Penipuan Identitas Sintetis: Masalah Korban yang Tak Terlihat dan Cara Mengatasinya

Bayangkan miliaran pengguna yang mendaftar secara daring setiap hari untuk layanan digital baru – berlangganan platform streaming, membeli asuransi, mengakses rekam medis, atau membuka rekening bank. Organisasi sangat menekankan pentingnya merekrut sebanyak mungkin pelanggan secepat mungkin. Semakin banyak pelanggan, semakin besar pendapatan. Di sektor publik, adopsi layanan digital secara massal merupakan kunci efisiensi biaya.

Tapi bagaimana jika Anda mendaftarkan pengguna yang bukan orang sungguhan?

Bukan seseorang yang berpura-pura menjadi Anda—itu adalah pencurian identitas biasa. Ini berbeda. Ini adalah seseorang yang sama sekali tidak ada. Seorang tokoh fiktif, yang dibentuk dari potongan-potongan data curian, dirancang agar tampak cukup nyata untuk lolos dari pemeriksaan Anda, membangun riwayat kredit, lalu menghilang bersama uang Anda.

Ini adalah penipuan identitas sintetis. Penipuan inidiperkirakan merugikan perusahaan sebesar$20–40 miliar per tahun di seluruh dunia. Lembaga pemberi pinjaman di AS menghadapi potensi kerugian sebesar $3,3 miliar akibat identitas sintetis yang terkait dengan rekening baru hingga tahun 2024. Selain itu, 44% organisasi kini menganggapnya sebagai jenis penipuan yang paling sering mereka pantau.

Yang membuatnya sangat berbahaya bukanlah hanya skalanya. Melainkan karena tidak ada korban yang bisa melaporkannya.

Apa Itu Penipuan Identitas Sintetis?

Penipuan identitas sintetis adalah pembuatan identitas baru yang fiktif dengan menggabungkan informasi yang asli, dicuri, dan dipalsukan – kemudian menggunakan identitas tersebut untuk membuka rekening, mengakses layanan, atau melakukan tindak kejahatan keuangan.

Berbeda dengan pencurian identitas konvensional, di mana pelaku kejahatan mencuri identitas dan menyamar sebagai orang sungguhan, penipuan sintetis menciptakan “seseorang” yang sebenarnya tidak pernah ada. Perbedaan ini sangat penting dalam hal pendeteksian, seperti yang akan kami jelaskan di bawah ini.

Umumnya, hal ini muncul dalam salah satu dari tiga bentuk berikut:

Pembuatan identitas palsu: Dibuat sepenuhnya dari data fiktif. Tidak ada informasi pribadi yang sebenarnya yang digunakan.

Manipulasi identitas: Data identitas asli diubah sedikit—seperti satu digit yang diubah pada nomor jaminan sosial atau tanggal lahir yang dimodifikasi—untuk menciptakan identitas baru yang lolos proses verifikasi.

Penggabungan identitas (penipuan Frankenstein): Elemen data asli dari berbagai sumber digabungkan menjadi satu identitas baru. Nomor jaminan sosial yang sah dipadukan dengan nama palsu dan alamat yang dicuri. Ini adalah bentuk penipuan yang paling umum dan paling berbahaya karena setiap elemen data terlihat sah jika dilihat secara terpisah.

Masalah Korban yang Tak Terlihat: Mengapa Penipuan Sintetis Mengacaukan Sistem Deteksi Tradisional

Inilah masalah mendasar yang membedakan penipuan identitas sintetis dari segala jenis penipuan lainnya: tidak ada orang sungguhan yang memantau aktivitas penipuan tersebut.

Dalam kasus pencurian identitas atau pengambilalihan akun konvensional, ada korban yang nyata. Mereka menyadari adanya transaksi yang tidak dikenal. Mereka menghubungi bank mereka. Mereka mengajukan laporan. Penipuan tersebut terdeteksi. Proses deteksi dimulai dari korban.

