Tháng Bảy 7, 2022

Hãy nghĩ Giới thiệu hàng tỷ người dùng đăng ký trực tuyến mỗi ngày cho các dịch vụ kỹ thuật số mới - cho dù đó là đăng ký dịch vụ truyền thông, mua bảo hiểm, truy cập hồ sơ Y tế hay mở tài khoản ngân hàng.

Các doanh nghiệp và tổ chức rất chú trọng vào việc có được càng nhiều khách hàng hài lòng tham gia càng nhanh càng tốt. Đối với hầu hết các doanh nghiệp, nhiều khách hàng hơn có nghĩa là doanh thu lớn hơn. Trong khi đó trong khu vực công, việc áp dụng hàng loạt các dịch vụ kỹ thuật số là trọng tâm của hiệu quả chi phí và hiệu quả tổng thể của chúng.

Nhưng điều gì sẽ xảy ra nếu bạn giới thiệu một người dùng không phải là người thật? Các tổ chức phải đảm bảo rằng việc nhấn mạnh vào tỷ lệ hoàn thành không khiến họ mất thêm chi phí.

Gian lận danh tính tổng hợp là một mối đe dọa thực sự, ngày càng tăng đối với các doanh nghiệp mà không có các hoạt động giới thiệu mạnh mẽ. Đây là hình thức gian lận ID phát triển nhanh nhất, vượt qua gian lận danh tính 'tên thật' (trong đó tội phạm sử dụng danh tính của người thật) và chiếm 80-85% tổng số gian lận danh tính theo nghiên cứu Phân tích ID.

Trong bài viết này, chúng tôi sẽ giải thích gian lận danh tính tổng hợp là gì, tại sao nó là một hình thức gian lận khó bảo vệ như vậy và làm thế nào công nghệ sinh trắc học an toàn của iProov có thể đảm bảo sự hiện diện thực sự của mỗi và mọi người dùng trong quá trình đăng ký.

Gian lận danh tính tổng hợp là gì?

Gian lận danh tính tổng hợp là việc tạo ra một danh tính mới bằng cách sử dụng thông tin hư cấu, bị đánh cắp hoặc bị thao túng để truy cập vào các dịch vụ hoặc lừa đảo các doanh nghiệp, tổ chức hoặc cá nhân.

Đây là một hình thức lừa đảo trực tuyến rất tinh vi và khó phát hiện, khác với hành vi trộm cắp danh tính truyền thống hơn. Thay vì đánh cắp danh tính của người thật, những kẻ lừa đảo tổng hợp tạo ra một "người" không tồn tại bằng cách sử dụng Thông tin nhận dạng cá nhân (PII) bị đánh cắp, hư cấu hoặc bị thao túng - điều này có thể bao gồm tên, địa chỉ và số an sinh xã hội của một người.

Gian lận danh tính tổng hợp có thể có nhiều hình thức và định nghĩa, bao gồm:

  • Chế tạo danh tính: đề cập đến danh tính được tạo bằng cách sử dụng thông tin hoàn toàn hư cấu. Không sử dụng PII chính hãng.
  • Thao túng danh tính: đề cập đến danh tính được tạo bằng cách sử dụng các yếu tố dữ liệu nhận dạng chính hãng sau đó được sửa đổi và thay đổi một chút để tạo danh tính mới.
  • Tổng hợp danh tính: đề cập đến danh tính được tạo từ thông tin chính hãng khác nhau để tạo danh tính mới. Dữ liệu có thể là từ thông tin bị rò rỉ hoặc bị đánh cắp trực tuyến. Điều này còn được gọi là gian lận Frankenstein.

