近年來，盡管企業(yè)組織在打擊身份欺詐方面取得了很大進(jìn)展，但如今又出現(xiàn)了一個(gè)新的且不斷上升的威脅：合成身份欺詐（synthetic identity fraud）。通過在數(shù)字平臺(tái)上將真實(shí)和偽造的信息進(jìn)行組合，網(wǎng)絡(luò)犯罪者能夠輕松地實(shí)施此類欺詐活動(dòng)。多項(xiàng)最新的研究數(shù)據(jù)顯示，合成身份欺詐已經(jīng)成為目前造成組織財(cái)產(chǎn)損失的“新天坑”！

　　麥肯錫研究所稱，合成身份欺詐（SIF）是增長最快的金融犯罪形式之一；

　　根據(jù)聯(lián)邦貿(mào)易委員會(huì)（FTC）的數(shù)據(jù)，目前合成身份欺詐占所有身份欺詐的85%，而傳統(tǒng)身份竊取僅占身份欺詐的10-15%；

　　身份驗(yàn)證服務(wù)商Socure最新發(fā)布的分析報(bào)告指出，美國基于合成身份的欺詐犯罪造成的損失將從2020年的12億美元飆升至2024年的24.8億美元。

　　Aité-Novarica集團(tuán)最近對(duì)網(wǎng)絡(luò)安全團(tuán)隊(duì)進(jìn)行的一項(xiàng)調(diào)查顯示，合成身份欺詐是他們?cè)诓痪玫膶碜顡?dān)心的頭號(hào)安全威脅。

　　為了更好地防御此類攻擊，我們必須高度重視合成身份欺詐威脅并對(duì)其有個(gè)清晰全面的了解。

　　什么是合成身份欺詐？

　　與傳統(tǒng)身份盜竊不同，合成身份欺詐特別優(yōu)化了不可追溯性。網(wǎng)絡(luò)犯罪分子利用個(gè)人身份信息（PII）碎片，并將其與虛假標(biāo)識(shí)符交織在一起，使得缺乏網(wǎng)絡(luò)安全意識(shí)和團(tuán)隊(duì)的組織更難發(fā)現(xiàn)身份盜竊的事實(shí)。

　　合成身份欺詐，就像其名稱表示的那樣：它是真實(shí)和虛假信息的結(jié)合。例如，欺詐者會(huì)獲取真實(shí)的姓名、地址和生出日期等信息，然后將其與虛假的身份賬號(hào)相結(jié)合。這些賬號(hào)通常來自一些弱勢(shì)群體，因?yàn)樗麄儾惶赡苤鲃?dòng)監(jiān)控自己的信用評(píng)分和賬號(hào)安全。

　　合成身份欺詐主要包括兩種類型：

　　篡改合成身份（Manipulated synthetic）——使用真實(shí)身賬號(hào)和真人身份的其他元素，但稍加篡改形成虛假身份。例如，欺詐者可能會(huì)使用真實(shí)的賬號(hào)和假名字創(chuàng)建一個(gè)假身份，以隱藏不良的信用記錄通過貸款審核。這種方式并非總是用于惡意目的。

　　人造合成身份（Manufactured synthetic）——使用來自不同個(gè)人的合法PII來創(chuàng)造一種偽造身份，通常被稱為“弗蘭肯斯坦”（Frankenstein）身份，目的主要是為了實(shí)施金融犯罪。

　　在合成身份欺詐案件中，欺詐者通常會(huì)用幾個(gè)月或幾年的時(shí)間來建立一個(gè)虛假的信用檔案。在這段時(shí)間里，他們會(huì)開一個(gè)銀行賬戶，辦理信用卡，及時(shí)還款，建立良好的信用。隨著他們的信用額度上升，他們會(huì)申請(qǐng)?jiān)絹碓酱蟮男庞妙~度，但最終結(jié)果都是在所謂的“信用破產(chǎn)”中消失。

　　欺詐者可能會(huì)竊取真實(shí)用戶的信息或直接在暗網(wǎng)上購買，然后將其與假身份相結(jié)合。據(jù)領(lǐng)先的欺詐預(yù)防公司GIACT最近發(fā)布的一份白皮書稱，估計(jì)40%的SIF身份是利用從2011年以后出生的孩子那里竊取的信息構(gòu)建的。

