カジノサイト
フランケンシュタイン詐欺: 合成 ID がどのようにして最も急成長する詐欺トレンドになったのか
Fやり遂げるまで頑張ってください。あるいは、100万ドル以上を盗むまで。これは、法執行機関の目に留まり、米国全土での捜査につながった合成個人情報詐欺計画に関与した疑いで起訴された 11 人以上の個人の場合に当てはまります。
それは、盗まれた社会保障番号と、他の実在の人物の異なる名前、住所、生年月日とを組み合わせて作成された合成 ID の作成から始まりました。これらの社会保障番号は、関連する信用履歴がないか、積極的に監視される可能性が低いという理由で選ばれました。つまり、子供、最近移民、高齢者、投獄されている人、さらには死亡者の番号です。
その後、詐欺師たちはこれらの合成 ID を正当なものであるかのように見せるための措置を講じました。彼らは電話番号を申請した。電子メール、ポイントカード、およびライブラリカードのアカウントを設定します。そして、金融機関が身元情報を確認するために使用する公開データベースに身元情報を登録したとされています。
44歳のアダム・D・アリーナは、偽の身元情報をあたかも数年間にわたる良好な信用履歴を持つ本物の顧客であるかのように信用調査機関に報告するダミー会社を設立し、偽の身元情報の信用スコアをさらに高めることでこの計画を推進したと考えられている。
これらすべては、USAA 銀行、海軍連邦信用組合、オマハ第一国立銀行、サフォーク連邦信用組合などの金融機関からローンやクレジット カードを取得するために、合成 ID に信用を構築するために行われました。これらの ID に関連付けられたアカウントは上限に達し、返済されることはありませんでした。
この活動は最終的に、ニューヨーク州サフォーク郡地方検察庁の金融捜査局およびマネーロンダリング局とサフォーク郡警察署の金融犯罪課の目に留まりました。彼らはロングアイランドのいくつかの銀行と信用組合で不審な活動の調査を開始し、13人の個人が20以上の合成IDを作成して使用し、19の異なる金融機関からローンやクレジットカードを取得し、100万ドル以上を盗んだことが明らかになった。
「これは非常に複雑な犯罪であり、犯人を特定するのは非常に難しい場合がありますが、この事件を捜査し起訴しているチームは証拠を注意深く追跡し、一般市民に広範囲に影響を与えるこの計画を解明しました」とサフォーク郡地方検事のティモシー・D・シニはaで述べた。共謀者とされる13人の起訴を発表。
合成 ID 詐欺は新しいものではありません。これは何十年も前から存在する詐欺の傾向で、インターネットの利用に移行する前は対面で行われることが多かったです。そして 21 世紀には急速に成長しました。消費者信用調査機関トランスユニオンのスポンサーによると、米国の無担保クレジット商品を対象とした合成個人情報詐欺は、2020 年に総額 18 億ドルに達し、2023 年には 24 億 2000 万ドルに増加することが判明しました。
「これらの推定値は保守的です。このレポートのためにインタビューした発行体と貸し手の一部が示したように、合成銘柄に起因する信用償却額が実際に世界全体で 10 パーセントから 15 パーセントの範囲にある場合、損失は 60 億ドルに達する可能性があります。」とアイテのレポートは述べています。
この詐欺が組織、金融機関、個人の被害者にもたらす代償は大きいものの、当局が詐欺を発見し、犯罪者の責任を追及するのに苦労しているため、国家安全保障にも大きな影響を及ぼします。
「勤勉な人々に対する詐欺に対応しないと、国民と国家の間の協定が根本的なレベルで損なわれることになり、それは社会に広範な影響を及ぼします」と王立ユナイテッドサービス協会(RUSI)金融犯罪セキュリティ研究センターのアソシエートフェロー、ヘレナ・ウッドは言う。
合成アイデンティティ 101
「フィクションとは、嘘の中の真実だ」と、ファンタジーを通して現実の恐怖に対処するために小説を頻繁に使用するホラーの巨匠、スティーヴン・キングは書きました。彼は何かを考えていた――誰かに虚偽を信じてもらいたいなら、それを真実に結びつけておくとよい。
