近年来,尽管企业组织在打击身份欺诈方面取得了很大进展,但如今又出现了一个新的且不断上升的威胁:合成身份欺诈(synthetic identity fraud)。通过在数字平台上将真实和伪造的信息进行组合,网络犯罪者能够轻松地实施此类欺诈活动。多项最新的研究数据显示,合成身份欺诈已经成为目前造成组织财产损失的“新天坑”!
为了更好地防御此类攻击,我们必须高度重视合成身份欺诈威胁并对其有个清晰全面的了解。
什么是合成身份欺诈?
与传统身份盗窃不同,合成身份欺诈特别优化了不可追溯性。网络犯罪分子利用个人身份信息(PII)碎片,并将其与虚假标识符交织在一起,使得缺乏网络安全意识和团队的组织更难发现身份盗窃的事实。
合成身份欺诈,就像其名称表示的那样:它是真实和虚假信息的结合。例如,欺诈者会获取真实的姓名、地址和生出日期等信息,然后将其与虚假的身份账号相结合。这些账号通常来自一些弱势群体,因为他们不太可能主动监控自己的信用评分和账号安全。
合成身份欺诈主要包括两种类型:
篡改合成身份(Manipulated synthetic)——使用真实身账号和真人身份的其他元素,但稍加篡改形成虚假身份。例如,欺诈者可能会使用真实的账号和假名字创建一个假身份,以隐藏不良的信用记录通过贷款审核。这种方式并非总是用于恶意目的。
人造合成身份(Manufactured synthetic)——使用来自不同个人的合法PII来创造一种伪造身份,通常被称为“弗兰肯斯坦”(Frankenstein)身份,目的主要是为了实施金融犯罪。
在合成身份欺诈案件中,欺诈者通常会用几个月或几年的时间来建立一个虚假的信用档案。在这段时间里,他们会开一个银行账户,办理信用卡,及时还款,建立良好的信用。随着他们的信用额度上升,他们会申请越来越大的信用额度,但最终结果都是在所谓的“信用破产”中消失。
欺诈者可能会窃取真实用户的信息或直接在暗网上购买,然后将其与假身份相结合。据领先的欺诈预防公司GIACT最近发布的一份白皮书称,估计40%的SIF身份是利用从2011年以后出生的孩子那里窃取的信息构建的。
一些犯罪分子甚至会使用一个身份证号来创建多个身份。然后,他们可以使用窃取的身份证号大量开设新账户。在某些情况下,欺诈者还使用窃取的身份证号来申请医疗保险、医疗补助、失业保险和SNAP(紧急补充营养援助)等福利。欺诈者还可以利用自动化系统在短时间内使用一个身份证号码创建数十万个信用卡应用程序。
合成身份欺诈盛行的原因
身份验证软件公司SentiLink的研究发现,一个合成身份平均只需要20个月左右的时间,就能构建成“优质”级信用评分,为金融机构带来的平均损失高达13,000美元。益百利(Experian)2021年的一份报告发现,欺诈者甚至为生物识别验证创建了假面孔。这些“弗兰肯斯坦脸”利用人工智能将不同人的面部特征结合起来,创造出一张新脸以成功破解面部识别技术。
目前,合成身份欺诈已经是金融科技领域增长最快的网络风险,以下是推动其盛行的主要原因:
研究人员发现,只要虚假身份存在于合法信用机构的记录中,大多数金融机构都会接受这个身份记录作为一个用户真实存在的证明,并允许他们使用这个证明开设账户。更重要的是,当一种新型网络攻击出现时,安全专家需要时间来识别、分析并制定对策。然而,残酷的现实是,当前组织的控制措施并不能很好地应对这种攻击方式。
合成身份欺诈的危害
由于合成身份是通过技术手段合成产生,而非直接窃取真实身份,因此,合成身份欺诈的可追溯性远远低于普通身份诈骗。这就产生了几个问题:
更糟糕的是,合成身份欺诈的影响是很难衡量的。一方面,合成身份欺诈很难被发现,而且一旦被发现,也没有标准化的流程来记录这些损失。一些银行机构可能将损失记录为信用损失,而其他的企业组织可能将损失解释为第三方欺诈。因此,合成身份欺诈的威胁与危害还在翻倍增加。
合成身份欺诈防御建议
尽管阻止合成身份欺诈困难重重,但是有很多银行机构和企业组织开始改进身份验证机制,以证明实际用户与应用程序中的用户相同。通过利用包括设备数据和外部数据源在内的综合身份情报信息,可以帮助组织保护自身和客户安全。
研究人员表示,新型实体解析技术的应用对于阻止合成欺诈将至关重要。实体解析可以将来自众多来源的数据汇总在一起,从而更容易识别信息差异,从而更早期地识别合成身份欺诈。实体解析会查看应用程序或信用报告上有关人员的所有信息,分析他们是否使用一致的地址、电话号码、电子邮件地址、姓名拼写和其他信息。
除此之外,企业组织还需要更密切地监视网络,因为有组织的犯罪团伙往往会留下相互关联的足迹,而这些足迹可以使用正确的技术和工具进行检测。企业将需要找到更好的解决方案,通过新一代网络数据分析技术来跟踪资金的来源和流向,识别可能出现欺诈的交易行为模式。
对于个人用户而言,虽然很难判断自己的身份是否被合成身份欺诈所利用,但仍然要一些异常出现的指标保持警惕。例如,个人信用评分突然下降、银行对账单存在异常、被通知有一个从未开过的账户或者一笔没有欠过的债务等。如果您已经成为此类攻击的受害者,请尽快通知信用报告机构和警方,要求他们展开调查,尽快删除虚假信息。为了预防合成身份欺诈,每个人都应该保持警惕,不要在社交媒体平台分享过多的信息。
原文链接:
https://www.springboard.com/blog/cybersecurity/synthetic-identity-fraud/