Gian lận danh tính giả mạo: Vấn đề nạn nhân vô hình và cách giải quyết

Hãy nghĩ đến hàng tỷ người dùng đăng ký trực tuyến mỗi ngày cho các dịch vụ kỹ thuật số mới – đăng ký nền tảng phát trực tuyến, mua bảo hiểm, truy cập hồ sơ y tế, mở tài khoản ngân hàng. Các tổ chức đặt trọng tâm rất lớn vào việc thu hút càng nhiều khách hàng càng nhanh càng tốt. Càng nhiều khách hàng, càng nhiều doanh thu. Trong khu vực công, việc áp dụng rộng rãi các dịch vụ kỹ thuật số là yếu tố then chốt để tiết kiệm chi phí.

Nhưng điều gì sẽ xảy ra nếu bạn thêm một người dùng không phải là người thật vào hệ thống?

Không phải ai đó giả danh bạn – đó là hành vi đánh cắp danh tính truyền thống. Trường hợp này khác. Đây là một người hoàn toàn không tồn tại. Một người được tạo ra, được lắp ghép từ những mảnh dữ liệu bị đánh cắp, được thiết kế để trông đủ thật để vượt qua các khâu kiểm tra, xây dựng lịch sử tín dụng, và sau đó biến mất cùng với tiền của bạn.

Đây là hành vi gian lận bằng cách sử dụng danh tính giả mạo. Ước tính mỗi năm, hoạt động này gây thiệt hại cho các doanh nghiệp trên toàn cầu từ 20 đến 40 tỷ đô la . Các tổ chức cho vay tại Mỹ đã phải đối mặt với nguy cơ thiệt hại 3,3 tỷ đô la từ các danh tính giả mạo liên quan đến các tài khoản mới tính đến năm 2024. Và hiện nay, 44% các tổ chức xếp đây là loại gian lận được theo dõi nhiều nhất.

Điều khiến nó trở nên đặc biệt nguy hiểm không chỉ là quy mô. Mà còn là việc không có nạn nhân nào đứng ra tố cáo.

Gian lận danh tính tổng hợp là gì?

Gian lận danh tính giả mạo là việc tạo ra một danh tính mới, hư cấu bằng cách kết hợp thông tin thật, thông tin bị đánh cắp và thông tin bịa đặt – sau đó sử dụng danh tính đó để mở tài khoản, truy cập dịch vụ hoặc thực hiện tội phạm tài chính.

Khác với hành vi đánh cắp danh tính truyền thống, trong đó tội phạm đánh cắp và mạo danh một người thật, gian lận tổng hợp tạo ra một “người” chưa từng tồn tại. Sự khác biệt này vô cùng quan trọng đối với việc phát hiện, như chúng ta sẽ giải thích bên dưới.

Nó thường có một trong ba dạng sau:

Danh tính giả mạo: Được xây dựng hoàn toàn từ dữ liệu hư cấu. Không sử dụng bất kỳ thông tin cá nhân thật nào.

Thao túng danh tính: Dữ liệu nhận dạng thật bị thay đổi nhẹ – chẳng hạn như thay đổi một chữ số trong số an sinh xã hội, sửa đổi ngày sinh – để tạo ra một danh tính mới vượt qua quá trình xác thực.

Tổng hợp danh tính ( gian lận Frankenstein ): Các yếu tố dữ liệu thật từ nhiều nguồn khác nhau được kết hợp thành một danh tính mới. Một số an sinh xã hội hợp lệ được ghép với một tên giả và một địa chỉ bị đánh cắp. Đây là hình thức phổ biến nhất và nguy hiểm nhất vì mỗi điểm dữ liệu riêng lẻ đều trông có vẻ hợp lệ.

Vấn đề nạn nhân vô hình: Tại sao gian lận tổng hợp lại phá vỡ các phương pháp phát hiện truyền thống

Vấn đề cấu trúc phân biệt gian lận danh tính giả mạo với mọi loại gian lận khác là: không có người thật nào giám sát hoạt động gian lận.

Trong các vụ đánh cắp danh tính hoặc chiếm đoạt tài khoản truyền thống, luôn có một nạn nhân thực sự. Họ nhận thấy các giao dịch bất thường. Họ gọi cho ngân hàng của mình. Họ báo cáo vụ việc. Vụ gian lận được phát hiện. Quá trình phát hiện bắt đầu từ nạn nhân.

