首页 > 信息安全 > 正文

合成身份欺诈:用“真假”信息找到你

2021-04-06 16:25:00  来源:FreeBuf

摘要:近年来,尽管银行在减少信用卡欺诈方面取得了很大进展,但如今又出现了一个新的且不断上升的威胁:合成身份欺诈(synthetic identity fraud)。
关键词: 身份 欺诈
  近年来,尽管银行在减少信用卡欺诈方面取得了很大进展,但如今又出现了一个新的且不断上升的威胁:合成身份欺诈(synthetic identity fraud)。通过在数字平台上结合真实和伪造的信息,金融犯罪者已经能够轻松地实现此类欺诈活动。
 
  何为合成身份欺诈?
 
  以前,欺诈者会使用自己或被盗的身份开设新帐户。现在,他们可以通过将许多虚假信息和/或被盗或修改的个人识别信息(PII)合并在一起来创建身份。这些信息通常是从数据库中窃取,从毫无戒心的受害者处套取或在暗网上购买。由于在大多数情况下,其对PII被盗的每个人的影响都有限,因此这种欺诈往往很长一段时间都不会被注意到。
 
  一旦建立了完美的合成身份,就可以进行严重的欺诈。在金融服务中,这些恶意行为者可能会利用它们来建立良好的信用记录,直到后来“信用破产”并留下巨额的未偿债务。他们可能会使用在线市场进行“良好”的业务,持续足够长的时间才能获得良好的客户评价,然后根据已确认的订单窃取客户的现金。无论是窃取资金,购买昂贵的物品还是非法赚钱,合成身份的恶意可能性都在呈指数级增长,并且会越来越受欢迎。
 
  合成欺诈正在不断攀升
 
  世界各地的银行在识别这种复杂的欺诈行为时都面临着困难。合成身份欺诈者是专业的网络犯罪分子,他们利用暗网获取合法的个人信息,然后将其与伪造的信息融合在一起。接下来,他们将使用这个新和成的身份来建立积极的信用报告并进行支出或借贷,直到他们的支出能力达到极限为止。
 
  他们经常会同时糅合多种综合身份,以最大程度地发挥其效用。而且这种欺诈方式一般很难发现,因为合成欺诈的“合成”就意味着大部分信息都是真实的信息,只是不属于这个身份罢了,这些信息的完备程度相当之高,比如起名叫“张三”,电邮地址就是“zhangsan0202@sina.com”,而不是像以往很粗糙的使用“33229918@qq.com”。
 
  欺诈的经济环境
 
  鉴于新冠病毒大流行对全球造成的经济影响,预计今年全球GDP情况并不乐观。结果就是,那些在艰难的商业环境中努力维持运营的企业需要寻求新的信贷额度,而银行贷款组合的规模也已经并将持续增加。对于零售客户而言,同样也存在这种额外信贷需求。
 
  如此一来,在这种借贷活动激增,投资组合迭代出新的环境中,监管难免力不从心,欺诈行为也很容易隐藏其中。这种环境使网络犯罪分子能够隐藏在经济动荡的喧嚣之中,而金融机构则难以应对空前庞大的申请量,在身份检查过程中难免出现疏漏。
 
  由于这些贷款需要到期还款,因此很难区分真实用户的拖欠和违约以及欺诈者的蓄意攻击。此外,在这种失业、金融安全以及面临其他经济困难的环境中,可能会有更多人倾向于通过欺诈方式来维系自己的生活。
 
  优先考虑客户体验
 
  在新冠疫情大流行的异常情况下,必须在远程渠道进行更多的身份识别和验证,因为就目前情况来看,远程办公将成为一种常态。虽然这种形式对于消费者和银行来说既方便又快捷,但是当交易、支付和身份验证完全存在于数字领域时,进行欺诈也就容易多了。
 
  传统的增加保护的手段,例如更深入的证明身份的过程(例如证明“你是你”),往往会打消普通消费者对于该机构的兴趣。没人喜欢在验证流程上花费太多时间,他们往往会选择其他手续更简单的银行完成操作。由于担心失去客户,许多银行现在为他们的客户提供流线型且无障碍的体验,甚至在一定程度上,他们愿意接受由此带来的欺诈风险。
 
  欺诈者通过不断测试所有银行的漏洞,确定最易得手的目标,然后将攻击集中在这些机构上,直到其欺诈行为被检测到并被终止为止。
 
  有组织的犯罪团伙已经开发出利用这些漏洞的新方法,并经常针对几乎没有信用记录的年轻人或不太可能定期检查其信用报告的老年人下手。
 
  阻止合成欺诈
 
  尽管其复杂性正在不断增加,但是身份盗用和合成欺诈并非银行必须学会与之共处的必然结论。银行不必为了实施适当的欺诈控制而牺牲其客户体验。
 
  面对这种情况,许多银行的本能是改进身份验证过程,以证明实际用户与应用程序中的用户相同。但是,通过利用包括设备数据和外部数据源在内的跨渠道情报,机构既可以保护自身和客户安全,也不会使验证过程对消费者来说过于复杂。
 
  在未来几年中,实体解析对于阻止合成欺诈将至关重要。实体解析将来自众多来源的数据汇总在一起,并且更容易识别信息差异,这正是合成身份欺诈的危险信号。实体解析会查看应用程序或信用报告上有关人员的所有信息,分析他们是否使用一致的地址、电话号码、电子邮件地址、姓名拼写和其他信息。
 
  除此之外,金融机构还需要更密切地监视网络,因为有组织的犯罪团伙往往会留下相互关联的足迹,而这些足迹可以使用正确的技术和工具进行检测。银行将需要找到更好的解决方案,使用网络分析来跟踪资金的来源和流向,识别可能指向欺诈的模式。
 
  总体而言,银行必须面对这样一个现实,即合成身份欺诈者虽然占总客户群的比例很小,但会严重影响其资本和贷款损失。
 
  是时候使用实体解析、网络分析和其他一些创造性方法来制定攻击计划,以便有效解决合成欺诈的问题。

第三十三届CIO班招生
法国布雷斯特商学院硕士班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编:zhangwenwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。