合成身份欺诈:揭穿数字冒名顶替者
Troy 住在英国牛津市。他有一栋漂亮的维多利亚式排屋,整条街道上还有另外8栋类似的房屋。他多次向银行申请贷款,用这些贷款买了一辆车和一部新手机,并一直按时还贷。那么,当 Troy 申请新的信贷时,会有什么问题呢?他是一名理想的客户。
一旦深入调查,就会发现情况并非如此。银行对 Troy 知之甚少。他们有他的住址,知道他有一张信用卡,但除此之外几乎没有任何数据。仔细调查相关的信用档案,发现有150个人的数据看起来很相似——每个人都有银行账户和有限的信用记录。
不幸的是,对银行来说,“Troy”和其他信用档案背后的150个身份都不是真实的人。他们是被欺诈者巧妙地炮制和滥用的“合成身份”,用来不断申请大额贷款,却无意偿还。
由 Troy 的案件发现,这些“身份”提交了450份信贷申请——这些申请背后都是相同的个人身份信息数据。在这些身份中,只有两个是真实存在的。在英国奇切斯特、南威尔士、普利茅斯和其他地方也发现了类似的诈骗团伙。
合成身份欺诈的规模巨大,据励讯集团旗下律商风险估计,2024年至2027年,企业将损失42亿英镑。事实上,合成欺诈的增长速度十分惊人,仅在英国,2020年至2023年就增长了527%。
在美国,合成欺诈已经成为一个严重的问题。企业报告称,每一起合成欺诈案件平均会造成15,000美元的损失。合成欺诈几年前在北美兴起,现在已经根深蒂固,被分析师称为经济中的“60亿美元问题”。
什么是合成身份?如何利用合成身份进行诈骗?
合成身份是欺诈者将部分真实的和部分虚假的个人身份信息捏合在一起形成的身份。其最终结果是一个与任何真实存在的身份没有关联的隐含身份。
合成身份欺诈是指欺诈者利用窃取和伪造的个人信息冒充真人,在信用调查中蒙混过关,以获得银行和其他信贷提供机构的贷款和信用额度。
由于制作一个可用的合成身份需要花费大量精力,因此欺诈者通常会长期参与其中。制作一个假身份可能需要几个月甚至几年的时间。首先,欺诈者要与放款人——通常是次级放款人或“先买后付”放款人——建立信任。欺诈者使用各种方法逐步提高信用评分,定期借贷并偿还贷款。
对银行来说,这些合成身份往往看起来像完美的客户,并展现出理想的资质和行为以获得越来越高的信贷额度。
然而,一旦这些合成身份的信贷潜力被最大限度地挖掘出来,欺诈者就会尽可能多地捞钱,然后消失得无影无踪。只有在这时,银行才会发现威胁的存在。
没有客户受到欺诈的直接影响,这使得问题变得更加严重。这些身份信息并不是盗用的,而是伪造的,因此没有客户会标记可疑活动或报告账户欺诈行为,而这正是帮助各个机构发现欺诈行为的重要一环。
但这并不意味着客户不会受到间接影响。机构需要花费时间和各项投入来挽回损失,或者阻止欺诈事件再次发生。由于欺诈行为的增加,银行在用户体验中设置越来越多的验证层,就会导致优质客户的摩擦增加。事实上,阻止复杂的合成欺诈攻击的直接后果,往往就是对合法客户增加的额外检查。而且,对客户来说更糟糕的是,如果他们的地址与欺诈案件相关联,可能会降低他们的信用评分,从而对他们造成负面影响。
由于大型金融机构的信贷和反欺诈部门之间缺乏紧密合作,银行往往无法识别出欺诈行为,尤其是反欺诈模型并不是为阻止此类活动而设计的。只有当底线受到冲击时,大多数机构才会意识到出了大问题。
因此,我们不难理解,在美国,欺诈问题预计会造成60亿美元的损失,而在英国,预计会造成42亿英镑的经济损失。
识别合成身份
合成身份一旦创建,就很有可能通过银行现有的、有的甚至是过时的欺诈防范系统,而且这些系统并不是为打击合成身份欺诈而设计的。第三方欺诈防范模型往往过于线性,高达85%的此类身份无法识被别出。通常情况下,近乎匹配的身份就足以让银行批准贷款。
律商风险的研究发现,50%以上的合成身份的传统信用评分超过了650分,属于“良好信用评分”。
面对这一挑战,行业的领导者们纷纷求解于技术方案。具体来说,他们正在使用将上下文数据和深厚的行业知识结合起来的模型,能够在真实消费者中识别出合成身份。
十多年来,律商风险一直站在解决这一问题的最前沿。
每个人生来就有真实身份
首先,需要考虑某些东西是否可能是合成身份。
- 个人信息是否有被操纵的迹象?是否与其他相关身份有很强的相似性?
