Ngày 28 tháng 10 năm 2024
Người dùng từ xa của bạn có phải là người thật không? Hay họ được ghép lại từ thông tin bị đánh cắp hoặc làm giả và được đưa vào cuộc sống bằng AI?
Gian lận danh tính tổng hợp (SIF) — được đặt biệt danh khéo léo là “Gian lận Frankenstein” — đã nổi lên như một trong những mối đe dọa đáng sợ nhất mà các dịch vụ tài chính và chính phủ phải đối mặt ngày nay. Giống như sáng tạo hư cấu của Mary Shelley, những danh tính này được ghép lại với nhau từ các bộ phận bị đánh cắp. Thay vì các bộ phận cơ thể, tội phạm sử dụng các mảnh thông tin cá nhân bị đánh cắp để tạo ra các danh tính có thể di chuyển giữa chúng ta mà không bị phát hiện.
Việc xác minh xem danh tính tổng hợp có thật hay không đã đủ khó khăn; những kẻ lừa đảo thường đủ khôn ngoan để sử dụng những người có số an sinh xã hội dễ bị phát hiện: trẻ em, người nhập cư gần đây, người già, người bị giam giữ và thậm chí đáng sợ hơn là người đã chết.
Trong những năm gần đây, những kẻ lừa đảo đã thêm một thành phần đáng sợ: công nghệ AI tạo sinh & deepfake . Những công nghệ này thổi hồn vào những danh tính giả mạo này, tạo ra những nhân vật kỹ thuật số thực tế với giọng nói và khuôn mặt thuyết phục. Kết quả là gì? Sự hồi sinh hoàn toàn - một danh tính với giọng nói và khuôn mặt thuyết phục đi kèm.
Đây thường là những tội phạm cực kỳ phức tạp và các mô hình phát hiện gian lận truyền thống không đủ khả năng để giải quyết chúng. Cần có các công nghệ cấp độ Silver-bullet để giảm thiểu chúng càng sớm càng tốt.
Hiểu về gian lận danh tính tổng hợp
Gian lận danh tính tổng hợp liên quan đến việc tạo danh tính từ thông tin bị đánh cắp, hư cấu hoặc bị thao túng để lừa dối các tổ chức. Không giống như hành vi trộm cắp danh tính truyền thống, trong đó tội phạm đánh cắp hoặc sử dụng sai danh tính của một người hiện có, SIF tạo ra các nhân vật hỗn hợp hoàn toàn mới khó theo dõi và phát hiện hơn.
Câu chuyện kinh dị hiện đại này là loại hình lừa đảo phát triển nhanh nhất trên thế giới và đã vượt qua hình thức trộm cắp danh tính truyền thống:
- SIF chiếm khoảng 80-85% tổng số vụ gian lận danh tính ở Hoa Kỳ
- Thiệt hại là rất lớn - các tổ chức phải đối mặt với khoản lỗ ước tính từ 20 đến 40 tỷ đô la mỗi năm .
- Mức độ tiếp xúc của bên cho vay với các danh tính tổng hợp đáng ngờ trong các khoản vay mua ô tô, thẻ tín dụng ngân hàng và bán lẻ cũng như các khoản vay cá nhân tại Hoa Kỳ đã đạt 3,1 tỷ đô la vào cuối năm 2023, mức cao nhất từng được ghi nhận , với tỷ lệ danh tính tổng hợp trong số các tài khoản mới mở cũng ở mức cao kỷ lục.
Các đường dây tội phạm có tổ chức khai thác gian lận danh tính tổng hợp để lợi dụng lỗ hổng trong hệ thống, gây ra rủi ro đáng kể cho cả các tổ chức tài chính và chương trình của chính phủ.
Các ngành công nghiệp mục tiêu chính là các dịch vụ công của chính phủ và ngân hàng – mặc dù lĩnh vực tín dụng đánh dấu khối lượng danh tính tổng hợp cao nhất.
Sự kinh hoàng lan truyền như thế nào: Tại sao phương pháp phát hiện truyền thống lại thất bại
85% danh tính tổng hợp không bị phát hiện bởi các mô hình gian lận truyền thống. Không giống như gian lận truyền thống, trong đó danh tính bị đánh cắp sẽ kích hoạt cảnh báo, SIF thường bỏ qua các hệ thống phát hiện tiêu chuẩn vì dữ liệu được sử dụng có vẻ hợp lệ. Vì không có tài khoản hoặc danh tính thực sự nào của người đó bị xâm phạm, nên các tổ chức không thể dựa vào nạn nhân để báo cáo. Chìa khóa để chống lại SIF nằm ở phát hiện sự sống sinh trắc học, xác minh xem ai đó có phải là cá nhân thực sự, đang sống hay không, đảm bảo xác thực theo thời gian thực và giảm rủi ro gian lận.