Bạn cũng có thể thấy loại gian lận này được gọi là "trộm cắp danh tính", nhưng nó không thực sự là hành vi trộm cắp danh tính. Ví dụ: trong một cuộc tấn công chiếm đoạt tài khoản, kẻ lừa đảo đang đánh cắp thông tin đăng nhập danh tính của bạn và sử dụng chúng để truy cập và khóa tài khoản của bạn. Nhưng trong hành vi trộm cắp danh tính tổng hợp, danh tính không bị đánh cắp - nó được tạo ra bởi kẻ lừa đảo bằng nhiều nguồn thông tin. 

Vì vậy, đối với bài viết này, chúng tôi sẽ gắn bó với thuật ngữ gian lận danh tính tổng hợp.

Gian lận danh tính tổng hợp hoạt động như thế nào?

Gian lận danh tính tổng hợp thường được sử dụng để khai thác quy trình giới thiệu của một tổ chức. Các tổ chức được trình bày với danh tính tổng hợp và vô tình trên tàu "người" với giả định rằng họ là chính hãng. Những "người" này sau đó có thể sử dụng tối đa thẻ tín dụng hoặc đăng ký các chương trình hỗ trợ của Chính phủ để ăn cắp tiền hoặc họ có thể sử dụng tài khoản để rửa tiền hoặc phạm tội khác.

Một cách mà các tác nhân xấu có thể làm cho gian lận thuyết phục hơn là sử dụng danh tính tổng hợp để đăng ký thẻ tín dụng / thẻ ghi nợ hoặc hoàn thành các giao dịch khác và xây dựng điểm tín dụng cho khách hàng không tồn tại. Nếu những kẻ lừa đảo thành công, chúng sẽ có thể tận dụng các dịch vụ của một tổ chức để chồng chất nhiều nợ hơn hoặc gian lận khác.

Một cách khácđể làm cho danh tính tổng hợp trông giống thật là sử dụng deepfake. Tội phạm có thể sử dụng công nghệ deepfake dễ tiếp cận để tạo ra những bức ảnh hoặc video thực tế Giới thiệu những người không tồn tại. Deepfake là một công cụ cực kỳ mạnh mẽ trong việc thúc đẩy sự thành công của gian lận danh tính tổng hợp.

Gian lận danh tính tổng hợp là một lựa chọn hấp dẫn đối với bọn tội phạm - kết hợp thông tin thật và sai khiến việc xác định chúng trở nên khó khăn và ngay cả khi cuối cùng chúng bị bắt, bản chất tổng hợp của danh tính khiến việc theo dõi và bù đắp tổn thất từ thủ phạm "thực" trở nên vô cùng khó khăn. Gian lận danh tính tổng hợp có thể mất nhiều năm để phát hiện.

Làm thế nào để phát hiện và ngăn chặn gian lận danh tính tổng hợp

Gian lận danh tính tổng hợp có thể dễ dàng rơi vào tầm ngắm của kiểm tra bảo mật tổ chức truyền thống - đặc biệt là các quy trình tự động, nơi ưu tiên sự tiện lợi và tốc độ. Khi Xác thực một khách hàng mới, có một số công cụ hữu ích có thể phát hiện và ngăn chặn loại gian lận này tốt hơn.

Xác minh sinh trắc học khuôn mặt là một phương pháp phát hiện mạnh mẽ khi ai đó đang cố gắng tạo tài khoản trực tuyến bằng danh tính tổng hợp. Một tổ chức có thể yêu cầu một khách hàng mới quét giấy tờ tùy thân do Chính phủ cấp và sau đó quét khuôn mặt của họ. Xác minh khuôn mặt sinh trắc học sẽ xác nhận rằng người thực tế quét khuôn mặt của họ là chủ sở hữu của danh tính được xác nhận mà họ đã tải lên. Điều này giúp ngăn chặn danh tính tổng hợp được sử dụng để đăng ký các dịch vụ trực tuyến và tạo tài khoản gian lận, cản trở hoạt động tội phạm.

