זהויות סינתטיות: איום עולה בזירת שירותי האשראי המקוונים בארה"ב

בשנתיים האחרונות, ישנה עלייה חדה בארצות הברית בשימוש בשיטה חדשה-ישנה לגניבת זהות ולביצוע הונאה בערוצים מקוונים: השימוש ב"זהויות סינתטיות" (Synthetic Identities). דהיינו, זהויות המשלבות פרטים גנובים עם פרטים מזוייפים, בכדי ליצור זהות דיגיטלית פיקטיבית. על-פי מחקר עדכני של Aite Group, בשנת 2017 ההפסדים למנפיקי כרטיסי אשראי משיטה זו נאמדו בכ-820 מיליון דולרים, המשקפים עלייה של כ-41% בתקופה של 24 חודשים.

דו"ח זה גם העריך שההפסדים הישירים יגיעו לכ-1.26 מיליארד דולר עד 2020. אף על פי שמדובר בנתונים אסטרונומיים, הערכות אלו נחשבות שמרניות כיוון שמדובר באיום סייבר חמקמק וקשה מאד לזיהוי.

למעלה: מחולל זהויות פיקטיביות וסינתטיות בדארקנט. עם הזנה של פרטים בודדים ניתן לקבל זהות דיגיטלית חדשה הכוללת פרטים אישיים כמו שם מלא, תאריך לידה, שמות משתמש וסיסמאות, דוא"ל, מספר כרטיס אשראי גנוב, מספר ביטוח לאומי גנוב (מסומן באדום), דרכון ועוד. מקור: BioCatch/דניאל שקדי.

מהי הונאת זהות סינתטית?

זהות סינתטית היא בעצם זהות פיקטיבית חדשה שנוצרה משילוב של מידע אישי (אמיתי) שנגנב, ביחד עם מידע מפוברק. לרוב, עברייני הסייבר רוכשים מידע גנוב בדארקנט כגון מספרי ביטוח לאומי (Social Security Numbers), בדרך כלל של ילדים קטנים שאין להם עדין היסטוריית או דירוג אשראי, ומשלבים אותו עם פרטים מזוייפים כמו: שם פרטי ומשפחה, כתובת דואר אלקטרוני, מספר טלפון, תאריך לידה וכתובת מגורים.

בעזרת זהויות סינתטיות ניתן לבצע הונאה מקוונת בשלוש שיטות עיקריות:

בקשה ישירה לקבלת אשראי:

הנוכל מגיש בקשה ישירה לקבלת אשראי ממנפיקות כרטיסי אשראי או מלווים דיגיטליים אחרים. מערכות האימות של חברות האשראי מזהות את הבקשה כלגיטימית, ככזו שמקורה במשתמש חדש שאין לו היסטוריית אשראי. לאחר קבלת הבקשה, נפתח לנוכל תיק דיגיטלי של היסטוריית אשראי שיוכל להשתמש בו בפתיחת חשבונות נוספים ואף בבניית דירוג אשראי חיובי. בנוסף, לאחר אישור הנוכל יוכל גם לקבל אשראי מיידי של כ-$500 עד $1000 דולרים.

תרמית הוספת מורשה לחשבון:

מנפיקי כרטיסי אשראי מאפשרים ללקוחות להוסיף מורשים נוספים לחשבון האשראי, בדרך-כלל בני משפחה. בעזרת התקפות סייבר דוגמת השתלטות מרחוק או "הנדסה חברתית" (Social Engineering), הנוכל מוסיף את הזהות הסינתטית שלו כמורשה נוסף לחשבון. לאחר תקופה קצרה, הזהות הסינתטית מוסרת מהחשבון, אך לאחר מכן ציון האשראי החיובי של הקורבן מיוחס גם לזהות הסינתטית שצורפה כמורשה. בעזרת הזהות הפיקטיבית וציון אשראי גבוה שנגנב, הנוכל יכול להגיש בקשות רבות לקבלת אשראי מבנקים, חברות אשראי ומלווים אחרים בסכומים גבוהים של אלפי דולרים.
בניית חברות קש:

בעזרת הזהות הסינתטית, הנוכל יכול לפתוח חברות קש. עם הזמן, ציון האשראי של חברת הקש ישתפר ויאפשר לנוכל לקבל מסגרות אשראי גבוהות יותר מבנקים, חברות אשראי ומלווים אחרים.

עבריין רשת מתייעץ בפורום בדארקנט על הדרכים היעילות ביותר לבצע הונאת אשראי בעזרת זהויות פיקטיביות או סינתטיות (מסומן באדום). מקור: BioCatch/דניאל שקדי.

על פי נתונים של Experian, ההפסד הממוצע לחשבון בודד כתוצאה מהונאת זהות סינתטית היא כ-6,000 דולרים. לפיכך, פוטנציאל הנזק הישיר (הלוואות שלא יוחזרו) כמו גם פוטנציאל הנזק העקיף (פרמיות גבוהות יותר, נזקי מוניטין, ירידה בתפוקה ועוד) לפרטים ולעסקים הוא עצום.

המלחמה בזהויות סינתטיות רק החלה

עושה רושם שהשחקנים במגזר הפיננסי בארצות הברית, כמו גם הממשל הפדרלי, מתחילים להפנים כי מדובר באיום רציני ביותר. ברמה הפדרלית, הקונגרס האמריקאי העביר השנה את החוק: Economic Growth, Regulatory Relief and Consumer Protection Act. סעיף 215

בחוק זה מורה על פיתוח של שיטות ומערכות לביצוע הצלבה יעילה יותר של שמות, מספרי ביטוח לאומי ותאריכי לידה. ברמה הארגונית, לשכות דירוג האשראי, חברות כרטיסי אשראי, בנקים ועוד מוסדות פיננסיים מאמצים כלים חדשניים בתחום אבטחת המידע כדי להילחם באיום זה. טכנולוגיות אלו כוללות מנועי אימות מבוססי למידת-מכונה, זיהוי ביומטרי, ביומטריה התנהגותית ועוד. ברמת הפרט, המודעות לנושא גוברת, וכן ניתן לראות גידול בערוצים עבור אזרחים אמריקניים (גם בישראל) לבדוק מול הרשויות האם בוצעו שימוש לרעה בפרטיהם האישיים או גניבת זהות.

לסיכום, אימות דיגיטלי הופך למשימה מורכבת ביותר, הדורשת יותר קישוריות בין ערוצים מקוונים, מערכות אימות ומאגרי מידע. איומים כמו זהויות סינתטיות מדגישים את הצורך בניתוח מדויק של הקשרים שבין פיסות המידע המרכיבות את ה"זהות הדיגיטלית", תוך שמירה מקסימלית על פרטיות הצרכנים ועל חווית משתמש אופטימלית. לפיכך, ניתן לצפות כי גם ברמת היחיד, הארגון והמדינה, מאמצים אלו יעלו מדרגה בשנים הקרובות.

הכותב הוא מנהל תמיכה עסקית גלובלית ב-BioCatch.