7 luglio 2022

Pensate ai miliardi di utenti che si iscrivono online ogni giorno a nuovi servizi digitali, che si tratti di abbonarsi a un servizio di media, sottoscrivere un'assicurazione, accedere a cartelle cliniche o aprire un conto corrente.

Le aziende e le organizzazioni pongono grande enfasi sull'acquisizione di un maggior numero di clienti soddisfatti nel più breve tempo possibile. Per la maggior parte delle aziende, più clienti significano maggiori entrate. Nel settore pubblico, invece, l'adozione di massa dei servizi digitali è fondamentale per l'efficienza dei costi e l'efficacia complessiva.

Ma che cosa succede se si fa salire a bordo un utente che non è una persona reale? Le organizzazioni devono assicurarsi che l'enfasi sui tassi di completamento non abbia un costo ulteriore.

La frode di identità sintetica è una minaccia reale e crescente per le aziende che non dispongono di solide pratiche di onboarding. È la forma di frode d'identità in più rapida crescita, superando la frode d'identità "con nome vero" (in cui un criminale utilizza l'identità di una persona reale) e e rappresenta l'80-85% di tutte le frodi di identità secondo uno studio di ID Analytics.

In questo articolo spiegheremo cos'è la frode dell'identità sintetica, perché è una forma di frode così difficile da difendere e come la tecnologia biometrica sicura di iProov può garantire la presenza autentica di ogni singolo utente durante la registrazione.

Che cos'è la frode d'identità sintetica?

La frode di identità sintetica è la creazione di una nuova identità utilizzando informazioni fittizie, rubate o manipolate per ottenere l'accesso a servizi o frodare aziende, organizzazioni o individui.

Si tratta di una forma di frode online molto sofisticata e difficile da individuare, che si differenzia dal più tradizionale furto di identità. Invece di rubare l'identità di una persona reale, i truffatori sintetici creano una "persona" che non esiste utilizzando informazioni personali identificabili (PII) rubate, fittizie o manipolate, come ad esempio il nome, l'indirizzo e il numero di previdenza sociale di una persona.

La frode di identità sintetica può assumere molte forme e definizionitra cui:

  • Fabbricazione di identità: si riferisce a identità create utilizzando informazioni del tutto fittizie. Non vengono utilizzate PII autentiche.
  • Manipolazione dell'identità: si riferisce a identità create utilizzando elementi di dati di identità autentici che vengono poi leggermente modificati e cambiati per creare una nuova identità.
  • Compilazione di identità: si riferisce a identità create a partire da diverse informazioni autentiche per creare una nuova identità. I dati possono provenire da informazioni trapelate o rubate online. Questo fenomeno è noto anche come frode Frankenstein.

Questo tipo di frode può essere definito "furto d'identità", ma non si tratta di un vero e proprio furto d'identità. furto d'identità. In un attacco di acquisizione di un accountad esempio, un truffatore ruba le vostre credenziali di identità e le usa per accedere al vostro conto e bloccarlo. Nel furto d'identità sintetico, invece, l'identità non viene rubata di per sé, ma viene creata dal truffatore utilizzando più fonti d'informazione.

Per questo motivo, per questo articolo, ci atterremo al termine frode di identità sintetica.

Come funziona la frode dell'identità sintetica?

La frode dell'identità sintetica è generalmente utilizzata per sfruttare il processo di onboarding di un'organizzazione. Alle organizzazioni viene presentata l'identità sintetica e, inconsapevolmente, la "persona" viene inserita nel sistema con il presupposto che sia autentica. Queste "persone" possono quindi ricaricare le carte di credito o richiedere programmi di assistenza governativa per rubare denaro, oppure possono utilizzare il conto per riciclare denaro o commettere altri reati.

Un modo in cui i malintenzionati possono rendere la frode più convincente è quello di utilizzare identità sintetiche per richiedere carte di credito/debito o completare altre transazioni e costruire un punteggio di credito per clienti inesistenti. Se i truffatori hanno successo, saranno in grado di sfruttare i servizi di un'organizzazione per accumulare ancora più debiti o altre frodi.

