近年來，盡管企業(yè)組織在打擊身份欺詐方面取得了很大進(jìn)展，但如今又出現(xiàn)了一個新的且不斷上升的威脅：合成身份欺詐(synthetic identity fraud)。通過在數(shù)字平臺上將真實和偽造的信息進(jìn)行組合，網(wǎng)絡(luò)犯罪者能夠輕松地實施此類欺詐活動。多項最新的研究數(shù)據(jù)顯示，合成身份欺詐已經(jīng)成為目前造成組織財產(chǎn)損失的“新天坑”!

• 麥肯錫研究所稱，合成身份欺詐(SIF)是增長最快的金融犯罪形式之一;
• 根據(jù)聯(lián)邦貿(mào)易委員會(FTC)的數(shù)據(jù)，目前合成身份欺詐占所有身份欺詐的85%，而傳統(tǒng)身份竊取僅占身份欺詐的10-15%;
• 身份驗證服務(wù)商Socure最新發(fā)布的分析報告指出，美國基于合成身份的欺詐犯罪造成的損失將從2020年的12億美元飆升至2024年的24.8億美元。
• Aité-Novarica集團最近對網(wǎng)絡(luò)安全團隊進(jìn)行的一項調(diào)查顯示，合成身份欺詐是他們在不久的將來最擔(dān)心的頭號安全威脅。

為了更好地防御此類攻擊，我們必須高度重視合成身份欺詐威脅并對其有個清晰全面的了解。

什么是合成身份欺詐?

與傳統(tǒng)身份盜竊不同，合成身份欺詐特別優(yōu)化了不可追溯性。網(wǎng)絡(luò)犯罪分子利用個人身份信息(PII)碎片，并將其與虛假標(biāo)識符交織在一起，使得缺乏網(wǎng)絡(luò)安全意識和團隊的組織更難發(fā)現(xiàn)身份盜竊的事實。

合成身份欺詐，就像其名稱表示的那樣：它是真實和虛假信息的結(jié)合。例如，欺詐者會獲取真實的姓名、地址和生出日期等信息，然后將其與虛假的身份賬號相結(jié)合。這些賬號通常來自一些弱勢群體，因為他們不太可能主動監(jiān)控自己的信用評分和賬號安全。

合成身份欺詐主要包括兩種類型：

篡改合成身份(Manipulated synthetic)——使用真實身賬號和真人身份的其他元素，但稍加篡改形成虛假身份。例如，欺詐者可能會使用真實的賬號和假名字創(chuàng)建一個假身份，以隱藏不良的信用記錄通過貸款審核。這種方式并非總是用于惡意目的。

人造合成身份(Manufactured synthetic)——使用來自不同個人的合法PII來創(chuàng)造一種偽造身份，通常被稱為“弗蘭肯斯坦”(Frankenstein)身份，目的主要是為了實施金融犯罪。

在合成身份欺詐案件中，欺詐者通常會用幾個月或幾年的時間來建立一個虛假的信用檔案。在這段時間里，他們會開一個銀行賬戶，辦理信用卡，及時還款，建立良好的信用。隨著他們的信用額度上升，他們會申請越來越大的信用額度，但最終結(jié)果都是在所謂的“信用破產(chǎn)”中消失。

欺詐者可能會竊取真實用戶的信息或直接在暗網(wǎng)上購買，然后將其與假身份相結(jié)合。據(jù)領(lǐng)先的欺詐預(yù)防公司GIACT最近發(fā)布的一份白皮書稱，估計40%的SIF身份是利用從2011年以后出生的孩子那里竊取的信息構(gòu)建的。

一些犯罪分子甚至?xí)褂靡粋€身份證號來創(chuàng)建多個身份。然后，他們可以使用竊取的身份證號大量開設(shè)新賬戶。在某些情況下，欺詐者還使用竊取的身份證號來申請醫(yī)療保險、醫(yī)療補助、失業(yè)保險和SNAP(緊急補充營養(yǎng)援助)等福利。欺詐者還可以利用自動化系統(tǒng)在短時間內(nèi)使用一個身份證號碼創(chuàng)建數(shù)十萬個信用卡應(yīng)用程序。

合成身份欺詐盛行的原因

身份驗證軟件公司SentiLink的研究發(fā)現(xiàn)，一個合成身份平均只需要20個月左右的時間，就能構(gòu)建成“優(yōu)質(zhì)”級信用評分，為金融機構(gòu)帶來的平均損失高達(dá)13,000美元。益百利(Experian)2021年的一份報告發(fā)現(xiàn)，欺詐者甚至為生物識別驗證創(chuàng)建了假面孔。這些“弗蘭肯斯坦臉”利用人工智能將不同人的面部特征結(jié)合起來，創(chuàng)造出一張新臉以成功破解面部識別技術(shù)。