Gian lận danh tính tổng hợp rất hấp dẫn đối với tội phạm vì việc kết hợp thông tin thật và giả khiến việc phát hiện trở nên khó khăn và ngay cả khi bị phát hiện, việc truy tìm thủ phạm thực sự và thu hồi tổn thất cũng rất khó khăn - thường mất nhiều năm mới phát hiện ra.
Một kỹ thuật rùng rợn được gọi là 'piggybacking' cho phép những kẻ gian lận liên kết danh tính tổng hợp với các tài khoản tín dụng hợp pháp của khách hàng. Điều này cho phép danh tính tổng hợp xây dựng uy tín trước khi tung ra cuộc tấn công. Sau đó, danh tính tổng hợp có thể bắt đầu mở các hạn mức tín dụng của riêng mình, mà những kẻ gian lận sau đó khai thác trước khi biến mất. Kỹ thuật này nhấn mạnh thách thức trong việc phát hiện danh tính tổng hợp bắt chước hành vi tín dụng hợp pháp, thường không đưa ra cảnh báo cho đến khi quá muộn.
Sự tiến hóa: Làm thế nào để nhận dạng tổng hợp trở nên sống động với công nghệ AI tạo sinh và Deepfake
Sự trỗi dậy của AI tạo ra đã thúc đẩy gian lận danh tính tổng hợp. Sự dễ dàng trong việc tạo ra hình ảnh và giọng nói tổng hợp cực kỳ chân thực khiến những nhân vật này trở nên thuyết phục hơn trong quá trình đăng ký và kiểm tra bảo mật. Đây không chỉ là về các tài liệu giả mạo nữa — mà là về toàn bộ danh tính được tạo ra từ sự lừa dối kỹ thuật số.
Các yếu tố thúc đẩy SIF không hề suy giảm. Vào năm 2022, 1.774 vụ xâm phạm dữ liệu của tổ chức đã tiết lộ PII của hơn 392 triệu cá nhân trên toàn cầu . PII này, thu được thông qua hoạt động tội phạm mạng, kết hợp với các công cụ AI tạo ra, tạo ra các danh tính tổng hợp tinh vi đang trở nên đáng tin cậy hơn bao giờ hết. Những vi phạm này giúp tội phạm có lợi thế, cho phép chúng sử dụng dữ liệu hiện có kết hợp với AI để thực hiện các cuộc tấn công có thể mở rộng quy mô, chẳng hạn như nhồi thông tin xác thực . Đồng thời, công nghệ deepfake ngày càng trở nên tinh vi và giống người thật hơn, làm trầm trọng thêm mối đe dọa.
Các tổ chức không còn có thể chỉ dựa vào tính toàn vẹn của dữ liệu nữa; họ phải triển khai xác minh chặt chẽ hơn bằng các biện pháp phát hiện dữ liệu còn hoạt động để xác nhận xem cá nhân đằng sau dữ liệu có thực sự tồn tại hay không.
Công nghệ sinh trắc học có thể phát hiện danh tính tổng hợp có thực sự “sống” hay không bằng cách nào?
Gian lận danh tính tổng hợp có thể bỏ qua các kiểm tra bảo mật truyền thống, đặc biệt là khi tốc độ được ưu tiên. Phát hiện hiệu quả liên quan đến xác minh khuôn mặt sinh trắc học, trong đó người dùng quét ID chính phủ và khuôn mặt của họ, đảm bảo người đó khớp với danh tính đã khai báo. Phát hiện sự sống, một khả năng quan trọng trong các giải pháp sinh trắc học tiên tiến, là điều cần thiết để chống lại các nỗ lực giả mạo nâng cao, bao gồm cả deepfake và các cuộc tấn công tiêm kỹ thuật số.
Phát hiện sự sống động nâng cao có thể thiết lập "sự hiện diện thực sự" của một cá nhân theo thời gian thực, giúp ngăn chặn việc giả mạo bằng ảnh, mặt nạ hoặc deepfake. Ngoài ra, một số hệ thống dựa trên đám mây cung cấp khả năng phát hiện và phản hồi mối đe dọa liên tục để luôn đi trước các mối đe dọa đang phát triển, đồng thời vẫn duy trì trải nghiệm người dùng mượt mà.
