Egy új típusú személyiséglopás terjedésére hívja fel a figyelmet a Mastercard egy, a közelmúltban megjelent kiadványában. A szintetikus személyiséglopás és az ehhez kapcsolódó identitáscsalás a leggyorsabban növekvő pénzügyicsalások közé tartozik és már most milliárd dollárokban mérhető kárt okoz az Egyesült Államokban. Egy rendkívül kifinomult módszerről van szó, amely kereskedőket, bankokat és fogyasztókat egyaránt súlyosan érint.
Személyiséglopás, identitáscsalás
Az első hangzásra bizarr elnevezés a múlt század elejéig visszanyúló történelemre tekint vissza. Habár a személyiséglopás a digitalizációval és az Internet elterjedésével vált igazán népszerűvé, a személyiséglopást még fizikai formájában is előszeretettel alkalmazták bűnözők. Személyazonosság-lopásnak, identitáslopásnak is szokták nevezni, és minden esetben a személyesadatok jogtalan eltulajdonítását jelenti. Az eltulajdonított adatokat különféle módszerekkel általában pénzügyi visszaélésekre használják fel a hitelfelvételtől a kereskedők megkárosításáig. Ezt nevezzük identitáscsalásnak, amikor az eltulajdonított adatokat illegálisan anyagi előnyszerzésre használják fel.
A személyiséglopásnak több fajtája terjedt el jellemzően a megszerezni kívánt adatok fajtái, illetve azok felhasználási módja szerint. Beszélhetünk bűnügyi, üzleti, egészségügyi és szintetikus identitáslopásról is, amelyek közül utóbbi kezd egyre komolyabb fenyegetést jelenteni a pénzügyeinkre. Az Egyesült Államok egyik legnagyobb hitelinformációs ügynöksége, a TransUnion adatai szerint a szintetikus személyiséglopás éves növekedési üteme elérte a 132 százalékot 2022-ben. Ezzel a leggyorsabban terjedő pénzügyi csalási módszerré lépett elő megelőzve a hitelkártyacsalást és a mezei személyazonosságlopást. Az okozott kár is tetemes, tavaly a fedezetlen hiteltermékeknél meghaladhatta a 2.4 milliárd dollárt, 2030-ra pedig több termékcsaládot együttvéve elérheti a 23 milliárd dollárt.
Szintetikus identitáslopás
A fogalom különböző elnevezései közül a szintetikus identitáslopás ragadja meg talán legjobban a jelenséget. A fogalom mögött ugyanis egy rendkívül összetett, alapos, a legapróbb részletekig kidolgozott technika áll, amely nem csupán a személyesadatok ellopását, hanem egy fiktív digitális személyiség, egy identitás felépítését is magába foglalja. A módszer lényege, hogy különböző forrásokból, valós emberektől származó egyedi adatok felhasználásával egy új személyiséget hoznak létre.
Az adathalmaz rendszerint tartalmaz egy hivatalos nemzeti azonosítót, születési dátumot, email címet, telefonszámot és lakcímet. Tipikus példa egy ilyen módszerrel fabrikált személyiségre amikor egy társadalombiztosítási azonosítót (SSN) párosítanak egy másik személytől lopott email címmel és egy harmadik személyhez tartozó születési dátummal és lakcímmel. Az összeollózott adatokból felépített fiktív személyt nevezzük szintetikus identitásnak, amely külső szemnek valódinak tűnhet, hiszen az egyes elemei valóban azok.
A csalók következő lépése a személyiség életre keltése a digitális térben. Az igazán kifinomult bűnözők több személyiséget építenek egyszerre, akik az online térben a valódi emberekkel megegyező viselkedést mutatnak. Aktívak a közösségi médiában, e-kereskedelmi felületeken, digitális piactereken, fórumokon, online közösségekben. A cél, hogy egy hiteles, valósnak tűnő személy látszatát keltsék a virtuális térben.
Nehéz felismerni, emiatt sokáig rejtve maradhat az adatlopás
A Mastercard 4 fő okra vezeti vissza, hogy miért olyan nehéz felismerni a szintetikus identitáslopást és védekezni az identitáscsalással szemben. Az első és talán legfontosabb ok, hogy az ilyen technikát alkalmazó csalók türelmesek. Egyetlen hamis identitás felépítésére hónapokat, vagy akár éveket szánnak, időt és energiát nem spórolva. A felépített személyiséget addig gondozzák, amíg integrált részévé nem válik a digitális világnak, amely számára egy hiteles, valós személynek tűnik.
A második ok, hogy az ilyen csalók kifejezetten gyerekek adataira utaznak. Például gyerekek társadalombiztosítási számára vagy más hivatalos azonosítójára. Az Egyesült Államokban évente 1.25 millió gyerek személyesadatát lopják el, vagyis minden 50 gyerekből 1 áldozattá válik. Emiatt a szintetikus identitáslopás egy válfajaként tekintenek a gyermekidentitás-lopásra. A gyerekekhez köthető adatok két okból népszerűek. Egyrészt a gyerekeknek nincs hitelelőtörténetük, vagyis a csalók tiszta lappal indulva építhetik fel hitelképességi mutatóját a szintetizált személyiségüknek. Másrészt a gyerekek többsége 18 éves koráig nem igényel hitelterméket, így a csalók tevékenysége éveken át észrevétlen maradhat.
