2019年7月,美国联邦储备系统(The Federal Reserve System,以下简称美联储)发布了《美国支付系统中的合成身份诈骗报告》[1],深度分析利用部分个人信息合成虚假身份进行诈骗的成因、具体步骤及存在风险。

合成身份支付诈骗的普遍性

合成身份可用于欺骗政府或企业系统,使其误认为他们是真实的人——对美国金融体系、医疗保健行业、政府以及个人消费者产生了深远的影响,该技术被用于窃取资金、逃避侦查、毒品交易、人口贩卖甚至恐怖主义行动等犯罪活动时将引起严重后果。

根据麦肯锡的估计,合成身份诈骗是美国发展最快的金融犯罪类型,却很难被发现。因为受害者通常是个人——尤其是儿童、老人或无家可归者——他们不太可能访问他们的信用信息并发现诈骗行为。

合成身份支付诈骗的定义

犯罪者将虚构的和部分真实的信息结合起来,创建新的身份来欺骗金融机构、政府机构或个人。不同于传统身份诈骗,合成身份支付诈骗是诈骗者创建一个虚假的新身份而非冒用现有的真实身份进行诈骗,具体方法包括:身份伪造(不使用任何真正的个人身份信息,完全虚构身份)、身份操纵(稍微修改了真实个人身份信息以创建新的身份)或身份编译(将真假个人身份信息进行组合,以创建新的身份)。

合成身份支付诈骗高发原因

  • 使用SSN作为普遍的标识符

1936年,美国社会保障管理局(SSA)为每个人创建了社会保障号码(Social security number,以下简称SSN),仅用于记录收入情况、社会保障待遇和福利水平。这个唯一标识符在个人的生命周期通常不会改变。因此,SSN已经成为私营企业和其他政府机构普遍使用的标识符。过去,SSN作为标识符并记入个人记录中,如驾驶执照、学校及医疗档案。而随着互联网的普及和数据泄露的频繁使得个人身份信息得到更广泛的应用,被盗SSN具有了更高的价值。即使SSN不再被理想地用作驾驶执照和其他公共文件的标识符,诈骗者仍继续使用SSN作为创建合成身份的关键信息。据估计,近40%的合成身份使用随机SSN。

  • 诈骗者能够获取的个人身份信息增加

根据身份盗窃资源中心的数据,2017至2018年间,数据泄露导致的个人身份信息曝光提升了126%,超过4.46亿条记录被曝光。结合社交网络的不断发展、社交媒体上共享的个人信息及其他高风险行为,这增加了可用于构建合成身份的个人身份信息数量。“暗网” ——传统浏览器和搜索引擎无法访问的网络子集,且其内容和活动是匿名的——提供大量此类信息用于销售,包括银行帐户登录凭据、驾驶执照、信用卡号以及SSN。

根据统计[2],这些信息甚至被明码标价,其中一条SSN信息的价格为1美元,在线支付服务登陆信息20至200美元,信用卡或借记卡信息5至110美元,驾驶执照20美元,学历信息100至400美元,护照信息1000至2000美元,医疗信息1至1000美元甚至更高。

  • 信贷过程中的误差

业内专家指出,信用流程中的误差允许诈骗者建立合成身份。例如,诈骗者使用合成身份在金融机构申请信贷,即使金融机构拒绝其申请,信用局也会将申请人作为新的对象自动创建新的信用档案,同时预设使用该SSN号码的第一个申请人就是合法的,因此任何其他使用相同SSN申请的人必须证明自己的身份——包括被盗SSN的实际主人。

新的信用档案将成为合成身份存在的“证据”。诈骗者将该身份适用于多个不同的金融机构,直到申请最终获得批准。而诈骗者一旦通过合成身份建立了信用账户,其目标将是通过快速提升信用评分来增加身份的信用可用性,以尽可能兑现较多的贷款。

合成身份支付诈骗的流程

  • 第一步 诈骗者使用盗窃或伪造的个人身份信息创建身份

对于许多诈骗者而言,创建合成身份的过程始于暗网,他们通过各种方法购买个人身份信息和其他个人信息,包括数据泄露、社交媒体等。或者,诈骗者也可能伪造身份信息用来申请信贷。如果使用有效的SSN,则通常是针对不经常使用或检查其账户的儿童、老人或无家可归者。

  • 第二步 诈骗者使用合成身份申请信用卡

据估计,超过50%的诈骗者在线申请信用卡。业内专家称,部分使用合成身份的诈骗者也会亲自出现在金融机构,提供虚假信息以“证明”他们的身份。一旦诈骗者申请信贷,金融机构会向一个或多个信用局进行调查,并可能收到该身份没有信用记录的报告。通常,财务机构会拒绝此信用申请。但是,该初始查询将会为合成身份创建一个信用记录——即使申请被拒绝。