おそらくそれが、合成 ID が詐欺師にとって魅力的であり、詐欺師に利用された人たちを検出するのが難しい理由なのかもしれません。合成 ID は通常、実際の社会保障番号 (SSN) または住所やその他の個人情報 (実際の人の写真を使用したソーシャル メディア プロフィールなど) と混合されたクレジット プライバシー番号に基づいています。
同じ IP アドレスまたはデバイスからの複数のアカウント アプリケーション、同じ社会保障番号を持つ複数の ID、同じ住所または電話番号を持つ複数の申請者、2011 年以降に発行された社会保障番号を持つ申請者、大規模な国際空港や配送地域の近くの住所など、合成 ID の使用を示す可能性のあるその他の明らかな特徴があります。
信用調査機関のファクトシートによると、これらのアイデンティティは 3 つの異なる方法で構築できます: 申請や問い合わせを通じて時間をかけて不正な信用プロファイルを構築したり、信用報告機関の虚偽の更新を作成したり、正規のアカウントにアクセスしてそのユーザー追加プロセスを利用したりする。
「洗練された犯罪者は、金融商品の取得から医療給付金、公共サービス、税金の申告と還付に至るまで、さまざまな種類の詐欺を実行するために使用できる説得力のある検証可能なペルソナを作成することに多大な努力を払っています」とエクスペリアン氏は述べた。 「合成 ID に添付される情報は、公的記録の人口統計データ、信用情報、証拠書類、欺瞞を目的とした写真セット (およびその他の歴史的詳細) を含むソーシャル メディア プロフィールなど、いくつかのレベルに及ぶ可能性があります。」
また、合成 ID は複数の個人の個人データを組み合わせているため、通常、アカウントへの請求について警告されることはありません。これは、合成 ID が実際の個人に関連付けられていないためです。合成 ID が使用したサービスを提供した機関が最初の被害者とみなされます。
「しかし、常にそうとは限りません。深刻な懸念は、合成 ID の構築に使用される SSN を合法的に発行される可能性のある未成年者は、成人としての生活がはるかに困難であると感じ、いつかはデフォルトで犠牲者になるという事実です」とエクスペリアン氏は述べた。 「これらの人々が信用に積極的な大人になるにつれて、特にオンライン サービスやモバイル サービスにおいて、リスクに基づく重大な疑惑や、積極的で信頼できる本人確認の欠如にさらされることになります。」
2019 年の分析で、米国連邦準備制度理事会は、合成個人情報詐欺が米国で最も急速に増加しているタイプの金融犯罪であることを発見しました。これにより、2016 年に米国の金融機関に 60 億ドルの損失が発生し、2016 年の信用損失の 20 パーセントが発生しました。
合成 ID の使用が増加している理由の 1 つは、過去 10 年間の大規模なデータ侵害により侵害された個人識別情報 (PII) の量が増加しているためです。 2017 年から 2018 年の間だけでも、侵害により流出した PII データの量は 126% 増加し、4 億 4,600 万件以上の記録が流出したと連邦準備制度理事会は述べました。
「2013 年以来、700 億件以上のデータ記録が侵害されてきました」と、Aite Group の詐欺とマネーロンダリング対策のリサーチディレクターであり、報告書の著者でもある Julie Conroy 氏は述べています。合成個人情報詐欺: 悪魔的な徴収が増加中。「これは膨大な数であり、すべてが PII に関するものではなく、資格情報でもあります。しかし、大量の PII が存在し、これらの組織犯罪組織が断片的な ID やフランケンシュタインの ID をまとめる際の餌食となります。」
連邦準備制度によると、米国では、個人の身元を確認するための静的な個人識別情報が重視されているため、世界の他の地域よりも合成 ID が広く使用される傾向があります。