Trong vụ lừa đảo danh tính giả mạo, không ai gọi điện. Không ai báo cáo. Danh tính được tạo ra, vì vậy không có người thật nào kiểm tra sao kê hoặc giám sát tín dụng. Vụ lừa đảo diễn ra trong im lặng – thường là hàng tháng hoặc hàng năm – cho đến khi kẻ phạm tội quyết định đã đến lúc thu lợi.

Điều này tạo ra hàng loạt vấn đề cho các tổ chức:

• Các hệ thống phát hiện gian lận dựa vào các bất thường về hành vi sẽ không kích hoạt vì danh tính giả mạo là chuẩn mực. Không có "chuẩn mực" nào để lệch khỏi.
• Việc kiểm tra thông tin tín dụng không phát hiện ra điều này vì mỗi yếu tố dữ liệu riêng lẻ – số an sinh xã hội thật, tên giả, địa chỉ hợp lệ – đều có thể trông có vẻ hợp lệ khi đứng riêng lẻ.
• Xác minh dựa trên kiến ​​thức thất bại vì bất kỳ thông tin nào có thể nhập vào đều có thể bị đánh cắp hoặc bịa đặt. Đó là lý do tại sao việc xác thực danh tính phải vượt ra ngoài việc chỉ đối sánh dữ liệu.
• Việc thu hồi nợ gần như bất khả thi vì khi sự phá sản xảy ra, "người" nợ không còn tồn tại. Các khoản lỗ được ghi nhận là nợ khó đòi.

Đây là lý do tại sao gian lận danh tính giả mạo khó ngăn chặn hơn bất kỳ loại gian lận nào khác. Việc không có nạn nhân không phải là tác dụng phụ – mà chính là yếu tố giúp toàn bộ kế hoạch hoạt động hiệu quả.

Ai là người bị tổn thương: Những nạn nhân thầm lặng của gian lận chứng chỉ tổng hợp

Có thể không có nạn nhân "hữu hình", nhưng thực tế là có những người bị tổn hại. Những mảnh dữ liệu hợp pháp được sử dụng để tạo ra danh tính giả phải đến từ một nguồn nào đó – và chúng thường đến từ những nhóm người dễ bị tổn thương nhất:

• Trẻ em: Số an sinh xã hội của trẻ em có lịch sử tín dụng tốt và chủ nhân của nó sẽ không kiểm tra trong nhiều năm, đôi khi là hàng thập kỷ. Đó là nền tảng lý tưởng cho một danh tính giả mạo.
• Những người đã khuất: Hồ sơ của những người đã khuất được khai thác vì chúng sẽ không kích hoạt bất kỳ hoạt động nào từ chủ sở hữu thực sự.
• Người cao tuổi: Thường có lịch sử tín dụng mỏng hoặc không hoạt động và có thể không chủ động theo dõi tín dụng của mình.
• Người nhập cư và những người mới sử dụng hệ thống tín dụng: Hồ sơ tín dụng sơ sài và thiếu quen thuộc với các hệ thống địa phương khiến họ trở thành mục tiêu chính của hành vi đánh cắp số an sinh xã hội.

Khi một đứa trẻ tròn 18 tuổi và đăng ký thẻ tín dụng lần đầu, chúng có thể phát hiện ra số an sinh xã hội của mình đã được sử dụng để xây dựng điểm tín dụng cho người khác trong nhiều năm. Thiệt hại là có thật, ngay cả khi danh tính đó là giả mạo.

Vòng đời của một cuộc tấn công danh tính giả mạo

Hiểu được cách thức gian lận tổng hợp diễn ra theo thời gian sẽ giúp ta nhận ra những điểm yếu mà hệ thống phòng thủ có thể can thiệp – và những điểm mù mà hầu hết các tổ chức hiện đang mắc phải.

Giai đoạn 1: Xây dựng bản sắc

Kẻ gian lận tạo ra danh tính giả bằng cách kết hợp một mã định danh hợp pháp (thường là số an sinh xã hội thật được lấy từ các vụ rò rỉ dữ liệu hoặc mạng tối) với các thông tin cá nhân bịa đặt. Báo cáo Tình báo Mối đe dọa iProov năm 2025 ghi lại cách các mạng lưới Tội phạm dưới dạng dịch vụ hiện đang bán các bộ công cụ lắp ráp danh tính tự động hóa quy trình này trên quy mô lớn. Một số kẻ gian lận còn đi xa hơn, xây dựng câu chuyện giả cho các danh tính giả – hồ sơ mạng xã hội, lịch sử nghề nghiệp, thậm chí cả các trang web nhỏ – để tăng độ tin cậy.