A csalók sajnos nem csak türelmesek de jó színészek is. A csalásnak ugyanolyan fontos, ha nem fontosabb eleme a jó szerepjáték, mint az adatok ellopása és a fiktív személyiség létrehozása. A virtuális színjáték fontos alapja a hamis identitás iránti bizalom erősítésének. A szintetikus identitásokkal szemben a hagyományos adatlopások elleni technikák nem hatékonyak. Más személyazonosság-lopások esetén a csalók gyorsan cselekednek, mert rövid idő áll rendelkezésükre a lebukás előtt. Ez az új típusú csalás a hosszadalmas és kimunkált felépítése miatt azonban teljesen más mintázatot követ, így a régebbi módszerektől eltérő jelzések alapján lehet csak azonosítani.
Pénzügyi csalások fiktív identitással
A fiktív személyiségek különféle pénzügyi csalásoknál vethetők be. Az egyik legtipikusabb és leggyakoribb a hitelkártya vagy banki kölcsön igénylés. A csalók rendszerint egy személyiséggel több igénylést is beadnak, és egy csaló általában rengeteg szintetikus identitással rendelkezik. Így egyetlen bűnöző akár több száz vagy ezres nagyságrendben tud igényléseket beadni. Még akkor is jelentős összegeket képes ezzel a módszerrel a hitelezőktől ellopni, ha az igénylések döntő részét sikeresen kiszűrik.
Egy másik jellemző csalási módszer az e-kereskedelmet érinti. Az ún. háromszögelési csalásnál egyetlen szélhámos egyetlen ügyletben másik két felet, egy kereskedőt és egy vásárlót is átver. A csaló egy online piactéren nyit egy fiókot a szintetizált identitásával, ahol használt termékeket tud értékesíteni. Az értékesíteni kívánt termékeket vagy lopott, vagy csalás útján megszerzett hitelkártyával vásárolja meg. A gyanútlan vevői nem tudják, hogy a vásárolt termékekhez csalárd módon jutott hozzá, a kereskedő pedig előbb vagy utóbb pénzvisszatérítési kérelemmel nézz majd szembe a csalárd hitelkártya tranzakció miatt.
Mastercard Identity, fellépés a csalók ellen
Mind a szintetikus identitáslopás, mind pedig az identitáscsalás ellen rendkívül nehéz védekezni. A csalók kifinomult adatlopó technikái miatt a lopás ténye sokáig rejtve maradhat, az ellopott identitással végrehajtott csalás után pedig szinte lehetetlen a valós bűnelkövetőt beazonosítani. A Mastercard a megoldást elsősorban viselkedés elemzésben, az adat validálásban, a valószínűség alapú kockázatelemzésben és a több szintű védelem kiépítésében látja.
Az ellopott adatokat gyakran több személyiség felépítésénél is felhasználják, vagyis újrahasznosítják. Ez lehetőséget teremt az adatok megfigyelésére, több helyen való felbukkanásuk kiszűrésére, és ezáltal a hamis identitások azonosítására. A legtöbb adat, mint az email cím, lakcím, telefonszám vagy akár a név időben változhat. A dinamikusan változó adatok időbeni megfigyelése és elemzése is segíthet a hamis identitások kiszűrésében. Mivel a szintetizált identitások több adatforrásból épülnek fel, ezért az összkép elemzése kiemelten fontos a védekezésben. Ha az összepárosított adatokban inkonzisztenciát látunk, akkor érdemes az adott személyt magas kockázatúként értékelni.
A Mastercardon belül a Mastercard Identity foglalkozik a személyiséglopások és az identitáscsalás kiszűrésével. A csalókkal szembeni fellépésük egyik kulcseleme, hogy a szintetizált identitásra egy komplex entitásként tekintenek, amely a DNS-hez hasonlóan mindenhol nyomot hagy maga után. A fiktív személyiségek felkutatására két különálló adatbázist hoztak létre. Az Identity Graph adatbázisuk harmadik feles szolgáltatók adatait felhasználva a személyesadatok összekapcsolódását elemzi és validálja. Az Identity Network az adatok online megjelenését vizsgálja és viselkedésmintákat párosít hozzájuk. Egy csaló úgyis lebuktathatja szintetikus identitását, ha annak viselkedése jelentősen eltér az adat eredeti tulajdonosától.
A Mastercard Identity bankokat, kereskedőket és végfelhasználókat köt össze a digitális térben világszerte. Különböző azonosítókkal, biometrikus és más személyesadatokkal felvértezve, gépi tanulást alkalmazva segíti ügyfeleit a szintetikus identitáscsalás elleni harcban. A számlanyitástól, az adatváltoztatásokon át a fizetési folyamat validációjáig minden lehetséges ponton védelmet nyújt a vállalatoknak mind a fizetési, mind pedig az elfogadói oldalon.
Források: Mastercard, ujbtk.hu
Címlapkép: depositphotos