- 是否存在可信来源的实有记录,如选民登记册?
- 是否有“生平事迹”或家庭关系的证据?
想想普通人该有的人生故事。我们出生、接受教育、拥有第一部手机、第一件金融产品、第一辆汽车……我们上大学、结婚、搬家、生子,等等。如果你是一个真实存在的人的话,你的人生旅途中的每一步都会产生数据足迹。
欺诈计划剖析
提示:这是一个真实的故事。为保护当事人身份,文章均采用化名。
2016年,来自美国费城的“成功”诈骗犯 Ada Vern 因涉嫌参与2亿美元的信用卡诈骗案被捕,这是当时美国最大的诈骗案之一。该诈骗案持续10年之久,波及至少8个国家和28个州。
19人被指控犯有银行欺诈罪,最高可判处30年监禁。Ada 被判处三年有期徒刑,罚款100万美元。
他们使用了大约200个银行账户和1,800多个邮寄地址。
共创建了7,000 多个合成身份,申请了超过25,000张信用卡。
联邦法院的文件显示,Ada 及其同伙们生活优裕。他们用诈骗所得资金购买豪车、SPA 护理、高档服装,并囤积了数百万美元的黄金和大量现金。他们利用虚假记录在征信机构给自己的账户“升级”,显示自己是可靠的客户,然后用这些虚有其表的账户借钱,却不偿还。
这就是我们要打击的敌人。
我们在生活中留下的数据足迹之间的链接和关联是肉眼无法看到的。但通过先进的分析技术,我们可以绘制出这些数据,从而发现正常数据和可疑数据之间的区别。
这是一个真实存在的人的社交图谱。每个点都是他在日常生活中与他人(伴侣、子女、朋友等)建立联系时留下的数据足迹。
这是一个合成身份的社交图谱。
在这幅图中,没有任何预期的社交连结或生活事件。身份从中心节点爆炸开来,每个节点又创造出更多的合成身份。每一行都是独立的,相互之间没有关联。
这些图谱说明了有组织欺诈网络之间错综复杂、相互关联的本质。数据点之间的关联是肉眼看不见的,但利用庞大的上下文数据源和先进的分析技术,可以发现这些关联,并帮助各个组织检测出潜在的欺诈性数字身份,防止它们渗透到金融系统中。
利用技术打击合成身份欺诈
律商风险利用大数据和分析技术,帮助机构检测潜在虚假身份的特征。
其专有链接技术 LexID 利用海量的消费者记录,帮助机构了解哪些身份是真实的,哪些可能与合成身份欺诈有关。
由于合成身份通常是协同欺诈攻击的一部分,因此往往由几个人同时创建数十或数百个合成身份。分析技术在这方面也能提供帮助。通过仔细分析欺诈者留下的数据“面包屑”之间的联系,通常可以追溯到这些活动,找到坏人。
机构需要做好准备
我们的分析显示,仅在英国就可能存在约300万个高风险合成身份。
这给企业带来了巨大的风险,而且由于许多企业对于合成身份构成的威胁毫无准备,又进一步加剧了风险。由于没有明确的欺诈活动证据,利用合成身份实施的欺诈往往被作为坏账。
机构需要找到新的方法来应对合成欺诈,并领先于欺诈者。为此,机构不仅要评估每一份新的个人信用申请,还要筛查与其他已有申请、信用档案和已知欺诈的关联,以确定申请是否存在风险。如果机构能够识别一个人的身体、行为和数字特征,并将所有特征联系在一起,那么这个人就有可能是真实的。而合成身份则不具备这样的证据点组合。
除非企业采取措施打击这种快速增长的欺诈行为,否则将有越来越多的“Troys”、“Adas”以及数百个看似可信的相关身份持续渗入系统,给我们造成数十亿美元的经济损失。