米国社会保障局 (SSA) による変更により、詐欺師が意図せずして誰かの社会保障番号を合成 ID として使用することが容易になった可能性もあります。 2011 年 6 月、SSA は社会保障番号を保護し、利用可能な 9 桁の番号のプールを拡張するために、社会保障番号をランダムに割り当て始めました。
「ランダム化により、これまで金融機関が個人の出身州を判断する際に役立っていた社会保障番号(市外局番とも呼ばれる)の最初の3桁の地理的重要性が排除された」と連邦準備理事会の報告書は述べている.「ランダム化の結果、新しく発行された SSN に対して地理的チェックは効果がなくなり、詐欺師が未発行または捏造された社会保障番号を使用して合成 ID を作成した場合、それを検出することがより困難になります。」
この問題に対処するのに役立つ可能性のある取り組みの 1 つは、SSA の電子同意ベースです(eCBSV)、2021 年に展開されました。このサービスを使用すると、ユーザーは、個人が使用する名前、生年月日、社会保障番号が、SSA のシステム内の名前、生年月日、番号と一致していることを確認できます。このサービスには、海軍連邦信用組合、エクスペリアン、ディスカバー ファイナンシャル サービスなど、厳選された数の企業が登録していますが、2021 年中にさらに多くの企業が登録されることが予想されます。
連邦準備制度はまた、詐欺師の機会を生み出す可能性のある信用プロセスのギャップを特定しました。この例としては、金融機関での信用申請に合成 ID を使用する詐欺師が挙げられます。金融機関は申請を拒否する可能性がありますが、その過程で、その合成 ID に関連付けられた信用プロファイルが作成されることになります。
「新しい信用プロフィールは、合成アイデンティティのいわゆる存在の『証拠』となる」と連邦準備制度理事会は述べている。 「詐欺師は、最終的に申請が承認されるまで、さまざまな金融機関に申請を行います。」
申請が承認されると、詐欺師は多くの場合、バストアウトを開始する前に、その関連付けられたアカウントを使用して、合成 ID の信用利用可能性とクレジット スコアを増やします。
「『バストアウト』スキームとは、一般に、誰かが合成 ID を使用してクレジット (クレジット カード、小売カード、住宅資産) を申請することです」と説明、規制パラリーガル、全米連邦保険信用組合協会のブログ投稿。 「彼らは、タイムリーな支払いを行い、利用限度額の増額を取得し、利用量を増やすことで良好な信用を築き上げます。その後、返済するつもりもなく、利用可能なすべての信用枠を上限に達し、口座を削除します。その後、これらは回収に回され、償却され、金融機関の損失となります。」
2008 年の大不況後の景気回復圧力により、金融機関はこうした詐欺に対してより脆弱になった可能性がある、とコンロイ氏は言います。
「クレジット発行会社は基準をオープンにしていました」と彼女は説明します。 「彼らはシン ファイルと新しい信用関係者をターゲットにしていたため、これらの合成 ID を確立することが容易になりました。」
そして、一度ドアに入ると、これらの合成アイデンティティの保持者は、信用スコアが上昇し、より多くの資金へのアクセスを獲得し、より大きな支払いを確保するまで、時には何年もかけてそれらを育てます。
「大部分の詐欺行為の背後にある犯罪組織は忍耐強く、破綻するまでに数か月または数年かけて合成信用枠を構築することが多い」とコンロイ氏は書いた。 「一度帳簿に載ると、合成品は信用損失として償却されることがよくあります。これは信用供与者にとって二重の打撃となります。損失を吸収するだけでなく、存在しない誰かから回収しようとして貴重なリソースを浪費することにもなります。」
検出の問題
合成本人確認の検出は、多くの場合、対面小切手を含む顧客確認 (KYC) プロセスと規制に従う金融機関に依存します。
米国では、主にマネーロンダリングに焦点を当てた銀行秘密法と米国愛国者法により、金融機関は顧客を特定し、適切な金融取引記録を維持し、不審な行為を政府機関に報告することが求められています。これらのチェックは、合成 ID の使用を検出するのに役立ちますが、金融機関はテクノロジーを使用して ID を検証し、運用コストを削減することもできます。たとえば、機械学習を使用して、予想される顧客の行動パターンを特定してモデル化し、詐欺を示す可能性のある異常な行動に対するアラートを作成することができます。