Nhưng điều gì sẽ xảy ra khi người dùng cố gắng kết hợp một cuộc tấn công nhận dạng tổng hợp với giả mạo vật lý hoặc kỹ thuật số, chẳng hạn như đeo mặt nạ của người khác trong quá trình quét khuôn mặt sinh trắc học? Đây là nơi Phát hiện liveliness (phát hiện người thật) trở nên thiết yếu: công nghệ sống xác minh rằng khuôn mặt vật lý là khuôn mặt của một con người thực sự, sống. Nếu không phát hiện sự thật, những kẻ lừa đảo tổng hợp có thể sử dụng ảnh hoặc video để giả mạo quá trình Xác thực. Công nghệ Liveness từ iProov có thể phát hiện ra rằng "người" được trình bày là 3D, sống và được bao phủ bởi da - không phải là mặt nạ hoặc ảnh. Các công cụ khác để xác minh danh tính trực tuyến không thể làm điều này.

Nhìn chung, Phát hiện liveliness (phát hiện người thật) là công cụ tốt nhất duy nhất trong việc phát hiện danh tính tổng hợp. Nhưng điều đáng chú ý là không phải tất cả các công nghệ Phát hiện liveliness (phát hiện người thật) đều được tạo ra như nhau.

Dynamic Liveness từ iProov đang được sử dụng bởi các cơ quan Chính phủ, ngân hàng và các tổ chức có ý thức bảo mật khác trên khắp thế giới để cung cấp mức độ đảm bảo cao nhất rằng ai đó là người mà họ nói. Hãy thảo luận Giới thiệu cách công nghệ Dynamic Liveness của iProov, vượt ra ngoài việc Phát hiện liveliness (phát hiện người thật), một mình có thể chống lại gian lận danh tính tổng hợp. 

Tại sao sử dụng iProov để ngăn chặn gian lận danh tính tổng hợp?

Công nghệ Dynamic Liveness của iProov là một công cụ vô giá trong việc ngăn chặn gian lận danh tính tổng hợp, vì nó cung cấp cho các tổ chức mức độ đảm bảo cao nhất rằng một cá nhân từ xa là chính hãng. Nó xác nhận ba điều quan trọng - rằng người dùng là đúng người, một người thực và họ đang Xác thực ngay bây giờ, trong thời gian thực.

Phần thứ hai – mà người dùng đang Xác thực trong thời gian thực – là một phần quan trọng trong việc phân biệt Dynamic Liveness với các Giải pháp liveness khác. Nó sử dụng công nghệ Flashmark™ được cấp bằng sáng chế chiếu sáng khuôn mặt của người dùng với một chuỗi màu sắc độc đáo không thể phát lại hoặc thao tác tổng hợp. Điều này đảm bảo người dùng đang Xác thực ngay bây giờ - đó không phải là một cuộc tấn công thuyết trình bằng cách sử dụng ảnh hoặc mặt nạ, nhưng nó cũng không phải là một cuộc tấn công được tiêm kỹ thuật số bằng cách phát lại Xác thực trước đó hoặc video tổng hợp như deepfake. Ngoài ra, ánh sáng cung cấp sự đảm bảo lớn hơn khi bạn nhận được thông tin đa chiều từ khuôn mặt để xác nhận đó là người thật.

Ví dụ Giới thiệu gian lận danh tính tổng hợp gặp phải Dynamic Liveness: một kẻ lừa đảo đăng ký mở tài khoản ngân hàng mới bằng cách sử dụng danh tính tổng hợp mà họ đã tạo và củng cố bằng điểm tín dụng và video deepfake của một cá nhân hư cấu. Trong khi danh tính giả đã hoạt động để mở tài khoản với các nhà cung cấp khác, ngân hàng này lại khác. Được bảo mật bởi iProov, quá trình xác minh ở giai đoạn giới thiệu phát hiện ra rằng người nộp đơn không phải là người thật. Do đó, nó ngăn cản ngân hàng phê duyệt tài khoản, ngăn chặn bất kỳ thiệt hại nào ngay tại giai đoạn hình thành quan trọng nhất này trong mối quan hệ của ngân hàng với khách hàng.

