导语
2024年11月,英国皇家联合军种国防研究所发布《应对未来大规模身份欺诈的八大建议》报告,报告讨论了当前身份欺诈威胁的性质,并确定了一系列的政策、立法、运营和技术干预措施。启元洞见分享报告主要内容,以期为读者了解未来大规模身份欺诈提供参考。
一、简介
欺诈在全球范围内已成为一种普遍现象,特别是在英国,它已成为最常见的犯罪类型。截至2022年,欺诈在英国所有犯罪中的占比高达40%,创下历史新高。目前,欺诈威胁不断增长且发展迅速,人们越来越意识到它对英国经济安全构成的威胁,甚至已经影响到国家安全。
在众多欺诈类型中,身份欺诈成为焦点。身份欺诈是指个人的身份信息被盗用或泄露后,被用于犯罪活动。这种欺诈行为通常出于经济利益,但也可能与需要隐瞒身份的犯罪活动有关,例如洗钱、恐怖主义或移民犯罪。
据估算,以经济利益为目的的身份欺诈每年给英国经济带来高达18亿英镑的损失。这种欺诈行为是国家欺诈数据库中记录最多的案件类型,占2023年所有行业案件的三分之二以上,共计237642起。
尽管上届政府的反欺诈战略已经认识到在英国建立强有力的身份欺诈应对机制的重要性,但为了更有效地应对这一威胁,仍需采取更多措施。为了响应行业对身份欺诈规模的关注,并为英国政府未来的相关战略提供信息,2024年10月,英国皇家联合军种国防研究所(Royal United Services Institute for Defence Studies, RUSI)金融与安全中心联合Cifas(Credit Industry Fraud Avoidance System,即信用行业防欺诈系统)举办了一场圆桌会议,旨在探讨解决身份欺诈问题的方法。会议参与者包括金融机构、监管科技公司、信用评级机构和决策者。
会议的核心议题是明确当前威胁的性质,并识别一系列政策、立法、运营和技术干预措施,以支持英国未来的欺诈战略。讨论主要集中在以经济利益为目的的身份欺诈上,尽管与会者也认识到需要审视其他犯罪行为的重叠因素。会议首先探讨了身份欺诈的发展,接着评估了英国当前应对身份欺诈的方法,以识别有效措施和改进空间。最后,会议审视了英国在应对身份欺诈方面的不足,并提出了一系列建议。
二、身份欺诈的演变
一位参会者通过温水煮青蛙的比喻来说明,在过去十年中,身份欺诈的威胁是如何逐渐失控的。他们强调,随着数字技术的不断进步和金融行业远程工作的增加,身份欺诈已经发展到一个可能阻碍经济增长、影响金融投资,并给受害者和消费者带来重大影响的规模。
讨论中提到,身份欺诈在数字时代经历了显著变化。由于身份欺诈传统上依赖于实体文件或所谓的“文件工厂”,但随着在线服务的兴起,大多数身份欺诈不再需要实体身份文件。例如,许多金融机构现在允许客户通过上传身份证件图片的应用程序来开设账户。
大规模数据泄露和系统性网络钓鱼已成为当今大规模身份欺诈的基本“种子犯罪”。这些数据泄露主要通过“犯罪即服务”模式运作,虽然传统上在暗网上销售,但现在越来越多地在社交媒体和封闭通信网络的表层网络上通过广告找到。
在消费者保护方面,所有参与者一致认为,鉴于数据泄露的规模,仅仅依赖于鼓励消费者保护自己数据的方法已经不够。本质上,我们应该假设我们的数据已经处于危险之中。因此,与会者将限制受损数据使用的措施视为优先事项。
在行业层面,大家普遍认为,随着犯罪分子更容易获得人工智能和深度伪造技术,这些技术能够促进高质量的文件伪造,身份欺诈问题或将加速发展。尽管大型机构目前采用的反欺诈技术能够拦截大部分伪造文件,但整个行业正处于一场“军备竞赛”中;随着时间的推移,人工智能的使用将进一步优化,使得伪造文件更难被发现,行业可能会努力跟上。与会者已经目睹了犯罪分子利用人工智能生成的身份证件逃避入职控制的情况。
尽管对身份欺诈的规模、性质和影响有一定的了解,但普遍认为公共和私营部门缺乏对威胁如何随时间变化的全面共识,这阻碍了应对工作。在犯罪分子获取身份信息的途径方面,存在特别的知识空白。