Dalam penipuan identitas palsu, tidak ada yang menelepon. Tidak ada yang melapor. Identitas tersebut dibuat-buat, sehingga tidak ada orang sungguhan yang memeriksa laporan atau memantau riwayat kredit. Penipuan ini berlangsung tanpa terdeteksi – seringkali selama berbulan-bulan atau bertahun-tahun – hingga pelaku kejahatan memutuskan bahwa sudah waktunya untuk mencairkan hasilnya.

Hal ini menimbulkan serangkaian masalah bagi organisasi:

• Sistem pendeteksi penipuan yang mengandalkan anomali perilaku tidak akan terpicu karena identitas sintetis tersebut dijadikan sebagai patokan. Tidak ada standar "normal" yang dapat dijadikan acuan untuk mendeteksi penyimpangan.
• Pemeriksaan oleh biro kredit tidak dapat mendeteksinya karena setiap elemen data secara terpisah—nomor jaminan sosial yang asli, nama palsu, alamat yang tampak masuk akal—dapat terlihat sah.
• Verifikasi berbasis pengetahuan tidak efektif karena informasi apa pun yang dapat diketik bisa saja dicuri atau dipalsukan. Itulah sebabnya proses verifikasi identitas harus melampaui sekadar pencocokan data.
• Pemulihan hampir mustahil karena ketika terjadi bust-out, “orang” yang memiliki utang tersebut tidak ada. Kerugian tersebut dicatat sebagai piutang tak tertagih.

Inilah sebabnya mengapa penipuan identitas sintetis secara struktural lebih sulit dicegah daripada jenis penipuan lainnya. Tidak adanya korban bukanlah sekadar efek samping—melainkan justru merupakan unsur yang membuat skema ini dapat berjalan.

Siapa yang Dirugikan: Korban Tersembunyi dari Penipuan Sintetis

Mungkin tidak ada korban yang “terlihat”, tetapi ada orang-orang sungguhan yang dirugikan. Potongan-potongan data sah yang digunakan untuk membuat identitas sintetis pasti berasal dari suatu tempat – dan data tersebut biasanya berasal dari kelompok masyarakat yang paling rentan:

• Anak-anak: Nomor jaminan sosial seorang anak memiliki riwayat kredit yang bersih dan tidak akan diperiksa oleh pemiliknya selama bertahun-tahun, bahkan terkadang puluhan tahun. Hal ini menjadikannya landasan yang ideal untuk identitas sintetis.
• Orang yang telah meninggal: Data orang yang telah meninggal sering disalahgunakan karena tidak akan memicu respons dari pemilik yang sebenarnya.
• Lansia: Seringkali memiliki riwayat kredit yang minim atau tidak aktif dan mungkin tidak secara aktif memantau riwayat kredit mereka.
• Para imigran dan orang-orang yang baru mengenal sistem kredit: Catatan data yang minim dan kurangnya pemahaman terhadap sistem lokal menjadikan mereka sasaran utama pencurian Nomor Jaminan Sosial (SSN).

Ketika seorang anak berusia 18 tahun dan mengajukan permohonan kartu kredit pertamanya, ia mungkin mendapati bahwa nomor jaminan sosialnya telah digunakan untuk membangun skor kredit orang lain selama bertahun-tahun. Kerugiannya nyata, meskipun identitas tersebut hanyalah fiksi.

Siklus Hidup Serangan Identitas Palsu

Memahami bagaimana penipuan sintetis berkembang dari waktu ke waktu dapat mengungkap di mana sistem pertahanan dapat bertindak – dan di mana sebagian besar organisasi saat ini memiliki titik buta.

Tahap 1: Penyusunan Identitas

Penipu tersebut membuat identitas palsu dengan menggabungkan pengenal yang sah (biasanya nomor jaminan sosial asli yang diperoleh dari kebocoran data atau dark web) dengan detail pribadi yang dipalsukan. Laporan Intelijen Ancaman iProov 2025 mendokumentasikan bagaimana jaringan Crime-as-a-Service kini menjual perangkat pembuat identitas yang mengotomatiskan proses ini dalam skala besar. Beberapa penipu bahkan melangkah lebih jauh dengan membuat latar belakang untuk identitas sintetis tersebut – profil media sosial, riwayat pekerjaan, bahkan situs web kecil – guna menambah kredibilitas.