Un altro modo perper far sembrare reali le identità sintetiche è l'uso di deepfake. I criminali possono utilizzare la tecnologia deepfake, di facile accesso, per creare foto o video realistici di persone inesistenti.. I deepfake sono uno strumento estremamente potente per aumentare il successo delle frodi di identità sintetiche.

La frode di identità sintetica è un'opzione interessante per i criminali: la combinazione di informazioni vere e false rende difficile l'identificazione e, anche se alla fine vengono catturati, la natura sintetica dell'identità rende estremamente difficile rintracciare e recuperare le perdite dal "vero" colpevole. La frode di identità sintetica può richiedere anni per essere individuata.

Come individuare e prevenire le frodi di identità sintetiche

Le frodi di identità sintetiche possono facilmente passare sotto il radar dei tradizionali controlli di sicurezza dell'organizzazione, in particolare dei processi automatizzati che privilegiano la convenienza e la velocità. Quando si convalida un nuovo cliente, esistono alcuni strumenti utili per individuare e prevenire meglio questo tipo di frode.

La verifica biometrica facciale è un metodo efficace per individuare quando qualcuno cerca di creare un account online utilizzando un'identità sintetica. Un'organizzazione può chiedere a un nuovo cliente di scansionare il proprio documento d'identità rilasciato dal governo e poi di scansionare il suo volto. La verifica biometrica verifica del volto confermerà che la persona fisica che scansiona il suo volto è il proprietario dell'identità che ha caricato. In questo modo si evita che un'identità sintetica venga utilizzata per iscriversi a servizi online e creare account fraudolenti, contrastando le attività criminali.

Ma cosa succede quando l'utente tenta di combinare un attacco all'identità sintetica con uno spoof fisico o digitale, ad esempio indossando la maschera di un'altra persona durante la scansione biometrica del volto? È qui che il rilevamento della vivacità diventa essenziale: la tecnologia della vivacità verifica che il volto fisico sia quello di una persona umana reale, in carne e ossa. Senza il rilevamento del liveness, i truffatori sintetici possono utilizzare foto o video per falsificare il processo di autenticazione. La tecnologia Liveness di iProov è in grado di rilevare che la "persona" presentata è tridimensionale, viva e ricoperta di pelle, non una maschera o una foto. Altri strumenti per la verifica dell'identità online non sono in grado di farlo.

Nel complesso, il rilevamento della vivacità è lo strumento migliore per individuare le identità sintetiche. Ma vale la pena notare che non tutte le tecnologie di rilevamento della vivacità sono uguali.

Dynamic Liveness di iProov viene utilizzata da enti governativi, banche e altre organizzazioni attente alla sicurezza in tutto il mondo per fornire i massimi livelli di garanzia che una persona sia chi dice di essere. Vediamo come la tecnologia Dynamic Liveness di iProov, che va oltre il rilevamento della vivacità, può da sola combattere le frodi di identità sintetiche.

Perché usare iProov per prevenire le frodi di identità sintetiche?

La tecnologia Dynamic Liveness di iProov è uno strumento prezioso per prevenire le frodi di identità sintetiche, in quanto offre alle organizzazioni il massimo livello di garanzia che un individuo remoto sia autentico. Convalida tre cose fondamentali: che l'utente sia la persona giusta, una persona reale e che si stia autenticando proprio ora, in tempo reale.

Quest'ultimo aspetto, ossia l'autenticazione dell'utente in tempo reale, è una parte importante di ciò che differenzia Dynamic Liveness da altre soluzioni di liveness. Utilizza la tecnologia brevettata tecnologia Flashmark™ brevettata che illumina il volto dell'utente con una sequenza unica di colori che non può essere riprodotta o manipolata sinteticamente. Questo assicura che l'utente si stia autenticando in questo momento - non si tratta di un attacco di presentazione che utilizza una foto o una maschera, ma nemmeno di un attacco digitale iniettato che utilizza un replay di un'autenticazione precedente o un video sintetico come un deepfake. Inoltre, l'illuminazione offre una maggiore sicurezza, in quanto si ottengono informazioni multidimensionali dal volto per confermare che si tratta di una persona reale.