金融欺诈数据与那些利用身份欺诈实现身份混淆目的的人的“市场”相交汇,例如促进严重的有组织犯罪、恐怖主义和逃避制裁。
与会者认为,解决身份欺诈的首要原则应该是更新对普遍类型和身份盗窃与欺诈交叉的集体理解,以确保未来公共、私营和第三部门的干预措施能够充分应对这一威胁。
建议1:英国政府应委托进一步研究身份欺诈威胁的不断变化的性质及其社会和经济影响,以及它与其他国家安全威胁的交集,包括跨国有组织犯罪和敌对国家活动。
三、当前应对身份欺诈的措施-扩大规模
在对身份欺诈威胁的变化性质进行确认后,与会者探讨了现有的应对措施,并讨论了如何对这些措施进行改进。
行动应对
在警务行动方面,与会者普遍认为身份欺诈尚未得到应有的重视。尽管身份盗窃是多种犯罪的催化剂,但执法专业人员在调查身份盗窃方面往往较为沉默,这可能是由于不愿意执行、缺乏相关知识,或两者兼有。缺乏明确的身份盗窃法律框架也是一个促成因素。
与会者也认识到,面对如此大规模的威胁,警务资源有限,难以应对每一起身份盗窃案件。他们普遍赞扬执法部门近期将重点放在打击网络犯罪市场上,而非仅仅处理下游的个别犯罪者。与会者一致认为,最有效的资源利用方式是打击助长犯罪的基础设施和关键身份数据中介。
建议2:执法部门应继续将工作重点放在打击身份盗窃市场和关键身份数据中介上。同时,也应评估执法行动对犯罪分子获取数据途径的影响,以及他们可能转向的新渠道。
公私数据共享
与会者提到了“安伯希尔行动”的成功实践,该行动通过共享虚假或“以欺诈手段获得的真实”(FOG)身份证件数据,促进了公私部门在数据共享方面的合作。这一行动由伦敦警察厅领导,通过一个中央小组整理和分发虚假身份和FOG身份数据,并与合作伙伴共享。与会者认为,这种数据共享对防止工业损失产生了显著效果。
然而,与会者指出,这项服务的资金已大幅减少。他们强烈建议恢复并现代化这项服务,包括整合物理和数字虚假和FOG身份数据,以及通过应用程序编程接口(API)连接。
建议3:重振“安伯希尔行动”,提供额外资源和资金,扩大其职权范围,包括数字虚假和FOG身份文件。
消费者保护
与会者确定了行业主导的一些成功举措,这些举措使消费者在身份被盗后能够保护自己,如通过信用参考机构进行“信用评分锁定”和使用保护性登记服务提醒信贷行业注意潜在的身份滥用。与会者认识到这些举措的重要性,但也指出消费者必须为这些服务付费,且通常在事件发生后才使用这些服务。与会者同意,使用更多的预防技术和增加主动警报可以减少身份欺诈。然而,目前尚不清楚消费者对信贷申请过程中增加的“摩擦”的容忍度,需要进一步研究。
建议4:金融业应进行消费者态度调查,探讨消费者对信贷申请过程中增加的“摩擦”的容忍度,以减少身份欺诈的威胁。
数字身份
英国政府通过《2024年数据(使用和访问)法案》引入立法,旨在增加对数字身份的信任和信心,实施数字验证服务的“信任框架”。与会者普遍认为数字身份是一项积极措施,可能有助于减少身份欺诈。然而,他们认为有两个关键因素可能限制数字身份在减少身份欺诈方面的作用。
首先,与其他国家相比,英国消费者对数字身份的接受速度较慢,这可能是由于缺乏国民身份验证的“文化”。其次,身份验证行业的反欺诈标准不一,信任框架的非强制性可能导致数字身份成为身份欺诈的新载体。确保数字身份和属性办公室积极审查在信任框架下运营的公司的反欺诈标准,并进行年度审查,是防止这种情况的关键。
建议5:通过强有力的年度审查,确保数字验证服务信托框架内的反欺诈措施有效。
四、应对差距--未来反欺诈战略的优先领域
圆桌会议进一步探讨了在应对身份欺诈威胁方面存在的一些关键差距,并讨论了这些差距如何为英国政府未来的欺诈战略提供信息和支持。特别指出了在受害者支持和公共部门与行业数据共享方面的不足。
对受害者的支持