Di mana proses verifikasi harus dilakukan: Pada tahap pendaftaran, sebelum identitas tersebut masuk ke sistem Anda. Di sinilah verifikasi wajah biometrik dengan deteksi kehadiran nyata menjadi sangat penting – identitas palsu tidak didukung oleh sosok manusia yang sebenarnya, sehingga tidak ada yang dapat memberikan kecocokan biometrik.

Tahap 2: Pengembangan Kredit

Identitas palsu tersebut dimasukkan ke dalam sistem keuangan dan “dibina” secara bertahap. Rekening-rekening kecil dibuka, pembayaran rutin dilakukan, dan batas kredit ditingkatkan. Selama berbulan-bulan atau bertahun-tahun, identitas tersebut membangun profil kredit yang tampak sah. Beberapa penipu menambahkan diri mereka sendiri sebagai pengguna yang berwenang pada rekening asli untuk mempercepat proses tersebut.

Di mana upaya pencegahan harus dilakukan: Pemantauan berkelanjutan terhadap pola perilaku yang terkait dengan identitas palsu – akun baru yang membangun riwayat kredit dengan sangat cepat, penambahan pengguna yang diberi wewenang tanpa hubungan yang jelas, serta pemohon dengan riwayat kredit yang minim namun tampak terlalu bersih.

Fase 3: Kebangkrutan

Begitu batas kredit sudah cukup tinggi, pelaku penipuan akan menghabiskan batas kredit setiap akun, mengambil semua pinjaman yang tersedia, lalu menghilang. Identitas sintetis itu pun lenyap. Tidak ada orang sungguhan yang bisa ditindak. Identitas sintetis terlibat dalam 21% kasus penipuan pihak pertama yang terdeteksi pada tahun 2025, dan skema "bust-out" tetap menjadi salah satu metode paling umum untuk mencairkan dana dari profil-profil palsu tersebut.

Di mana proses pencegahan seharusnya dilakukan: Sebenarnya, hal itu tidak perlu terjadi. Jika verifikasi kehadiran yang sesungguhnya mampu mendeteksi identitas palsu pada tahap pendaftaran, fase ini tidak akan pernah terjadi. Setiap dolar yang dihabiskan untuk mendeteksi penipuan adalah dolar yang seharusnya diinvestasikan dalam verifikasi pendaftaran.

Mengapa Biometrik Dasar Saja Tidak Cukup

Tidak semua sistem biometrik memiliki tingkat ketahanan yang sama terhadap penipuan identitas sintetis. Sistem pencocokan wajah dasar yang hanya membandingkan foto selfie dengan foto pada dokumen dapat diakali jika pelaku penipuan menyertakan gambar deepfake yang serupa atau menggunakan orang sungguhan (yang disebut “identity mule”) untuk menyelesaikan proses verifikasi sebelum menyerahkan akun tersebut.

Inilah mengapa jenis verifikasi biometrik sangat penting. Untuk mencegah penipuan identitas sintetis pada tahap onboarding, diperlukan tiga hal secara bersamaan:

1. Pemeriksaan kesesuaian identitas seseorang dengan dokumen identitasnya – pencocokan wajah standar.
2. Pastikan bahwa yang hadir secara fisik adalah manusia sungguhan yang masih hidup – bukan foto, topeng, deepfake, atau video yang disisipkan.
3. Konfirmasi bahwa proses verifikasi sedang berlangsung saat ini – bukan tayangan ulang sesi sebelumnya atau siaran yang direkam sebelumnya.

Pemeriksaan pertama saja tidak cukup. Ketiga hal tersebut secara bersama-sama lah yang menjadikan verifikasi kehadiran secara langsung sebagai solusi struktural terhadap penipuan identitas sintetis – karena bahkan identitas sintetis yang paling meyakinkan pun akan runtuh ketika seseorang harus hadir secara fisik untuk mengaktifkannya.

