近年來，盡管企業組織在打擊身份欺詐方面取得了很大進展，但如今又出現了一個新的且不斷上升的威脅：合成身份欺詐（synthetic identity fraud）。通過在數字平臺上將真實和偽造的信息進行組合，網絡犯罪者能夠輕松地實施此類欺詐活動。多項最新的研究數據顯示，合成身份欺詐已經成為目前造成組織財產損失的“新天坑”！

　　麥肯錫研究所稱，合成身份欺詐（SIF）是增長最快的金融犯罪形式之一；

　　根據聯邦貿易委員會（FTC）的數據，目前合成身份欺詐占所有身份欺詐的85%，而傳統身份竊取僅占身份欺詐的10-15%；

　　身份驗證服務商Socure最新發布的分析報告指出，美國基于合成身份的欺詐犯罪造成的損失將從2020年的12億美元飆升至2024年的24.8億美元。

　　Aité-Novarica集團最近對網絡安全團隊進行的一項調查顯示，合成身份欺詐是他們在不久的將來最擔心的頭號安全威脅。

　　為了更好地防御此類攻擊，我們必須高度重視合成身份欺詐威脅并對其有個清晰全面的了解。

　　什么是合成身份欺詐？

　　與傳統身份盜竊不同，合成身份欺詐特別優化了不可追溯性。網絡犯罪分子利用個人身份信息（PII）碎片，并將其與虛假標識符交織在一起，使得缺乏網絡安全意識和團隊的組織更難發現身份盜竊的事實。

　　合成身份欺詐，就像其名稱表示的那樣：它是真實和虛假信息的結合。例如，欺詐者會獲取真實的姓名、地址和生出日期等信息，然后將其與虛假的身份賬號相結合。這些賬號通常來自一些弱勢群體，因為他們不太可能主動監控自己的信用評分和賬號安全。

　　合成身份欺詐主要包括兩種類型：

　　篡改合成身份（Manipulated synthetic）——使用真實身賬號和真人身份的其他元素，但稍加篡改形成虛假身份。例如，欺詐者可能會使用真實的賬號和假名字創建一個假身份，以隱藏不良的信用記錄通過貸款審核。這種方式并非總是用于惡意目的。

　　人造合成身份（Manufactured synthetic）——使用來自不同個人的合法PII來創造一種偽造身份，通常被稱為“弗蘭肯斯坦”（Frankenstein）身份，目的主要是為了實施金融犯罪。

　　在合成身份欺詐案件中，欺詐者通常會用幾個月或幾年的時間來建立一個虛假的信用檔案。在這段時間里，他們會開一個銀行賬戶，辦理信用卡，及時還款，建立良好的信用。隨著他們的信用額度上升，他們會申請越來越大的信用額度，但最終結果都是在所謂的“信用破產”中消失。

　　欺詐者可能會竊取真實用戶的信息或直接在暗網上購買，然后將其與假身份相結合。據領先的欺詐預防公司GIACT最近發布的一份白皮書稱，估計40%的SIF身份是利用從2011年以后出生的孩子那里竊取的信息構建的。

　　一些犯罪分子甚至會使用一個身份證號來創建多個身份。然后，他們可以使用竊取的身份證號大量開設新賬戶。在某些情況下，欺詐者還使用竊取的身份證號來申請醫療保險、醫療補助、失業保險和SNAP（緊急補充營養援助）等福利。欺詐者還可以利用自動化系統在短時間內使用一個身份證號碼創建數十萬個信用卡應用程序。

　　合成身份欺詐盛行的原因

　　身份驗證軟件公司SentiLink的研究發現，一個合成身份平均只需要20個月左右的時間，就能構建成“優質”級信用評分，為金融機構帶來的平均損失高達13,000美元。益百利（Experian）2021年的一份報告發現，欺詐者甚至為生物識別驗證創建了假面孔。這些“弗蘭肯斯坦臉”利用人工智能將不同人的面部特征結合起來，創造出一張新臉以成功破解面部識別技術。

