0
0
Em 2022, as instituições financeiras dos EUA e o setor de cartões de crédito perderam cerca de US$ 4,88 bilhões para identidades sintéticas por meio de contas de depósito falsificadas e cartões de crédito não garantidos. Isso ocorre porque os procedimentos legados de prevenção de fraude geralmente falham no esforço de se defender contra essa ameaça crescente.
Como resultado, grupos criminosos cada vez mais sofisticados estão usando essas técnicas não apenas para atingir instituições financeiras, mas também agências governamentais e empresas tão diversas quanto empresas de telecomunicações, empresas de jogos online e empresas de administração de propriedades.
As muitas faces da fraude de identidade sintética
As táticas dos fraudadores de identidade sintética variam muito, assim como as definições do próprio crime. Na verdade, não existe uma definição universalmente aceita de fraude de identidade sintética, em parte porque esse tipo de fraude geralmente se sobrepõe à fraude primária e ao roubo de identidade. No entanto, o denominador comum é a criação de identidades fictícias — desenvolvidas do zero usando elementos de dados totalmente fabricados ou (mais frequentemente) manipulando ou combinando vários elementos de identidade roubados para formar novas identidades, que são então usadas para atividades fraudulentas.
Em um exemplo típico, um fraudador pode roubar um número de Seguro Social genuíno (de uma pessoa falecida ou de uma criança ou adulto que provavelmente não verificará seu relatório de crédito pessoal) e combiná-lo com as informações de contato de outra pessoa para solicitar crédito. Embora a primeira solicitação provavelmente seja negada, essa negação criará um perfil para a pessoa falsa no sistema de relatórios de crédito, legitimando assim a identidade sintética .
O fraudador continuará tentando até que alguém – talvez um varejista ou uma pequena instituição financeira com processos de verificação de identidade menos sofisticados – conceda a solicitação. A partir daí, as quadrilhas do crime organizado irão construir pacientemente essas novas identidades ao longo do tempo, usando o crédito inicial de forma responsável para aumentar constantemente suas pontuações de crédito e obter acesso a mais e mais crédito até que “explodam” e desapareçam com os fundos.
Existem também alguns outros pontos de entrada no sistema de relatórios de crédito. Esses incluem:
- Inscrever-se para um imóvel alugado ou telefone celular (ambos têm a vantagem adicional de ajudar o fraudador a passar por medidas de autenticação intensificadas)
- Adicionar um usuário autorizado a uma linha de crédito existente (conhecido como trampolim) ou
- Solicitar um cartão de crédito garantido (que geralmente envolve uma avaliação de risco menos rigorosa por parte do emissor).
As contas de depósito também são visadas por fraudadores de identidade sintética, não apenas para cometer fraudes de depósito ou ACH, mas também para acessar produtos de crédito. Os controles de fraude em contas de depósito geralmente são menos rigorosos e, depois que um criminoso estabelece uma conta de depósito, pode ser oferecida uma conta de crédito com pouca verificação de identidade.
Uma vez que a linha de crédito de uma identidade sintética está nos livros de uma organização e o fraudador “está fora”, a fraude geralmente é descartada como uma perda de crédito – uma perda que é exacerbada pelo desperdício de recursos tentando cobrar de alguém que não existe. Para as instituições financeiras, a situação também representa um risco de conformidade com o Know Your Customer, pois os reguladores podem ver as organizações com muitos sintéticos em seus livros como tendo processos de verificação de identidade inadequados.
Reduzindo o impacto dos sintéticos
O que pode ser feito para combater o flagelo da fraude de identidade sintética? No nível da indústria, credores e agências de crédito devem se unir para desenvolver uma abordagem padrão para identificar, classificar e relatar identidades sintéticas. As empresas visadas também precisam compartilhar dados, pois os criminosos usam suas identidades sintéticas em (e muitas vezes fraudam) muitas organizações diferentes à medida que constroem seus históricos de crédito. A formação de um consórcio para compartilhar inteligência pode trazer à tona padrões suspeitos de atividade mais cedo, provavelmente reduzindo o risco de perdas maciças.
Em um nível organizacional, uma estratégia de detecção multifacetada é altamente recomendada. As empresas precisam implementar soluções de verificação de identidade que combinem dados online e offline para examinar de forma abrangente os sinais de risco, como biometria de comportamento do dispositivo, identidade e reputação do dispositivo, posse e reputação de e-mail, posse e reputação de telefone celular, padrões de uso de informações de identificação pessoal e posse e atividade em plataformas de mídia social.
Fraudadores sofisticados criam e organizam – às vezes por muitos anos – perfis de mídia social para suas identidades sintéticas para vencer os processos de avaliação de risco de fraude de credores que avaliam a presença de mídia social dos candidatos. Mas as identidades sintéticas ainda têm características que podem gerar sinais de alerta, como a falta de elementos lineares típicos da história do consumidor (digamos, uma carteira de motorista) ou nenhuma evidência de contatos do mundo real com a suposta família e amigos em seus perfis de mídia social.
A abordagem tradicional de verificação de elementos de identidade individuais é inadequada porque cada dado pode estar tecnicamente correto por conta própria (um número de CPF legítimo, endereço, número de telefone, etc.) o endereço físico reivindicado). Em vez disso, as organizações precisam avaliar cada marcador de identidade em combinação com todos os outros e avaliar a força dos vínculos entre eles. Identificar a frequência com que os vários dados se conectam e há quanto tempo essas ligações existem ajuda a permitir que uma pontuação de risco seja atribuída corretamente a cada interação.
Se todos os pontos de dados forem consistentemente vinculados a uma única identidade estável ao longo do tempo, a organização poderá classificar a interação como de baixo risco. Se as conexões forem mais tênues, a organização pode sinalizar a interação para um exame mais detalhado.
Essas soluções ajudam as organizações a se protegerem com mais eficiência contra fraudes de identidade sintética não apenas na origem da conta, mas durante todo o relacionamento com o cliente — e podem, assim, ajudar a combater invasões de contas com base no roubo de identidade tradicional também .
E como benefício adicional, uma compreensão mais integrada da identidade pode melhorar a experiência do usuário para clientes legítimos. Permitir a identificação positiva imediata nos bastidores dos clientes recorrentes permite que eles provavelmente evitem processos de autenticação complicados e demorados.
Um crime evitável
A fraude de identidade sintética é um dos problemas mais desafiadores enfrentados pelos profissionais de prevenção de fraudes, mas com as ferramentas certas e uma abordagem atualizada – e, idealmente, coordenação aprimorada entre credores e agências de crédito – até mesmo as identidades fictícias criadas com mais cuidado podem ser detectadas. As organizações que vão além da abordagem de “lista de verificação” para verificação e adotam uma visão integrada de identidade estarão muito melhor posicionadas para entender quem está do outro lado de qualquer transação, permitindo que sinalizem rapidamente interações suspeitas e evitem perdas de crédito.
FONTE: HELPNET SECURITY