「詐欺の手口は急速に進化し続けるため、これらのツールの効果を維持するには頻繁に再調整する必要がある」と連邦準備制度理事会は述べています。 「さらに、自動融資プロセスは、詐欺師が信用を得る別の手段を提供する可能性があるため、調整や更新が必要になる可能性があります。たとえば、高い信用スコアを持つ合成融資は、機関のマーケティング キャンペーンのターゲットとなり、新しい口座の事前承認オファーを受ける可能性があります。」
合成アイデンティティの検出を困難にするもう 1 つの側面は、それが使用され育成される期間の長さです。詐欺師はアイデンティティを作成し、より高い与信限度額に達するために数か月または数年かけて管理します。連邦準備制度の分析によると、「疑わしい合成 ID アカウントの 70% は一時的に典型的な消費者の支払いパターンを示しており、検出がより困難になっています。」
残念ながら、合成個人情報詐欺の多くは、破綻段階に達し、金融機関の回収チームが債務を支払う個人を見つけることができないまで検出されません。詐欺師の成功は、詐欺行為を繰り返したり、金融機関のポリシーを自分たちに有利に利用したりすることさえ奨励する可能性があります。
連邦準備理事会によると、「財政破綻は必ずしも一度限りの出来事ではない」報告します。 「たとえば、詐欺師は金融機関に請求を取り消して信用枠を再開するよう説得するために、個人情報の盗難の対象になったと主張して支払いを倍増させることがあります。」
合成個人情報詐欺師はまた、米国公正信用報告法の審査期間を利用して「金融機関に圧倒的な数の請求を押し寄せ」、金融機関が必要な期間内に調査を完了する可能性を低下させる可能性があると連邦準備制度理事会が発見した。
「詐欺師たちは、多くの金融機関がドル価値の基準値を設定し、その数字を下回る詐欺行為の請求を自動的に解決していることを知っている」と連邦準備制度理事会は書いている。 「これらのポリシーは、調査の運用コストを削減し、正規の口座保有者に対してポジティブでシームレスな顧客エクスペリエンスを促進するために設けられています。詐欺師は、機関のしきい値を決定し、そのすぐ下の段階で取引に異議を唱えることで、検出を回避しようとする可能性があります。」
セキュリティ上の脅威
合成アイデンティティの検出は困難です。しかし、それらを作成した人々を発見し、起訴し、捕まえ、起訴し、有罪判決を下すことはさらに重要です。米国司法省、ユーロポール、その他の法執行機関は、首尾よく特定され裁判にかけられた詐欺師について報道声明を発表しているが、さらに多くの人は法廷の中に入ることがなく、犯罪の責任を問われることもない。
最近のRUSI分析では、2019 年から 2020 年の間にイングランドとウェールズで報告された詐欺事件は 370 万件あったことが判明しましたが、英国の警察対応のうち詐欺捜査に充てられているのはわずか 1% です。詐欺はテロ活動や組織犯罪への資金提供に結びついているため、これはさらに憂慮すべきことである。
「個人に対する詐欺が英国を『世界で最も安全なオンライン環境』にするという政府の目標を損なっているだけでなく、企業や金融部門に対する詐欺が英国の金融インフラとビジネスの場としての国の評判を損なっている」とジャンジェバ氏は書いた。
彼の評価は、2021 年 2 月に RUSI が発行した報告書を引用しており、この報告書では、英国における詐欺の範囲と、個人、企業、公共団体に影響を与える詐欺計画への対処の失敗が認識されている場合のセキュリティへの影響を詳細に調査しています。
レビューや個人的な経験によると、英国では被害者から詐欺が報告されても何も起こらないことが多い、と著者のウッド氏は言う。t静かな脅威: 英国国家安全保障に対する詐欺の影響ジャンジェバ、トム・キーチンジ、キース・ディッチャムといっしょ。