Bagaimana iProov Mengatasi Penipuan Identitas Palsu

Fitur Dynamic Liveness dari iProov memverifikasi ketiga syarat tersebut dalam satu interaksi pasif. Berikut penjelasannya dalam praktiknya untuk melawan penipuan sintetis:

• Flashmark mampu mengalahkan pengganti wajah deepfake. Teknologi Flashmark yang dipatenkan oleh iProov menerangi wajah pengguna dengan urutan warna yang unik dan tak terduga pada setiap sesi. Pantulan cahaya tersebut dianalisis untuk memastikan kehadiran asli secara real-time. Setiap sesi menghasilkan data biometrik unik yang langsung kadaluwarsa – data tersebut tidak dapat diputar ulang, disadap, atau disintesis. Ini berarti penipu tidak dapat menggunakan deepfake, video yang direkam sebelumnya, atau wajah yang dihasilkan AI untuk mengaktifkan identitas sintetis. iProov adalah vendor pertama dan satu-satunya yang bersertifikat NIST SP 800-63-4 dan yang pertama mencapai CEN/TS 18099 Level Tinggi untuk deteksi serangan injeksi. Selama lebih dari 40 hari pengujian terakreditasi, tidak ada serangan yang berhasil dilakukan.
• iSOC mendeteksi hal-hal yang terlewatkan oleh sistem statis. Pusat Operasi Keamanan iProov (iSOC) memantau pola serangan di seluruh pelanggan, wilayah geografis, dan platform secara real-time. Ketika teknik baru untuk mengaktifkan identitas sintetis muncul – seperti alat deepfake baru, metode injeksi baru, atau pola perekrutan kurir baru – iSOC mendeteksinya dan menerapkan pembaruan pertahanan secara global, tanpa harus menunggu rilis perangkat lunak berikutnya.
• Arsitektur cloud menyembunyikan sistem pertahanannya. Seluruh proses verifikasi dilakukan di cloud, bukan di perangkat. Hal ini berarti proses verifikasi tidak dapat direkayasa balik dengan menganalisis perangkat, dan memungkinkan visibilitas real-time yang menjadi landasan iSOC.
• Verifikasi pasif tidak merugikan pengguna asli. Proses ini tidak memerlukan gerakan memutar kepala, mengangguk, atau instruksi lisan. iProov telah memenuhi standar WCAG 2.2 AA dan Section 508, dengan algoritma yang telah diuji untuk memastikan kinerja yang adil bagi semua kelompok usia, jenis kelamin, dan warna kulit. Tingkat penyelesaian biasanya di atas 98%. Pencegahan penipuan yang efektif pada tahap pendaftaran tidak perlu mengorbankan pelanggan asli Anda.
• Lebih dari Sekadar Proses Pendaftaran Konsumen: Identitas Sintetis di Dunia Kerja

Identitas palsu tidak hanya mengincar bank dan perusahaan kartu kredit. Agen-agen dari negara-negara yang dikenai sanksi OFAC telah menyusup ke lebih dari 300 perusahaan dengan menggunakan identitas palsu dan filter deepfake untuk lolos dari proses rekrutmen jarak jauh. Seorang karyawan palsu tersebut kemudian memperoleh akses ke sistem, data, dan dana – dan organisasi tersebut mungkin tidak pernah menyadari bahwa orang yang mereka rekrut itu tidak pernah ada.

iProov Workforce Solution Suite memperluas verifikasi kehadiran manusia yang sesungguhnya ke seluruh siklus hidup identitas karyawan – mulai dari perekrutan jarak jauh, akses perangkat bersama, otentikasi berlapis, hingga pemulihan akun – sehingga menutup celah dalam proses onboarding yang sering dimanfaatkan oleh identitas sintetis dalam layanan konsumen.

Laporan Intelijen Ancaman iProov 2025 memaparkan alat dan teknik yang mendasari penipuan identitas sintetis saat ini. Unduh laporan lengkapnya di sini.

Untuk mengetahui bagaimana iProov mencegah penggunaan identitas palsu pada tahap pendaftaran, silakan jadwalkan demo.