Một nguồn lực quan trọng cho các tổ chức muốn đánh giá các nhà cung cấp có thể cung cấp các giải pháp giảm thiểu SIF là Cục Dự trữ Liên bang Hoa Kỳ .
Gian lận danh tính tổng hợp phát triển mạnh khi các tổ chức chấp nhận một 'sự thật' được xây dựng trên lời nói dối. Như Mark Twain đã viết, "Tiểu thuyết buộc phải bám sát vào các khả năng; Sự thật thì không". Xác minh danh tính được hỗ trợ bởi công nghệ sống động hiện diện thực sự tồn tại để tìm ra sự thật bên trong một danh tính được trình bày - rằng một khuôn mặt là có thật và sống động.
Khả năng mở rộng và độ chính xác của các giải pháp sinh trắc học có thể tạo nên sự khác biệt giữa việc ngăn chặn một nỗ lực gian lận ngay từ đầu hoặc chịu tổn thất tài chính đáng kể. Trong bối cảnh gian lận ngày càng gia tăng, sự phụ thuộc vào danh tính từ xa và khả năng tiếp cận AI và hình ảnh tổng hợp - công nghệ sinh trắc học dựa trên khoa học sẽ ngày càng trở nên không thể thiếu trong cuộc chiến chống lại SIF.
Ma ám ngoài đời thực: Một câu chuyện cảnh báo
Hãy xem xét trường hợp của Adam Arena , người cùng với những kẻ đồng mưu đã tạo ra một mạng lưới danh tính tổng hợp để đánh cắp hơn 1 triệu đô la từ các ngân hàng. Họ đã nuôi dưỡng những danh tính giả này trong nhiều năm, xây dựng lịch sử tín dụng hợp pháp trước khi "phá sản" - đạt đến hạn mức tín dụng tối đa và biến mất không dấu vết. Kế hoạch này thành công đến mức Arena đã lặp lại nó, nhắm vào Chương trình bảo vệ tiền lương của chính phủ Hoa Kỳ trong thời kỳ đại dịch.
Trick or Treat? Phòng bệnh hơn chữa bệnh trong cuộc chiến chống gian lận danh tính tổng hợp
Gian lận danh tính tổng hợp dự kiến sẽ trở thành một con quái vật thậm chí còn lớn hơn. Các biện pháp bảo mật truyền thống — mật khẩu, OTP và thậm chí xác minh sinh trắc học dựa trên thiết bị — đều không hiệu quả. Những kẻ lừa đảo đang phát triển, sử dụng AI để tạo ra các danh tính trông giống như người thật nhưng mang linh hồn của sự lừa dối.
Để đi trước, các tổ chức tài chính phải áp dụng các giải pháp sinh trắc học tiên tiến với khả năng phát hiện sự hiện diện thực sự. Bằng cách xác định và ngăn chặn các danh tính tổng hợp tại thời điểm tạo tài khoản, các công nghệ này cung cấp khả năng phòng thủ tốt nhất chống lại mối đe dọa ngày càng tăng.
Theo lời của Gartner , “Các công nghệ phát hiện sự sống động đang trở nên quan trọng để bảo vệ chống lại deepfake và xác minh sự hiện diện thực sự của một cá nhân”, từ đó chống lại gian lận danh tính tổng hợp. Việc áp dụng các giải pháp xác minh danh tính linh hoạt không chỉ là một khuyến nghị – mà là một điều cần thiết. Một khi đã được đưa vào sử dụng, danh tính tổng hợp cực kỳ khó xóa.
iProov cung cấp công nghệ xác minh khuôn mặt sinh trắc học cho các tổ chức có ý thức bảo mật cao nhất thế giới. Chúng tôi được trang bị đặc biệt tốt để chống lại gian lận danh tính tổng hợp được hỗ trợ bởi công nghệ AI tạo sinh. Halloween này, hãy nhớ rằng: những con quái vật nguy hiểm nhất không phải là siêu nhiên — chúng là những danh tính tổng hợp ẩn núp trong hệ thống xác minh của bạn.
Nếu bạn muốn xem công nghệ của iProov có thể mang lại khả năng bảo mật dễ dàng cho quy trình xác thực và tích hợp của bạn như thế nào - đồng thời giúp chống lại gian lận danh tính tổng hợp - hãy đặt lịch trình demo tại đây.