Nơi cần thực hiện biện pháp bảo vệ: Ngay tại thời điểm đăng ký, trước khi thông tin cá nhân được nhập vào hệ thống. Đây là lúc xác thực khuôn mặt bằng sinh trắc học với khả năng phát hiện sự hiện diện thực sự đóng vai trò quyết định – một danh tính giả mạo không có người thật đứng sau, vì vậy không ai có thể cung cấp sự trùng khớp sinh trắc học.

Giai đoạn 2: Xây dựng tín dụng

Danh tính giả được đưa vào hệ thống tài chính và được "nuôi dưỡng" một cách kiên nhẫn. Các tài khoản nhỏ được mở, các khoản thanh toán thường xuyên được thực hiện, hạn mức tín dụng tăng lên. Qua nhiều tháng hoặc nhiều năm, danh tính giả này xây dựng được một hồ sơ tín dụng trông có vẻ hợp pháp. Một số kẻ gian lận còn tự thêm mình vào làm người dùng được ủy quyền trên các tài khoản thật để đẩy nhanh quá trình này.

Nơi cần thực hiện biện pháp phòng vệ: Giám sát liên tục các mô hình hành vi liên quan đến danh tính giả mạo – tài khoản mới với tốc độ xây dựng tín dụng nhanh bất thường, việc thêm người dùng được ủy quyền mà không có mối quan hệ rõ ràng, người nộp đơn có hồ sơ mỏng với lịch sử tín dụng trong sạch đáng ngờ.

Giai đoạn 3: Sự bứt phá

Khi hạn mức tín dụng đủ cao, kẻ gian lận sẽ sử dụng tối đa mọi tài khoản, vay mọi khoản vay khả dụng và biến mất. Danh tính giả mạo tan biến. Không còn người thật nào để truy tìm. Danh tính giả mạo có liên quan đến 21% các vụ gian lận trực tiếp được phát hiện vào năm 2025, và các thủ đoạn rút tiền bất chính vẫn là một trong những phương pháp phổ biến nhất để thu lợi từ những hồ sơ giả mạo này.

Nơi mà việc phòng vệ nên diễn ra: Lẽ ra nó không cần thiết. Nếu việc xác minh danh tính thực sự phát hiện ra danh tính giả mạo ngay từ giai đoạn đăng ký, thì giai đoạn này sẽ không bao giờ xảy ra. Mỗi đô la chi cho việc phát hiện gian lận là một đô la đáng lẽ ra nên được đầu tư vào việc xác minh trong quá trình đăng ký.

Vì sao sinh trắc học cơ bản là chưa đủ

Không phải tất cả các hệ thống sinh trắc học đều có khả năng chống lại gian lận danh tính giả mạo như nhau. Một hệ thống so khớp khuôn mặt cơ bản chỉ đơn giản là so sánh ảnh tự chụp với ảnh trên tài liệu có thể bị đánh bại nếu kẻ gian lận cung cấp hình ảnh deepfake trùng khớp hoặc sử dụng người thật (một "người trung gian xác thực danh tính") để hoàn tất quá trình xác minh trước khi giao tài khoản.

Đây là lý do tại sao loại hình xác thực sinh trắc học lại quan trọng. Việc phòng chống gian lận danh tính giả mạo trong quá trình tuyển dụng đòi hỏi ba điều cùng lúc:

1. Xác nhận người đó trùng khớp với giấy tờ tùy thân – phương pháp nhận dạng khuôn mặt tiêu chuẩn.
2. Xác nhận rằng có một người thật, còn sống, đang hiện diện – không phải là ảnh, mặt nạ, deepfake, hay video được chèn vào .
3. Xác nhận rằng quá trình xác thực đang diễn ra ngay bây giờ – không phải là phát lại phiên trước đó hoặc bản ghi âm đã được ghi sẵn.

Chỉ bước kiểm tra đầu tiên là chưa đủ. Cả ba bước cùng nhau mới tạo nên giải pháp cấu trúc để xác minh sự hiện diện thực sự nhằm chống lại gian lận danh tính giả mạo – bởi vì ngay cả danh tính giả mạo thuyết phục nhất cũng sẽ sụp đổ khi một người thật phải có mặt trực tiếp để kích hoạt nó.

iProov giải quyết vấn nạn gian lận danh tính giả mạo như thế nào?