　　一些犯罪分子甚至?xí)褂靡粋€(gè)身份證號(hào)來創(chuàng)建多個(gè)身份。然后，他們可以使用竊取的身份證號(hào)大量開設(shè)新賬戶。在某些情況下，欺詐者還使用竊取的身份證號(hào)來申請(qǐng)醫(yī)療保險(xiǎn)、醫(yī)療補(bǔ)助、失業(yè)保險(xiǎn)和SNAP（緊急補(bǔ)充營養(yǎng)援助）等福利。欺詐者還可以利用自動(dòng)化系統(tǒng)在短時(shí)間內(nèi)使用一個(gè)身份證號(hào)碼創(chuàng)建數(shù)十萬個(gè)信用卡應(yīng)用程序。

　　合成身份欺詐盛行的原因

　　身份驗(yàn)證軟件公司SentiLink的研究發(fā)現(xiàn)，一個(gè)合成身份平均只需要20個(gè)月左右的時(shí)間，就能構(gòu)建成“優(yōu)質(zhì)”級(jí)信用評(píng)分，為金融機(jī)構(gòu)帶來的平均損失高達(dá)13,000美元。益百利（Experian）2021年的一份報(bào)告發(fā)現(xiàn)，欺詐者甚至為生物識(shí)別驗(yàn)證創(chuàng)建了假面孔。這些“弗蘭肯斯坦臉”利用人工智能將不同人的面部特征結(jié)合起來，創(chuàng)造出一張新臉以成功破解面部識(shí)別技術(shù)。

　　目前，合成身份欺詐已經(jīng)是金融科技領(lǐng)域增長最快的網(wǎng)絡(luò)風(fēng)險(xiǎn)，以下是推動(dòng)其盛行的主要原因：

　　欺詐行為增長的一個(gè)主要原因是數(shù)據(jù)泄露的頻率和規(guī)模不斷增加；

　　暗網(wǎng)活動(dòng)猖獗使得從數(shù)據(jù)泄露中竊取PII變得更加容易，同時(shí)還加速了合成身份的分發(fā)和銷售；

　　合成欺詐可以偽裝成“良好的”消費(fèi)者行為。美聯(lián)儲(chǔ)的一項(xiàng)分析發(fā)現(xiàn)，70%的疑似身份欺詐案例前期會(huì)表現(xiàn)出典型的消費(fèi)者模式；

　　對(duì)合成身份的檢測(cè)非常困難，導(dǎo)致許多公司直接將案件作為壞賬注銷，這使得詐騙者有恃無恐；

　　消費(fèi)者對(duì)更快更簡單的賬戶注冊(cè)過程的渴望是這類欺詐傳播的另一個(gè)推手。越來越少的個(gè)人賬戶設(shè)置，以及更容易的在線注冊(cè)，使得詐騙者更容易利用它；

　　加劇合成身份欺詐危害性的是，它通常數(shù)月都不為人知。由于所使用的PII通常只是一條信息，而非完整個(gè)人信息，因此個(gè)人對(duì)盜竊行為的識(shí)別往往被延遲或根本無法識(shí)別；

　　由于犯罪分子使用的先進(jìn)技術(shù)，詐騙的可擴(kuò)展性促進(jìn)了其增長和有效性。一旦欺詐者確定了目標(biāo)，該技術(shù)就能使他們迅速擴(kuò)大規(guī)模，實(shí)施大規(guī)模攻擊；

　　網(wǎng)絡(luò)犯罪分子對(duì)先進(jìn)技術(shù)的利用也導(dǎo)致了欺詐的新變種，進(jìn)一步加劇檢測(cè)難度。

　　研究人員發(fā)現(xiàn)，只要虛假身份存在于合法信用機(jī)構(gòu)的記錄中，大多數(shù)金融機(jī)構(gòu)都會(huì)接受這個(gè)身份記錄作為一個(gè)用戶真實(shí)存在的證明，并允許他們使用這個(gè)證明開設(shè)賬戶。更重要的是，當(dāng)一種新型網(wǎng)絡(luò)攻擊出現(xiàn)時(shí)，安全專家需要時(shí)間來識(shí)別、分析并制定對(duì)策。然而，殘酷的現(xiàn)實(shí)是，當(dāng)前組織的控制措施并不能很好地應(yīng)對(duì)這種攻擊方式。