目前，合成身份欺詐已經(jīng)是金融科技領(lǐng)域增長最快的網(wǎng)絡(luò)風(fēng)險，以下是推動其盛行的主要原因：

• 欺詐行為增長的一個主要原因是數(shù)據(jù)泄露的頻率和規(guī)模不斷增加。
• 暗網(wǎng)活動猖獗使得從數(shù)據(jù)泄露中竊取PII變得更加容易，同時還加速了合成身份的分發(fā)和銷售。
• 合成欺詐可以偽裝成“良好的”消費者行為。美聯(lián)儲的一項分析發(fā)現(xiàn)，70%的疑似身份欺詐案例前期會表現(xiàn)出典型的消費者模式。
• 對合成身份的檢測非常困難，導(dǎo)致許多公司直接將案件作為壞賬注銷，這使得詐騙者有恃無恐。
• 消費者對更快更簡單的賬戶注冊過程的渴望是這類欺詐傳播的另一個推手。越來越少的個人賬戶設(shè)置，以及更容易的在線注冊，使得詐騙者更容易利用它。
• 加劇合成身份欺詐危害性的是，它通常數(shù)月都不為人知。由于所使用的PII通常只是一條信息，而非完整個人信息，因此個人對盜竊行為的識別往往被延遲或根本無法識別。
• 由于犯罪分子使用的先進(jìn)技術(shù)，詐騙的可擴展性促進(jìn)了其增長和有效性。一旦欺詐者確定了目標(biāo)，該技術(shù)就能使他們迅速擴大規(guī)模，實施大規(guī)模攻擊。
• 網(wǎng)絡(luò)犯罪分子對先進(jìn)技術(shù)的利用也導(dǎo)致了欺詐的新變種，進(jìn)一步加劇檢測難度。

研究人員發(fā)現(xiàn)，只要虛假身份存在于合法信用機構(gòu)的記錄中，大多數(shù)金融機構(gòu)都會接受這個身份記錄作為一個用戶真實存在的證明，并允許他們使用這個證明開設(shè)賬戶。更重要的是，當(dāng)一種新型網(wǎng)絡(luò)攻擊出現(xiàn)時，安全專家需要時間來識別、分析并制定對策。然而，殘酷的現(xiàn)實是，當(dāng)前組織的控制措施并不能很好地應(yīng)對這種攻擊方式。

合成身份欺詐的危害

由于合成身份是通過技術(shù)手段合成產(chǎn)生，而非直接竊取真實身份，因此，合成身份欺詐的可追溯性遠(yuǎn)遠(yuǎn)低于普通身份詐騙。這就產(chǎn)生了幾個問題：

傳統(tǒng)身份下的詐騙活動更容易被發(fā)現(xiàn)。當(dāng)一個人的真實身份被竊取時，金融機構(gòu)可以提醒他們賬戶上的任何異?；顒樱热鐝囊粋€不熟悉的IP地址登錄。然而，欺詐者可以使用合成身份將賬戶開放數(shù)月甚至數(shù)年，建立自己的信用評分，獲得越來越大的信用額度，當(dāng)達(dá)到信用額度的最大值時就消失得無影無蹤。

在合成身份欺詐攻擊中，難以掌握欺詐活動的明確證據(jù)。這使得識別欺詐問題變得困難，甚至很難知道已有的防御措施是否有效。

未成年人正成為此類攻擊最有可能的受害者?？▋?nèi)基梅隆大學(xué)CyLab的一項研究表明，未成年人身份信息在合成身份欺詐中使用的可能性是成年人的51倍。這是因為孩子們沒有信用報告，信用報告機構(gòu)通常的做法是建立一個新文件。

更糟糕的是，合成身份欺詐的影響是很難衡量的。一方面，合成身份欺詐很難被發(fā)現(xiàn)，而且一旦被發(fā)現(xiàn)，也沒有標(biāo)準(zhǔn)化的流程來記錄這些損失。一些銀行機構(gòu)可能將損失記錄為信用損失，而其他的企業(yè)組織可能將損失解釋為第三方欺詐。因此，合成身份欺詐的威脅與危害還在翻倍增加。

合成身份欺詐防御建議

盡管阻止合成身份欺詐困難重重，但是有很多銀行機構(gòu)和企業(yè)組織開始改進(jìn)身份驗證機制，以證明實際用戶與應(yīng)用程序中的用戶相同。通過利用包括設(shè)備數(shù)據(jù)和外部數(shù)據(jù)源在內(nèi)的綜合身份情報信息，可以幫助組織保護(hù)自身和客戶安全。

研究人員表示，新型實體解析技術(shù)的應(yīng)用對于阻止合成欺詐將至關(guān)重要。實體解析可以將來自眾多來源的數(shù)據(jù)匯總在一起，從而更容易識別信息差異，從而更早期地識別合成身份欺詐。實體解析會查看應(yīng)用程序或信用報告上有關(guān)人員的所有信息，分析他們是否使用一致的地址、電話號碼、電子郵件地址、姓名拼寫和其他信息。

除此之外，企業(yè)組織還需要更密切地監(jiān)視網(wǎng)絡(luò)，因為有組織的犯罪團伙往往會留下相互關(guān)聯(lián)的足跡，而這些足跡可以使用正確的技術(shù)和工具進(jìn)行檢測。企業(yè)將需要找到更好的解決方案，通過新一代網(wǎng)絡(luò)數(shù)據(jù)分析技術(shù)來跟蹤資金的來源和流向，識別可能出現(xiàn)欺詐的交易行為模式。

對于個人用戶而言，雖然很難判斷自己的身份是否被合成身份欺詐所利用，但仍然要一些異常出現(xiàn)的指標(biāo)保持警惕。例如，個人信用評分突然下降、銀行對賬單存在異常、被通知有一個從未開過的賬戶或者一筆沒有欠過的債務(wù)等。如果您已經(jīng)成為此類攻擊的受害者，請盡快通知信用報告機構(gòu)和警方，要求他們展開調(diào)查，盡快刪除虛假信息。為了預(yù)防合成身份欺詐，每個人都應(yīng)該保持警惕，不要在社交媒體平臺分享過多的信息。