Tính năng Xác thực Trực tiếp Động của iProov kiểm tra cả ba điều kiện trong một tương tác thụ động duy nhất. Dưới đây là ý nghĩa thực tiễn của điều đó khi đối phó với gian lận tổng hợp:

• Flashmark đánh bại các phần mềm giả mạo deepfake. Công nghệ Flashmark được cấp bằng sáng chế của iProov chiếu sáng khuôn mặt người dùng bằng một chuỗi màu độc đáo, không thể đoán trước trong mỗi phiên. Hình ảnh phản chiếu được phân tích để xác nhận sự hiện diện thực sự trong thời gian thực. Mỗi phiên tạo ra dữ liệu sinh trắc học độc nhất và hết hạn ngay lập tức – dữ liệu này không thể phát lại, chặn hoặc tổng hợp. Điều này có nghĩa là kẻ gian lận không thể sử dụng deepfake, video được ghi sẵn hoặc khuôn mặt do AI tạo ra để kích hoạt danh tính giả mạo. iProov là nhà cung cấp đầu tiên và duy nhất được chứng nhận theo tiêu chuẩn NIST SP 800-63-4 và là nhà cung cấp đầu tiên đạt được cấp độ CEN/TS 18099 Cao về phát hiện tấn công chèn mã độc. Trong hơn 40 ngày thử nghiệm được chứng nhận, không có cuộc tấn công nào thành công được xác lập.
• iSOC phát hiện những gì mà các hệ thống tĩnh bỏ sót. Trung tâm điều hành an ninh iProov (iSOC) giám sát các mô hình tấn công trên tất cả khách hàng, khu vực địa lý và nền tảng trong thời gian thực. Khi các kỹ thuật mới để kích hoạt danh tính giả mạo xuất hiện – các công cụ deepfake mới, các phương pháp tấn công chèn mã độc mới, các mô hình tuyển dụng người trung gian mới – iSOC sẽ phát hiện chúng và triển khai các bản cập nhật phòng thủ trên toàn cầu, mà không cần chờ bản phát hành phần mềm tiếp theo.
• Kiến trúc đám mây giúp che giấu quá trình phòng thủ. Tất cả quá trình xác thực đều diễn ra trên đám mây, chứ không phải trên thiết bị. Điều này có nghĩa là quá trình xác thực không thể bị phân tích ngược bằng cách nghiên cứu thiết bị, và nó cho phép khả năng hiển thị theo thời gian thực, yếu tố then chốt giúp vận hành iSOC.
• Xác minh thụ động không gây bất lợi cho người dùng thật. Quy trình không yêu cầu quay đầu, gật đầu hay hướng dẫn bằng lời nói. iProov tuân thủ WCAG 2.2 AA và Mục 508, với các thuật toán được kiểm tra về hiệu suất công bằng trên các nhóm tuổi, giới tính và màu da. Tỷ lệ hoàn thành thường trên 98%. Ngăn chặn gian lận mạnh mẽ trong quá trình đăng ký không nhất thiết phải khiến bạn mất đi những khách hàng thực sự.
• Vượt ra ngoài quy trình tiếp nhận khách hàng: Danh tính tổng hợp trong lực lượng lao động

Việc sử dụng danh tính giả không chỉ nhắm vào các ngân hàng và công ty thẻ tín dụng. Các đặc vụ từ các quốc gia bị OFAC trừng phạt đã xâm nhập hơn 300 công ty bằng cách sử dụng danh tính giả và bộ lọc deepfake để vượt qua các quy trình tuyển dụng từ xa. Một nhân viên giả mạo sẽ có quyền truy cập vào hệ thống, dữ liệu và tiền bạc – và tổ chức có thể không bao giờ nhận ra rằng người mà họ đã thuê không hề tồn tại.

Bộ giải pháp quản lý nhân lực iProov mở rộng khả năng xác minh sự hiện diện thực sự của con người trong toàn bộ vòng đời định danh của nhân viên – từ tuyển dụng từ xa, truy cập thiết bị dùng chung, xác thực nâng cao đến khôi phục tài khoản – khắc phục lỗ hổng trong quy trình tuyển dụng mà các danh tính giả mạo thường lợi dụng trong các dịch vụ dành cho người tiêu dùng.

Báo cáo Tình báo Mối đe dọa iProov năm 2025 ghi lại các công cụ và kỹ thuật hỗ trợ hành vi gian lận danh tính giả mạo hiện nay. Tải xuống báo cáo đầy đủ tại đây.

Để xem iProov ngăn chặn danh tính giả mạo ngay từ giai đoạn đăng ký như thế nào, hãy đặt lịch demo .

