什么是合成身份欺诈?

下面我将和您一起讨论它的基本原理和基本阻断方法。

什么是合成身份欺诈?

合成身份欺诈是指犯罪分子利用真实的信息，去伪造出某个身份的行为。他们并不是假扮他人，而是通过拼凑偷窃来的信任凭证，假扮成并不存在的人员，进而获得某些权限。这虽然听起来有些不可思议，但是的确十分常见。

一个最著名的合成身份欺诈的例子发生在2018年的纽约，一伙由13名组成的罪犯团伙，成功地以他人的名义完成了贷款，并窃取了100多万美元。与传统的诈骗案不同的是，他们所伪装出的个人，实际上从来就不存在于被欺诈的系统中。通过事后侦查警方发现，由于团伙成员本身几乎并无任何信用记录，因此他们从偷窃来的社会保险号码开始入手，将这些数字与不同的姓名、地址、以及真实自然人的出生日期进行配对，产生了一些看似真实的自然人记录。最终，该犯罪团伙通过结合部分真实的信息，制造出了20个假的身份凭证。

当然，他们在具体的实现场景中也不一定遵循完全相同的模式。例如，在某些情况下，犯罪分子虽然会使用真实的社交账号(SSN)和地址，但需要结合假的名字和生日信息，以补足信用卡要求的完整信息方式，去尝试着贷款、或骗取政府的帮困计划、甚至是牟取一份没有合法公民身份的工作。

不过，与那些盗用真实身份的案例不同，这些伪造的身份往往不会立即引起反身份欺诈监控系统的察觉。由于综合了多种因素，因此它们看起来既贴近真实，又不会与真实身份相关联，进而牵扯到自然人过往的财务信息与历史记录(这往往是反欺系统的判断手段之一)。

综合身份欺诈的相关统计

根据研究机构Konica Minolta的​​《关键点智能》研究​​：有48%的中小型企业表示，数据保护是他们最大的IT挑战之一。此外，由于儿童并不具有信用记录，因此仅在2017年期间，合成身份欺诈就盗用了100万名儿童的身份信息，该​​受害比例占整体未成年人的39%​​，而当年的成年人受欺诈者占比只有19%。合成身份欺诈也伴随着这一趋势而持续增长。2019年，​​美联储声称​​，合成欺诈已是美国增长最快的欺诈类型。此类犯罪占2016年所有信贷损失的20%，并给美国本土造成了60亿美元的损失。据进一步估计，从2020年的亏损层面来看，美国银行和金融机构为此​​付出的代价就高达200亿美元​​。

如何防止合成身份欺诈

防止合成身份欺诈的最佳方法是保护您的个人识别信息(Personally Identifiable Information，PII)。首先，请针对你所有的在线帐户，使用强大、复杂且唯一的密码机制。通常，​​多因素身份验证​​可以阻止99.9%的自动化攻击。毕竟，相比单因素身份验证(SFA)，MFA可以结合两个或三个独立的信任凭证，即：用户知道什么，用户有什么，以及用户是什么。

其次，请千万不要将个人信息泄露给未知的来源，并且仔细检查填写个人信息的必要性。同时，请不要点击那些号称“异常紧急”的邮件、及其邮件正文中的链接。黑客通常会以这种方式诱惑您点击，并跳转到“收割”网站上，套取您的真实身份信息。

如何举报合成身份盗窃

您可以通过监控自己的信用记录，来检查潜在的欺诈行为。不过，如果您认为自己已经成为了受害者，那么请通过如下步骤，及时举报合成身份欺诈：

首先，给持有此类身份信息的银行或信贷部门打电话，向他们解释自己发现的任何蛛丝马迹。例如：在提供基本不在场或未曾有过此类异常活动的基本证据的前提下，要求立即冻结自己的信用卡，以​​阻止欺诈行为的继续发生​​。

接着，通过拍照或截图等方式，保存任何您认为是可疑行为的证据，以便向联邦贸易委员或相关执法部门，提交有关可疑欺诈活动的报告。

综上所述，盗用真实的身份信息，已不是欺诈的唯一途径了。希望上述有关合成身份欺诈的讨论，能够帮助您提高预防身份欺诈的敏感度，并更好地让您和家人远离各类欺诈，保护个人信息的安全性。

陈峻 (Julian Chen)，51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式，分享前沿技术与新知;经常以线上、线下等方式，开展信息安全类培训与授课。

原文标题：​​What Is Synthetic Identity Fraud?​​，作者：Shannon Flynn