个人身份信息是可以用来判断某人具体身份的数据,这会让人们想到姓名、出生日期或社会保险号等历史数据,但社交媒体网站、电子商务平台、信用卡公司、政府机构和雇主都会收集和存储数据点,这些数据点可以进行组合和处理,以创建某人的虚拟形象。
个人身份信息曾经被认为是验证身份的可靠方式,但随着发生隐私泄露事件变得司空见惯,很多个人身份信息已经受到侵害。以至于它已成为暗网市场上的一种商品,网络犯罪分子使用聊天机器人和有组织的欺诈团伙实施前所未有的欺诈行为。
根据身份盗窃资源中心的调查,欺诈者在更大范围内实施欺诈的事件每年都在增长,2021年是数据泄露事件破纪录的一年。2021年报告的数据泄露事件达到1862起,与2020年报告的数据泄露事件相比激增68%。攻击脆弱系统的欺诈者的严重性正在飙升,到2021年受到欺诈的受害者人数已经累计达到2.9亿名以,仅在2022年就已经有2000多万名受害者。虽然欺诈者的行为不会停止,但企业可以通过了解用户行为的不断变化来采取关键步骤来提供保护。
消费者行为的变化暴露了个人身份信息
新冠疫情以很多方式改变了消费者的行为模式。它重塑了个人购买产品和服务的内容、地点和方式,并为欺诈者提供了机会,让他们对尚未准备好应对这些变化的个人和企业进行欺诈。
(1)采用新的应用程序和工具
个人和企业应用程序的快速增长和主流化为潜在的欺诈者创造了一个巨大的个人身份信息的数据目标宝库。
在个人为最新的社交媒体平台创建帐户,或者需要连接到生产力和通信应用程序(如Slack或Zoom)时,他们在网络世界中的个人识别信息量都会增加。当考虑到智能设备和设备的互联世界时,将会产生一个巨大的攻击面,在过去几年中,对于企业来说,抵御具有传统欺诈堆栈的坚定而复杂的不良行为者一直是一个挑战。
(2)便利胜过谨慎
随着越来越多的工作和生活转移到网上并与移动设备集成,自动化已成为用户体验的重要组成部分。诸如个人身份信息预填充之类的工具通常被视为对消费者的一种友好方式,可以加快新帐户的创建、协助数字和移动用户引导,并通常减少在线体验中的摩擦。
早在2013年,欺诈者就一直在利用浏览器和应用程序中内置的个人身份信息自动填充功能,但这些工具的主流使用(特别是在移动设备上)已经为机器人和欺诈攻击创造了更多的机会。
欺诈组织的兴起
在新冠疫情发生之前,大多数在线欺诈是由个人或团伙实施的,并且通常是直接尝试访问个人数据或企业账户,或者是申请人级别的身份欺诈。然而,根据美国特勤局的调查,全球各地遭遇的大规模网络攻击带来的损失高达1000亿美元。
欺诈活动数量和复杂程度的激增可以归因于欺诈集团的演变——有组织的犯罪集团在身份欺诈的范围内协同工作。
事实上,诈骗团伙以一种世俗和商业化的方式运作。一方面,他们通过漏洞、社交扫描、钓鱼电子邮件和可疑网站收集易受攻击的个人信息。这些个人身份信息随后通过暗网对外出售,并被个人和团体用于创建虚假身份。然后,这些虚拟身份被用于开户、购买商品和服务,或进一步传播用于其他目的的恶意软件(例如间谍软件和勒索软件)。
欺诈团伙采用许多与个人犯罪分子和小团体相同的策略,但通过组织起来并利用人工智能和机器人等技术,他们的经营规模和获得的非法利润的规模呈指数级增长。
无情和可重复
无论是出于政治还是经济原因,欺诈团伙还具有无情的优势。廉价的劳动力资源和技术相结合,使他们能够测试易于访问易受攻击的个人信息系统,以不断窃取。当欺诈者发现一个漏洞时,他们将以最大效率利用它。
欺诈团伙的壮大很少是一蹴而就的,因为他们通过创造可重复的解决方案和寻找理想的“客户”,像其他任何企业一样茁壮成长。一旦欺诈团伙识别出技术中的弱点、过时的传统欺诈检测堆栈或不当的流程和程序,他们将继续进行欺诈,直到漏洞被关闭。他们还寻找具有类似漏洞的其他企业(例如运行过时或未修补软件的企业),他们可以在其中使用相同的工具和策略。由于传统的欺诈堆栈专注于提交后的数据,这些欺诈团伙通常要等到犯罪行为发生之后才会被发现。
传统防欺诈堆栈的问题
基于个人身份信息的欺诈检测技术实际上无法防止使用被盗个人身份信息的合成身份。
机器学习的前景尚未实现,因为市场上的大多数当前技术都无法在事实发生之前经过训练来检测合成数字身份欺诈模型。
传统的基于文档的身份验证也存在不足,因为申请时使用的ID可能是真实的——它们仍然可能在不属于他们的人手中。
简而言之,依赖个人身份信息的身份验证依赖于历史个人身份信息数据,这些数据很容易被破坏和泄露。这意味着,对于传统的欺诈堆栈来说,如果欺诈者或机器人输入给定用户的所有准确信息,他们将不会被标记为有风险。
这就是行为分析发挥重要作用的地方,如果整合得当,可以为企业增加一定程度的欺诈保护措施,而通过分析用户提交前的数据,在欺诈发生之前进行阻止。
从提交后检测到提交前检测的转变
即使是最复杂的欺诈检测堆栈也存在一个问题,也就是使用个人身份信息确认和验证身份仍然需要用户在检测欺诈之前提交数据。通过将欺诈检测转变为提交前数据筛选,全球企业可能会节省每年因欺诈而损失的数十亿美元,同时减少误报和客户摩擦。
使用所谓的基于行为的数字意图信号,企业可以在提交或考虑任何个人身份信息之前“预筛选”用户的身份。其中一些数字意图信号包括:
- 用户的文本、类型和滑动。这些都与他们的意图有关(例如,他们是否拼错了自己的名字?忘记了自己的电话号码?)。
- 与其他经过验证的客户的行为进行比较。
- 遵守用户的行为特征。
- 动作或行为的顺序和时间。
- 类似于机器或机器人行为的导航数据警报。
这种预先提交的行为筛选数据可用于淘汰不熟悉自己个人身份信息的客户,推动真正的客户更有效地注册,并减少错误拒绝和误报等。
将如何应对?
发生的新冠疫情永远改变了人们交流、互动和交换商品和服务的方式。人们一直在使用的欺诈预防和身份验证解决方案无法与新产生的漏洞、被破坏的个人身份信息数量或有组织的欺诈团伙的复杂性和持久性相抗衡。
在当今的数字环境中,个人身份信息可以很容易地从网络信息中获取,但行为是不可能伪造的。通过增加基于行为分析的安全层,数字企业可以从入职渠道中深入了解每个用户面临的风险。