　　合成身份欺詐的危害

　　由于合成身份是通過技術(shù)手段合成產(chǎn)生，而非直接竊取真實(shí)身份，因此，合成身份欺詐的可追溯性遠(yuǎn)遠(yuǎn)低于普通身份詐騙。這就產(chǎn)生了幾個(gè)問題：

　　傳統(tǒng)身份下的詐騙活動(dòng)更容易被發(fā)現(xiàn)。當(dāng)一個(gè)人的真實(shí)身份被竊取時(shí)，金融機(jī)構(gòu)可以提醒他們賬戶上的任何異常活動(dòng)，比如從一個(gè)不熟悉的IP地址登錄。然而，欺詐者可以使用合成身份將賬戶開放數(shù)月甚至數(shù)年，建立自己的信用評(píng)分，獲得越來越大的信用額度，當(dāng)達(dá)到信用額度的最大值時(shí)就消失得無影無蹤。

　　在合成身份欺詐攻擊中，難以掌握欺詐活動(dòng)的明確證據(jù)。這使得識(shí)別欺詐問題變得困難，甚至很難知道已有的防御措施是否有效。

　　未成年人正成為此類攻擊最有可能的受害者?？▋?nèi)基梅隆大學(xué)CyLab的一項(xiàng)研究表明，未成年人身份信息在合成身份欺詐中使用的可能性是成年人的51倍。這是因?yàn)楹⒆觽儧]有信用報(bào)告，信用報(bào)告機(jī)構(gòu)通常的做法是建立一個(gè)新文件。

　　更糟糕的是，合成身份欺詐的影響是很難衡量的。一方面，合成身份欺詐很難被發(fā)現(xiàn)，而且一旦被發(fā)現(xiàn)，也沒有標(biāo)準(zhǔn)化的流程來記錄這些損失。一些銀行機(jī)構(gòu)可能將損失記錄為信用損失，而其他的企業(yè)組織可能將損失解釋為第三方欺詐。因此，合成身份欺詐的威脅與危害還在翻倍增加。

　　合成身份欺詐防御建議

　　盡管阻止合成身份欺詐困難重重，但是有很多銀行機(jī)構(gòu)和企業(yè)組織開始改進(jìn)身份驗(yàn)證機(jī)制，以證明實(shí)際用戶與應(yīng)用程序中的用戶相同。通過利用包括設(shè)備數(shù)據(jù)和外部數(shù)據(jù)源在內(nèi)的綜合身份情報(bào)信息，可以幫助組織保護(hù)自身和客戶安全。

　　研究人員表示，新型實(shí)體解析技術(shù)的應(yīng)用對(duì)于阻止合成欺詐將至關(guān)重要。實(shí)體解析可以將來自眾多來源的數(shù)據(jù)匯總在一起，從而更容易識(shí)別信息差異，從而更早期地識(shí)別合成身份欺詐。實(shí)體解析會(huì)查看應(yīng)用程序或信用報(bào)告上有關(guān)人員的所有信息，分析他們是否使用一致的地址、電話號(hào)碼、電子郵件地址、姓名拼寫和其他信息。

　　除此之外，企業(yè)組織還需要更密切地監(jiān)視網(wǎng)絡(luò)，因?yàn)橛薪M織的犯罪團(tuán)伙往往會(huì)留下相互關(guān)聯(lián)的足跡，而這些足跡可以使用正確的技術(shù)和工具進(jìn)行檢測(cè)。企業(yè)將需要找到更好的解決方案，通過新一代網(wǎng)絡(luò)數(shù)據(jù)分析技術(shù)來跟蹤資金的來源和流向，識(shí)別可能出現(xiàn)欺詐的交易行為模式。

　　對(duì)于個(gè)人用戶而言，雖然很難判斷自己的身份是否被合成身份欺詐所利用，但仍然要一些異常出現(xiàn)的指標(biāo)保持警惕。例如，個(gè)人信用評(píng)分突然下降、銀行對(duì)賬單存在異常、被通知有一個(gè)從未開過的賬戶或者一筆沒有欠過的債務(wù)等。如果您已經(jīng)成為此類攻擊的受害者，請(qǐng)盡快通知信用報(bào)告機(jī)構(gòu)和警方，要求他們展開調(diào)查，盡快刪除虛假信息。為了預(yù)防合成身份欺詐，每個(gè)人都應(yīng)該保持警惕，不要在社交媒體平臺(tái)分享過多的信息。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<