普遍观点认为,警察和更广泛的政府机构对身份欺诈受害者的援助不足。特别是在受害者个人没有遭受经济损失的情况下,一些参与者报告称,警察甚至告诉受害者他们实际上并不是“受害者”,因为金融机构往往承受了经济损失。
与会者强烈认为,目前的叙述没有充分考虑到身份被盗对个人的更广泛心理影响,包括感到威胁、承担重大行政负担以及信用评分可能受损。实际上,身份欺诈往往是在消费者申请合法信贷时被发现的,例如抵押贷款申请被拒绝,这是身份欺诈对受害者产生重大影响的另一种方式,尽管欺诈本身可能没有给他们造成直接损失。
尽管最近推出了内政部的身份盗窃清单等举措受到欢迎,但与会者一致认为,需要进一步努力提高对身份盗窃和欺诈对受害者影响的理解。与会者指出,业界、第三部门提供的支援服务,以及英国政府支持这些计划,将类似于澳大利亚和新西兰的做法。
建议6:英国政府的下一个欺诈策略应考虑进一步了解对受害者的影响,除了经济损失之外,还应与行业和第三部门合作,为受害者建立政府认可的支持资源。
加强数据共享
尽管“安伯希尔行动”被强调为一个良好实践的例子,但与会者认为,公共部门可以进一步提供信息和情报,以增强工业界作为英国抵御身份欺诈的第一道防线的能力。
首先,与会者指出警方缺乏与既定行业数据共享计划(如国家欺诈数据库)的数据共享。在认识到与敏感执法行动和遵守数据保护原则共享数据的挑战的同时,与会者提出了共享非身份相关属性(如与身份相关犯罪相关的设备和IP数据)的潜力。
其次,行业参与者强调了公共和私营部门之间近乎实时的数据共享在确认身份文件方面的重要性,尤其是基于人工智能的技术能够创造越来越真实的伪造文件。会议一致认为,使行业能够核实英国的身份证件,如护照和驾驶执照,应该是一个优先事项。此外,访问这些“可靠数据”来源可以用来帮助调整自动筛选工具,以便在入职阶段更好地发现伪造文件和身份欺诈。
最后,考虑到公共部门与赠款和福利申请有关的身份欺诈数量,私营部门和公共部门之间更好的信息共享被视为关键。至少,在公共和私营部门之间共享已知的虚假和FOG身份文件信息是有充分理由的,与会者指出,在现有的数据保护合法利益和相称性准则下,这很容易做到。
建议7:执法部门应考虑开展试点项目,与行业共享与身份盗窃和欺诈相关的实时操作非身份属性。
建议8:英国政府应与行业合作,开发英国政府发布的实时身份检查解决方案,并向行业提供用于获取公共资金的虚假身份的数据。
五、结论
圆桌讨论中指出,随着数字和在线服务使用的增加,近年来身份欺诈威胁急剧上升。大规模数据泄露、犯罪市场活动以及人工智能技术的运用增加,使得身份欺诈对消费者和企业造成了显著影响,并助长了多种严重犯罪行为的发生。
尽管没有单一的关键措施能够全面应对这一威胁,但与会者探讨了一些可以扩大影响的现有干预措施,以及未来欺诈战略中需要解决的关键空白。与会者强调,应对策略的核心在于更深入地集体理解威胁的本质,并增强公共和私营部门在应对威胁时的知识和数据连接。
(本文内容系“启元洞见”公众号原创编译,转载时请务必标明来源及作者)
参考来源:英国皇家联合军种国防研究所
参考题目:
Recommendations on the Future Response to Large-Scale Identity Fraud
参考链接:
https://rusi.org/explore-our-research/publications/conference-reports/recommendations-future-response-large-scale-identity-fraud
免责声明:文章内容系作者个人观点,如有任何异议,欢迎联系我们!图片来源网络,如有侵权请联系删除。
编辑 | 寂谷
审校 | Zoie Y. Lee
声明:本文来自启元洞见,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。