---

Câu hỏi thường gặp về gian lận danh tính giả mạo

Tại sao việc giả mạo danh tính lại khó phát hiện đến vậy?

Vì không có nạn nhân thực sự nào để báo cáo. Danh tính được tạo ra giả mạo, nên không ai theo dõi tài khoản để phát hiện hoạt động đáng ngờ. Mỗi yếu tố dữ liệu riêng lẻ (số an sinh xã hội thật, tên giả) đều có thể trông hợp pháp khi đứng riêng biệt. Những kẻ lừa đảo thường nuôi dưỡng danh tính giả trong nhiều tháng hoặc nhiều năm, xây dựng tín dụng trước khi thực hiện vụ lừa đảo. Phát hiện gian lận truyền thống dựa vào việc nạn nhân báo cáo những bất thường – gian lận giả mạo loại bỏ hoàn toàn nạn nhân.

Ai là người có nguy cơ cao nhất bị sử dụng dữ liệu cá nhân để tạo danh tính giả mạo?

Trẻ em, người đã khuất, người cao tuổi và người nhập cư là những đối tượng bị nhắm mục tiêu nhiều hơn vì số an sinh xã hội của họ thường có lịch sử tín dụng ít hoặc không hoạt động. Số an sinh xã hội của một đứa trẻ có thể bị lợi dụng trong nhiều năm trước khi chúng đủ lớn để phát hiện ra thiệt hại.

Xác minh sinh trắc học ngăn chặn gian lận danh tính giả mạo như thế nào?

Xác minh khuôn mặt sinh trắc học với tính năng phát hiện sự hiện diện thực sự yêu cầu một người thật, đang sống, phải có mặt trực tiếp trong quá trình đăng ký. Một danh tính ảo không có người thật đứng sau, vì vậy không ai có thể cung cấp dữ liệu sinh trắc học trùng khớp. Các giải pháp tiên tiến như Dynamic Liveness của iProov cũng giúp chống lại các cuộc tấn công deepfake và tấn công chèn mã độc nhằm mạo danh một người hư cấu bằng cách sử dụng hình ảnh do AI tạo ra.

Gian lận danh tính giả mạo và đánh cắp danh tính khác nhau như thế nào?

Đánh cắp danh tính liên quan đến việc đánh cắp toàn bộ thông tin nhận dạng của một người thật. Gian lận danh tính tổng hợp liên quan đến việc tạo ra một danh tính mới bằng cách kết hợp dữ liệu thật và dữ liệu giả mạo. Sự khác biệt chính là đánh cắp danh tính có nạn nhân có thể báo cáo; gian lận tổng hợp thường không có, đó là lý do tại sao nó có thể tồn tại mà không bị phát hiện trong thời gian dài hơn nhiều.

Gian lận danh tính giả mạo và gian lận mở tài khoản mới khác nhau như thế nào?

Gian lận mở tài khoản mới là loại gian lận rộng hơn – nó bao gồm bất kỳ trường hợp nào mà kẻ gian lận mở tài khoản bằng những lời lẽ giả mạo, cho dù sử dụng danh tính thật bị đánh cắp hay danh tính giả mạo được tạo ra. Gian lận danh tính giả mạo là một hình thức cụ thể và ngày càng phổ biến của gian lận mở tài khoản mới, được phân biệt bởi thực tế là danh tính đó được tạo ra chứ không phải bị đánh cắp. Cả hai đều khai thác những điểm yếu trong quy trình đăng ký tài khoản, đó là lý do tại sao việc xác minh tại thời điểm tạo tài khoản là rất quan trọng.

Trí tuệ nhân tạo tạo sinh đang làm trầm trọng thêm tình trạng gian lận danh tính giả mạo như thế nào?

Các công cụ AI tạo sinh đã làm giảm đáng kể rào cản trong việc tạo ra các danh tính giả mạo thuyết phục. Giờ đây, những kẻ lừa đảo có thể tạo ra ảnh selfie deepfake chân thực, giấy tờ tùy thân do AI tạo ra, và thậm chí cả dấu vết kỹ thuật số giả mạo trên quy mô lớn. Các nền tảng "Tội phạm như một dịch vụ" bán những khả năng này dưới dạng các bộ công cụ готовые. Điều này có nghĩa là các danh tính giả mạo trở nên thuyết phục hơn và nhiều hơn bao giờ hết, khiến việc xác minh danh tính thực sự khi đăng ký trở thành một biện pháp phòng vệ thiết yếu chứ không phải là tùy chọn.