---

Pertanyaan Umum tentang Penipuan Identitas Sintetis

Mengapa penipuan identitas sintetis begitu sulit dideteksi?

Karena tidak ada korban yang sebenarnya untuk melaporkannya. Identitas tersebut dibuat-buat, sehingga tidak ada yang memantau akun tersebut untuk mendeteksi aktivitas mencurigakan. Setiap elemen data secara terpisah (nomor jaminan sosial yang asli, nama palsu) bisa terlihat sah. Para penipu sering kali mengembangkan identitas sintetis selama berbulan-bulan atau bertahun-tahun, membangun riwayat kredit sebelum melakukan penipuan "bust-out". Deteksi penipuan konvensional bergantung pada laporan korban mengenai ketidakwajaran—sedangkan penipuan sintetis sama sekali menghilangkan unsur korban.

Siapa yang paling berisiko datanya disalahgunakan dalam penipuan identitas sintetis?

Anak-anak, orang yang telah meninggal, lansia, dan imigran sering menjadi sasaran secara tidak proporsional karena nomor jaminan sosial mereka cenderung memiliki riwayat kredit yang minim atau tidak aktif. Nomor jaminan sosial seorang anak dapat disalahgunakan selama bertahun-tahun sebelum ia cukup dewasa untuk menyadari kerugian yang ditimbulkan.

Bagaimana verifikasi biometrik mencegah penipuan identitas palsu?

Verifikasi wajah biometrik dengan deteksi kehadiran asli mengharuskan adanya manusia sungguhan yang hadir secara fisik selama proses pendaftaran. Identitas sintetis tidak didukung oleh sosok nyata, sehingga tidak ada yang dapat memberikan kecocokan biometrik. Solusi canggih seperti Dynamic Liveness dari iProov juga mampu mengatasi deepfake dan serangan injeksi yang berusaha menyamar sebagai sosok fiktif menggunakan gambar yang dihasilkan oleh kecerdasan buatan.

Apa perbedaan antara penipuan identitas sintetis dan pencurian identitas?

Pencurian identitas melibatkan pencurian identitas lengkap seseorang yang nyata. Penipuan identitas sintetis melibatkan pembuatan identitas baru dengan menggabungkan data asli dan data palsu. Perbedaan utamanya adalah bahwa pencurian identitas memiliki korban yang dapat melaporkannya; sedangkan penipuan identitas sintetis seringkali tidak memiliki korban, sehingga dapat berlangsung tanpa terdeteksi dalam waktu yang jauh lebih lama.

Apa perbedaan antara penipuan identitas sintetis dan penipuan pembukaan rekening baru?

Penipuan pembukaan rekening baru merupakan kategori yang lebih luas – kategori ini mencakup segala kasus di mana pelaku penipuan membuka rekening dengan dalih palsu, baik dengan menggunakan identitas asli yang dicuri maupun identitas sintetis yang dibuat-buat. Penipuan identitas sintetis merupakan bentuk spesifik dan semakin dominan dari penipuan pembukaan rekening baru, yang dibedakan oleh fakta bahwa identitas tersebut diciptakan, bukan dicuri. Keduanya memanfaatkan kelemahan dalam proses pendaftaran, sehingga verifikasi pada saat pembuatan rekening menjadi sangat penting.

Bagaimana kecerdasan buatan generatif memperparah penipuan identitas sintetis?

Alat-alat AI generatif telah secara drastis mempermudah pembuatan identitas sintetis yang meyakinkan. Para penipu kini dapat menghasilkan selfie deepfake yang realistis, dokumen identitas yang dihasilkan AI, dan bahkan jejak digital palsu dalam skala besar. Pasar "Crime-as-a-Service" menjual kemampuan-kemampuan ini dalam bentuk paket alat siap pakai. Hal ini berarti identitas sintetis kini lebih meyakinkan dan jumlahnya lebih banyak daripada sebelumnya, sehingga verifikasi kehadiran yang sah pada tahap pendaftaran menjadi langkah pertahanan yang esensial, bukan sekadar opsional.