　　目前，合成身份欺詐已經是金融科技領域增長最快的網絡風險，以下是推動其盛行的主要原因：

　　欺詐行為增長的一個主要原因是數據泄露的頻率和規模不斷增加；

　　暗網活動猖獗使得從數據泄露中竊取PII變得更加容易，同時還加速了合成身份的分發和銷售；

　　合成欺詐可以偽裝成“良好的”消費者行為。美聯儲的一項分析發現，70%的疑似身份欺詐案例前期會表現出典型的消費者模式；

　　對合成身份的檢測非常困難，導致許多公司直接將案件作為壞賬注銷，這使得詐騙者有恃無恐；

　　消費者對更快更簡單的賬戶注冊過程的渴望是這類欺詐傳播的另一個推手。越來越少的個人賬戶設置，以及更容易的在線注冊，使得詐騙者更容易利用它；

　　加劇合成身份欺詐危害性的是，它通常數月都不為人知。由于所使用的PII通常只是一條信息，而非完整個人信息，因此個人對盜竊行為的識別往往被延遲或根本無法識別；

　　由于犯罪分子使用的先進技術，詐騙的可擴展性促進了其增長和有效性。一旦欺詐者確定了目標，該技術就能使他們迅速擴大規模，實施大規模攻擊；

　　網絡犯罪分子對先進技術的利用也導致了欺詐的新變種，進一步加劇檢測難度。

　　研究人員發現，只要虛假身份存在于合法信用機構的記錄中，大多數金融機構都會接受這個身份記錄作為一個用戶真實存在的證明，并允許他們使用這個證明開設賬戶。更重要的是，當一種新型網絡攻擊出現時，安全專家需要時間來識別、分析并制定對策。然而，殘酷的現實是，當前組織的控制措施并不能很好地應對這種攻擊方式。

　　合成身份欺詐的危害

　　由于合成身份是通過技術手段合成產生，而非直接竊取真實身份，因此，合成身份欺詐的可追溯性遠遠低于普通身份詐騙。這就產生了幾個問題：

　　傳統身份下的詐騙活動更容易被發現。當一個人的真實身份被竊取時，金融機構可以提醒他們賬戶上的任何異常活動，比如從一個不熟悉的IP地址登錄。然而，欺詐者可以使用合成身份將賬戶開放數月甚至數年，建立自己的信用評分，獲得越來越大的信用額度，當達到信用額度的最大值時就消失得無影無蹤。

　　在合成身份欺詐攻擊中，難以掌握欺詐活動的明確證據。這使得識別欺詐問題變得困難，甚至很難知道已有的防御措施是否有效。

　　未成年人正成為此類攻擊最有可能的受害者。卡內基梅隆大學CyLab的一項研究表明，未成年人身份信息在合成身份欺詐中使用的可能性是成年人的51倍。這是因為孩子們沒有信用報告，信用報告機構通常的做法是建立一個新文件。

　　更糟糕的是，合成身份欺詐的影響是很難衡量的。一方面，合成身份欺詐很難被發現，而且一旦被發現，也沒有標準化的流程來記錄這些損失。一些銀行機構可能將損失記錄為信用損失，而其他的企業組織可能將損失解釋為第三方欺詐。因此，合成身份欺詐的威脅與危害還在翻倍增加。

　　合成身份欺詐防御建議

　　盡管阻止合成身份欺詐困難重重，但是有很多銀行機構和企業組織開始改進身份驗證機制，以證明實際用戶與應用程序中的用戶相同。通過利用包括設備數據和外部數據源在內的綜合身份情報信息，可以幫助組織保護自身和客戶安全。

　　研究人員表示，新型實體解析技術的應用對于阻止合成欺詐將至關重要。實體解析可以將來自眾多來源的數據匯總在一起，從而更容易識別信息差異，從而更早期地識別合成身份欺詐。實體解析會查看應用程序或信用報告上有關人員的所有信息，分析他們是否使用一致的地址、電話號碼、電子郵件地址、姓名拼寫和其他信息。

　　除此之外，企業組織還需要更密切地監視網絡，因為有組織的犯罪團伙往往會留下相互關聯的足跡，而這些足跡可以使用正確的技術和工具進行檢測。企業將需要找到更好的解決方案，通過新一代網絡數據分析技術來跟蹤資金的來源和流向，識別可能出現欺詐的交易行為模式。

　　對于個人用戶而言，雖然很難判斷自己的身份是否被合成身份欺詐所利用，但仍然要一些異常出現的指標保持警惕。例如，個人信用評分突然下降、銀行對賬單存在異常、被通知有一個從未開過的賬戶或者一筆沒有欠過的債務等。如果您已經成為此類攻擊的受害者，請盡快通知信用報告機構和警方，要求他們展開調查，盡快刪除虛假信息。為了預防合成身份欺詐，每個人都應該保持警惕，不要在社交媒體平臺分享過多的信息。

更多信息可以來這里獲取==>>電子技術應用-AET<<