什么是合成身份欺诈?

译文 精选
安全 应用安全
身份盗用虽然是早在互联网诞生之初就已经出现了的长期问题,但是在如今疫情反复的全球环境下,显得尤为突出和棘手。与此同时,伴随着攻防技术的不但迭代与发展,黑客窃取个人信息的手段和方式也在不断进步。合成身份欺诈(Synthetic Identity Fraud)由此应运而生。

下面我将和您一起讨论它的基本原理和基本阻断方法。

什么是合成身份欺诈?

合成身份欺诈是指犯罪分子利用真实的信息,去伪造出某个身份的行为。他们并不是假扮他人,而是通过拼凑偷窃来的信任凭证,假扮成并不存在的人员,进而获得某些权限。这虽然听起来有些不可思议,但是的确十分常见。

一个最著名的合成身份欺诈的例子发生在2018年的纽约,一伙由13名组成的罪犯团伙,成功地以他人的名义完成了贷款,并窃取了100多万美元。与传统的诈骗案不同的是,他们所伪装出的个人,实际上从来就不存在于被欺诈的系统中。通过事后侦查警方发现,由于团伙成员本身几乎并无任何信用记录,因此他们从偷窃来的社会保险号码开始入手,将这些数字与不同的姓名、地址、以及真实自然人的出生日期进行配对,产生了一些看似真实的自然人记录。最终,该犯罪团伙通过结合部分真实的信息,制造出了20个假的身份凭证。

当然,他们在具体的实现场景中也不一定遵循完全相同的模式。例如,在某些情况下,犯罪分子虽然会使用真实的社交账号(SSN)和地址,但需要结合假的名字和生日信息,以补足信用卡要求的完整信息方式,去尝试着贷款、或骗取政府的帮困计划、甚至是牟取一份没有合法公民身份的工作。

不过,与那些盗用真实身份的案例不同,这些伪造的身份往往不会立即引起反身份欺诈监控系统的察觉。由于综合了多种因素,因此它们看起来既贴近真实,又不会与真实身份相关联,进而牵扯到自然人过往的财务信息与历史记录(这往往是反欺系统的判断手段之一)。

综合身份欺诈的相关统计

根据研究机构Konica Minolta的​​《关键点智能》研究​​:有48%的中小型企业表示,数据保护是他们最大的IT挑战之一。此外,由于儿童并不具有信用记录,因此仅在2017年期间,合成身份欺诈就盗用了100万名儿童的身份信息,该​​受害比例占整体未成年人的39%​​,而当年的成年人受欺诈者占比只有19%。合成身份欺诈也伴随着这一趋势而持续增长。2019年,​​美联储声称​​,合成欺诈已是美国增长最快的欺诈类型。此类犯罪占2016年所有信贷损失的20%,并给美国本土造成了60亿美元的损失。据进一步估计,从2020年的亏损层面来看,美国银行和金融机构为此​​付出的代价就高达200亿美元​​。

如何防止合成身份欺诈

防止合成身份欺诈的最佳方法是保护您的个人识别信息(Personally Identifiable Information,PII)。首先,请针对你所有的在线帐户,使用强大、复杂且唯一的密码机制。通常,​​多因素身份验证​​可以阻止99.9%的自动化攻击。毕竟,相比单因素身份验证(SFA),MFA可以结合两个或三个独立的信任凭证,即:用户知道什么,用户有什么,以及用户是什么。

其次,请千万不要将个人信息泄露给未知的来源,并且仔细检查填写个人信息的必要性。同时,请不要点击那些号称“异常紧急”的邮件、及其邮件正文中的链接。黑客通常会以这种方式诱惑您点击,并跳转到“收割”网站上,套取您的真实身份信息。

如何举报合成身份盗窃

您可以通过监控自己的信用记录,来检查潜在的欺诈行为。不过,如果您认为自己已经成为了受害者,那么请通过如下步骤,及时举报合成身份欺诈:

首先,给持有此类身份信息的银行或信贷部门打电话,向他们解释自己发现的任何蛛丝马迹。例如:在提供基本不在场或未曾有过此类异常活动的基本证据的前提下,要求立即冻结自己的信用卡,以​​阻止欺诈行为的继续发生​​。

接着,通过拍照或截图等方式,保存任何您认为是可疑行为的证据,以便向联邦贸易委员或相关执法部门,提交有关可疑欺诈活动的报告。

小结

综上所述,盗用真实的身份信息,已不是欺诈的唯一途径了。希望上述有关合成身份欺诈的讨论,能够帮助您提高预防身份欺诈的敏感度,并更好地让您和家人远离各类欺诈,保护个人信息的安全性。

译者介绍

陈峻 (Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式,分享前沿技术与新知;经常以线上、线下等方式,开展信息安全类培训与授课。

原文标题:What Is Synthetic Identity Fraud?,作者:Shannon Flynn


责任编辑:华轩 来源: 51CTO
相关推荐

2021-04-06 14:04:40

合成身份欺诈攻击网络安全

2021-04-07 13:46:21

网络安全网络安全技术周刊

2023-05-10 11:57:19

2020-02-03 16:40:48

人工智能安全数据

2019-10-15 23:21:12

身份认证生物识别深度伪造

2022-08-23 14:56:04

合成数据数据

2020-07-29 08:34:30

机器学习安全工具

2022-07-22 11:48:20

AI技术身份欺诈

2021-05-28 17:22:19

RSA创新沙盒盘

2021-01-26 08:00:00

网络安全身份验证工具

2018-03-07 07:09:16

区块链安全性IT

2021-07-30 15:36:24

身份访问管理策略数据泄露

2022-09-08 07:34:59

web3去中心化安全

2023-05-17 16:37:29

2017-02-11 09:58:19

2022-10-24 11:57:49

2023-08-01 14:59:35

人工智能合成数据

2024-02-19 15:42:29

2021-07-01 15:10:43

物联网身份管理IOT

2011-05-27 07:20:22

点赞
收藏

51CTO技术栈公众号