Esempio di frode di identità sintetica che incontra la Dynamic Liveness: un truffatore chiede di aprire un nuovo conto bancario utilizzando un'identità sintetica che ha creato e rafforzato con un punteggio di credito e un video deepfake di un individuo fittizio. Mentre l'identità fittizia ha funzionato per aprire conti con altri fornitori, questa banca è diversa. Assicurato da iProov, il processo di verifica nella fase di onboarding rileva che il richiedente non è una persona reale. Pertanto, impedisce alla banca di approvare il conto, prevenendo qualsiasi danno proprio nella fase formativa più cruciale del rapporto con il cliente.

Un aspetto fondamentale della nostra sicurezza è che si tratta di una tecnologia tecnologia basata sul cloudCiò significa che le sue difese sono nascoste agli aggressori, rendendo molto più difficile il reverse engineering. Il suo servizio di monitoraggio attivo e automatizzato delle minacce (chiamato Centro operativo di sicurezza iProov o iSOC) monitora le operazioni quotidiane e identifica gli attacchi nuovi e in evoluzione.

Le organizzazioni non devono scendere a compromessi nemmeno per quanto riguarda l'esperienza utente o la velocità. Tutto ciò che iProov richiede è un dispositivo con una fotocamera rivolta verso l'utente e che gli utenti autentici guardino il loro dispositivo, nient'altro. Non è necessaria alcuna partecipazione attiva, come muovere o girare la testa o leggere le istruzioni. Ciò significa che iProov fornisce una vera e propria autenticazione passiva che garantisce l'accesso e l'autenticazione del più ampio numero di utenti.

Nel complesso, Dynamic Liveness è essenziale per la difesa contro le frodi di identità sintetiche, in particolare nei casi in cui vengono utilizzati attacchi digitali iniettati che utilizzano un replay di un'autenticazione precedente o un video sintetico come un deepfake. 

Frode dell'identità sintetica: Una sintesi

  • La frode di identità sintetica è un tipo di frode sofisticata e difficile da individuare che vede i criminali creare identità fittizie per ingannare le organizzazioni. 
  • Queste identità sintetiche possono essere una combinazione di informazioni false, reali e rubate e sono spesso rafforzate da deepfakes o da un punteggio di credito. 
  • I governi e i servizi finanziari sono gli obiettivi principali di questo tipo di attacchi e l'onboarding è il punto di maggior rischio. 
  • Questo tipo di frode non solo è difficile da individuare, ma le perdite sono difficili da recuperare, poiché il truffatore è inventato e spesso non rintracciabile. 
  • L'autenticazione biometrica e il rilevamento della vivacità possono rafforzare le difese contro le frodi di identità sintetica, in quanto convalidano l'autenticità dell'utente remoto che si presenta al momento dell'onboarding. È fondamentale che la fiducia instaurata durante la fase di onboarding venga mantenuta per tutto il ciclo di vita del cliente.
  • La tecnologia iProov Dynamic Liveness è in grado di offrire un livello di protezione superiore per rilevare e difendere dagli attacchi digitali iniettati in continua evoluzione che utilizzano deepfakes e altre tattiche sofisticate. 

La frode di identità sintetica può essere basata sulla finzione, ma la minaccia è molto reale. Per le organizzazioni che concedono l'accesso a denaro o dati, è necessario garantire una maggiore sicurezza nel processo iniziale di onboarding. La tecnologia Dynamic Liveness di iProov offre una sicurezza senza pari e la certezza che l'utente online sia reale e si stia autenticando in questo momento.

Se volete vedere come la tecnologia di iProov può portare una sicurezza senza sforzo ai vostri processi di onboarding e di autenticazione, aiutandovi a combattere le frodi di identità sintetiche, prenotate la vostra demo di iProov qui.