Một khía cạnh quan trọng trong bảo mật của chúng tôi là nó là một công nghệ dựa trên đám mây, có nghĩa là hệ thống phòng thủ của nó được ẩn khỏi những kẻ tấn công, khiến việc đảo ngược kỹ thuật trở nên khó khăn hơn nhiều. Dịch vụ giám sát mối đe dọa chủ động tự động của nó (được gọi là Trung tâm điều hành bảo mật iProov hoặc iSOC) giám sát các hoạt động hàng ngày và xác định các cuộc tấn công mới và đang phát triển.

Các tổ chức cũng không phải thỏa hiệp Giới thiệu trải nghiệm người dùng hoặc tốc độ. Tất cả những gì iProov yêu cầu là một thiết bị có camera hướng tới người dùng và để người dùng chính hãng nhìn vào thiết bị của họ, không có gì khác. Không cần tham gia tích cực - chẳng hạn như di chuyển hoặc quay đầu, hoặc đọc hướng dẫn - là cần thiết. Điều này có nghĩa là iProov cung cấp Xác thực thực sự thụ động để đảm bảo phạm vi rộng nhất của người dùng có thể truy cập và Xác thực chính họ.

Nhìn chung, Dynamic Liveness rất cần thiết để bảo vệ chống lại gian lận danh tính tổng hợp - đặc biệt trong trường hợp các cuộc tấn công được tiêm kỹ thuật số bằng cách phát lại Xác thực trước đó hoặc video tổng hợp như deepfake được sử dụng. 

Gian lận danh tính tổng hợp: Tóm tắt

  • Gian lận danh tính tổng hợp là một loại gian lận tinh vi, khó phát hiện, cho thấy bọn tội phạm tạo ra danh tính hư cấu để lừa các tổ chức. 
  • Những danh tính tổng hợp này có thể là sự kết hợp của thông tin giả mạo, thật và bị đánh cắp và thường được củng cố bằng deepfake hoặc điểm tín dụng. 
  • Chính phủ và các Dịch vụ Tài chính là mục tiêu chính cho loại tấn công này và việc giới thiệu là điểm rủi ro lớn nhất. 
  • Loại gian lận này không chỉ khó phát hiện mà tổn thất rất khó bù đắp, vì kẻ lừa đảo được phát minh và thường không thể theo dõi được. 
  • Xác thực Sinh trắc học và Phát hiện liveliness (phát hiện người thật) có thể tăng cường phòng thủ chống gian lận danh tính tổng hợp, vì những điều này xác nhận rằng người dùng từ xa tự giới thiệu là chính hãng tại thời điểm giới thiệu. Điều quan trọng, niềm tin được thiết lập trong quá trình giới thiệu được thực hiện trong toàn bộ vòng đời của khách hàng.
  • Công nghệ iProov Dynamic Liveness có thể cung cấp mức độ bảo vệ cao hơn để phát hiện và bảo vệ chống lại các cuộc tấn công kỹ thuật số ngày càng phát triển sử dụng deepfake và các chiến thuật tinh vi khác. 

Gian lận danh tính tổng hợp có thể dựa trên hư cấu, nhưng mối đe dọa là rất thực tế. Đối với các tổ chức đang cấp quyền truy cập vào tiền hoặc dữ liệu, bảo mật bổ sung phải được thực hiện trong quy trình giới thiệu ban đầu. Công nghệ Dynamic Liveness từ iProov cung cấp bảo mật và đảm bảo vô song rằng người dùng trực tuyến là có thật và Xác thực ngay bây giờ.

Nếu bạn muốn xem công nghệ của iProov có thể mang lại bảo mật dễ dàng như thế nào cho các quy trình giới thiệu và Xác thực của bạn - đồng thời giúp chống gian lận danh tính tổng hợp - hãy đặt bản demo iProov của bạn tại đây.