  • 第三步 诈骗者重复申请直至通过

诈骗者继续申请各种金融信贷机构,直到最后批准。在某些情况下,这一初步批准由高风险贷款人授予。诈骗者将使用此信用额度并创建及时的还款记录,以培养更高的信用额度。

  • 第四步 诈骗者加速提升信用记录

随后,诈骗者可以在加快建立账户良好信用的同时——作为授权用户添加到具有良好信用的帐户,以换取对现有帐户持有人的补偿,同时也可能发生在具有正面信用记录的另一个现存的合成身份上。

诈骗者采用各种策略来使合成身份看起来是真实的,并确保较高的限度。这些包括创建虚假身份证明文件、建立虚假社交媒体账号、以及使用丢弃地址。诈骗者还使用合成身份创建虚假企业,并使用企业身份注册以获取信用卡终端并对诈骗性卡片收取费用。复杂的犯罪团伙大规模使用这些策略,开发复杂的网络、支持合成身份的培养以实施诈骗。

  • 第五步 诈骗者“覆灭”

随着合成身份的信用评分上升,诈骗者可以获得更高额的信贷直至诈骗者身份“覆灭”,这个术语指的是最大化信用额度并消失。此外,诈骗者可能会通过声称身份盗窃来删除每个信用额度,或者通过使用假支票来支付余额,然后再次最大限度地减少信用额度和违约行为。诈骗者随后可以创造新的合成身份并重复这个过程。

谁将承担损失?

通常,SSN被盗用于合成身份使用的个人不对犯罪的财务损失负责(不包括自付费用)——只要他们可以证明他们不是合成身份即可。相反,金融机构承担此类诈骗的大部分费用。据估计,2016年美国合成身份诈骗的成本为60亿美元,此估算不包括非金融机构发生的财务损失。评估机构进一步估计,每一起合成身份诈骗造成的损失至少15000美元,占2016年所有信用损失的20%。

合成身份诈骗难以量化的原因

  • 在识别合成身份方面缺乏一致性

业内专家对与将合成身份诈骗与传统诈骗以及合法消费者区分开来的相关特征的评估标准各不相同。

  • 缺乏调查

可能很难确定一次销账、扣费或未授权支付是诈骗或信用损失的结果。一旦账户违约,金融机构可能会选择不承担对拖欠原因进行追溯调查的费用。

  • 缺乏意识

如果合成身份支付诈骗不是被确定为风险,此类诈骗造成的损失可能无法解决,甚至可以被注销。

  • 缺乏报告

检测和缓解的运营成本通常没有被报道。

消费者的影响:矫正他们的记录

合成身份诈骗对消费者,特别是弱势群体(例如儿童、老年人或无家可归者)的影响,可能在他们的个人身份信息受到损害后数年才被确定。根据相关机构对儿童身份诈骗所作的研究,2017年有超过一百万儿童成为身份诈骗的受害者。虽然这一数字并非针对合成身份支付诈骗,但它表明了儿童是这类诈骗的首要目标,因而可能面临极高的风险。合成身份诈骗可能处于休眠状态多年,只有在个人年满18岁并申请第一次汽车或助学贷款时才会被发现。合成身份诈骗的其他后果不仅限于支付诈骗,还包括无法申请残疾福利、纳税申报以及健康记录的不准确性。

对于SSN受到侵害的消费者而言,恢复其SSN有效性的过程可能非常耗时——特别是在诈骗者在一段时间内建立了信用档案或者制造大量债务的情况下。信用机构和金融机构通常假定在某SSN下建立信用的第一个人是合法有效的SSN持有者。因此,用于合成身份诈骗的SSN真实主体将面临艰难的任务,即证明自己的身份并采取措施清理他或她的信用报告。

结论

合成身份诈骗是影响消费者、小型和大型企业、金融机构、政府机构和医疗保健行业的美国支付生态系统中日益严重的问题。这源于诈骗者更加复杂和有组织、犯罪团伙伪装成为利润丰厚的企业、数据泄露频繁、暗网上大量可用的个人身份信息。预计此类犯罪行为将在一段时间内屡禁不止,原因是缺乏受害者对诈骗行为的及时报告,难以发现诈骗者、诈骗的高额回报,加之金融系统数字化程度的提高。

与网络犯罪一样,任何政府或私营部门组织都无法解决日益严重的合成身份支付诈骗问题。它需要所有支付行业利益相关者的关注,以便在美国支付生态系统中进行协作并共同认识、检测、缓解和解决合成身份诈骗问题。

[1] 原文地址:https://fedpaymentsimprovement.org/wp-content/uploads/frs-synthetic-identity-payments-fraud-white-paper-july-2019.pdf

[2] https://www.experian.com/blogs/ask-experian/heres-how-much-your-personal-information-is-selling-for-on-the-dark-web/

作者简介:李雅文,中国信息通信研究院互联网法律研究中心研究员

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。