「強盗や強盗に遭ったら、警察の対応を期待します」と彼女は付け加えた。 「英国での詐欺被害者への調査によると、彼らは返答を期待していなかったために、わざわざ警察に通報することすらしないことがわかっています。」
また、規制に基づいて義務付けられていない限り、教育機関も認知やブランドの毀損を懸念して不正行為の報告に消極的になる可能性があるとウッド氏は言います。
しかし、詐欺はほとんどの英国国民が被害に遭う可能性が高い犯罪であり、「これまでの対応の失敗は法の支配に対する国民の信頼を損なう可能性がある」と著者らはRUSI報告書の中で説明した。 「民間部門への影響は、個々の企業の安定性とビジネスの場としての英国の広範な評判の両方に影響を及ぼします。公的資金に対する詐欺の規模は『公共サービスに対する強盗』と表現されており、政府に対する国民の信頼と信頼を損なう可能性があります。」
特に問題の 1 つは、詐欺師の責任を問うのは刑事司法制度であるというアプローチです。これは見当違いだとウッド氏は言う。
「これは私たちが阻止できる問題ではありません。詐欺に立ち向かうには混乱をベースにしたアプローチでなければなりません」とウッド氏は説明する。 「日常生活のデジタル化は、脅威が地理的に被害者がいる国とは異なる国から来ることを意味します…詐欺を阻止するには、テロや組織犯罪などの他の脅威に対して実証済みの方法を使用する必要があります。」
たとえば、RUSIは、英国の国家安全保障会議が不正行為に対処するための「システム全体」のアプローチのための委員会を設置し、不正行為に対する国家安全保障上の対応が必要であると主張している。これには、全国的な地域ネットワークによる刑事司法への対応や、相互に協力する機会が含まれます。政府の協力と民間部門の明確な役割。
RUSI の文書はまた、国家警察署長評議会が「機能統合の利点の検討を含む、警察活動における特殊詐欺とサイバー能力の間の相乗効果」を構築するための検討を委託することを提案している。
たとえば、米国は最近、米国秘密情報局が同様の措置を講じました発表済み2020 年 7 月に、サイバーを利用した金融犯罪を防止、検出、軽減するためのサイバー詐欺対策本部が創設されました。
「今日の環境では、捜査官は金融とインターネットの両方の分野、さらには各業界を支えるテクノロジーと組織の両方を理解していなければ、金融やサイバー犯罪の捜査を効果的に進めることはもはやできません。」とプレスリリースには記載されています。 「今日のシークレット サービスの捜査には、サイバーと金融の両方の分野でのスキル、テクノロジー、戦略的パートナーシップが必要です。ほぼすべてのシークレット サービスの捜査ではデジタル証拠が利用されており、悪者による技術の高度化により、複合的なサイバー利用型金融犯罪が急増しています。」
詐欺事件の捜査には警察のリソースを再投資し、再集中させることが必要である、とウッド氏は言う。なぜなら、この分野は多くの部署が専念したい分野ではないからである。
「私たちは皆、警察の番組を見たことがあるのです」と彼女は言います。 「警官は、良くも悪くも、車で人々を追いかけたり、麻薬やお金を手に入れたりするのが好きです。彼らはスプレッドシートや銀行取引明細書を調べたり、ダミー会社の複雑な網を編んだりしたくありません。セクシーなものを追いかけるのは文化的な傾向です。」
コミュニケーションの強化、脅威インテリジェンスの共有、献身的なリソース、不正調査員とサイバー専門家の官民パートナーシップはすべて、詐欺や合成 ID 詐欺の増加に総合的に対抗するために必要なツールです。
RUSIの報告書によれば、「詐欺問題の全体像に対する国民の理解には大きな欠如がある」という。 「諜報機関の任務の改善、学術研究への支援の強化、あるいは公的部門と民間部門間のデータ共有と協力の強化を通じて、詐欺が社会への脅威、組織犯罪の脅威、またはテロの資金源としてどのように現れるのかについてより戦略的な理解を得ることが、将来の対応のための新たな青写真を設計する鍵となるでしょう。」
ミーガン・ゲイツはの上級編集者ですセキュリティ管理。彼女と連絡するには[email protected]。 Twitter で彼女をフォローしてください:.