时就消失得无影无踪。
在合成身份欺诈攻击中,难以掌握欺诈活动的明确证据。这使得识别欺诈问题变得困难,甚至很难知道已有的防御措施是否有效。
未成年人正成为此类攻击最有可能的受害者。卡内基梅隆大学CyLab的一项研究表明,未成年人身份信息在合成身份欺诈中使用的可能性是成年人的51倍。这是因为孩子们没有信用报告,信用报告机构通常的做法是建立一个新文件。
更糟糕的是,合成身份欺诈的影响是很难衡量的。一方面,合成身份欺诈很难被发现,而且一旦被发现,也没有标准化的流程来记录这些损失。一些银行机构可能将损失记录为信用损失,而其他的企业组织可能将损失解释为第三方欺诈。因此,合成身份欺诈的威胁与危害还在翻倍增加。
合成身份欺诈防御建议
尽管阻止合成身份欺诈困难重重,但是有很多银行机构和企业组织开始改进身份验证机制,以证明实际用户与应用程序中的用户相同。通过利用包括设备数据和外部数据源在内的综合身份情报信息,可以帮助组织保护自身和客户安全。
研究人员表示,新型实体解析技术的应用对于阻止合成欺诈将至关重要。实体解析可以将来自众多来源的数据汇总在一起,从而更容易识别信息差异,从而更早期地识别合成身份欺诈。实体解析会查看应用程序或信用报告上有关人员的所有信息,分析他们是否使用一致的地址、电话号码、电子邮件地址、姓名拼写和其他信息。
除此之外,企业组织还需要更密切地监视网络,因为有组织的犯罪团伙往往会留下相互关联的足迹,而这些足迹可以使用正确的技术和工具进行检测。企业将需要找到更好的解决方案,通过新一代网络数据分析技术来跟踪资金的来源和流向,识别可能出现欺诈的交易行为模式。
对于个人用户而言,虽然很难判断自己的身份是否被合成身份欺诈所利用,但仍然要一些异常出现的指标保持警惕。例如,个人信用评分突然下降、银行对账单存在异常、被通知有一个从未开过的账户或者一笔没有欠过的债务等。如果您已经成为此类攻击的受害者,请尽快通知信用报告机构和警方,要求他们展开调查,尽快删除虚假信息。为了预防合成身份欺诈,每个人都应该保持警惕,不要在社交媒体平台分享过多的信息。