Betrugs- und Sicherheitsabteilungen ziehen im Kampf gegen “synthetische Identitäten” an einem Strang

Cyber Security News

Finanzministerin Janet Yellen, die unter der Obama-Regierung auch als Vorsitzende der Federal Reserve fungierte, spricht während einer täglichen Pressekonferenz am 7. Mai in Washington, DC. Die Fed hat kürzlich eine formale Definition für synthetischen Identitätsbetrug erstellt. (Foto: Alex Wong/Getty Images)

Die US-Notenbank hat kürzlich eine formale Definition für synthetischen Identitätsbetrug erstellt, ein Prozess, an dem ein Komitee von einem Dutzend externer Experten beteiligt war, das neun Monate lang tagte.

Was ist es also? Nach der Definition der Fed ist synthetischer Identitätsbetrug die Verwendung von künstlich konstruierten Identitäten, gefälschten oder nicht übereinstimmenden persönlichen Daten, um Organisationen zu betrügen. Obwohl sich die Fed in erster Linie mit dem Finanzsektor beschäftigt, kann der Ansatz gegen eine Vielzahl von Branchen eingesetzt werden, von Versicherungen bis zum Gesundheitswesen.

Greg Woolf, Gründer von FiVerity, das einen Machine-Learning-Ansatz zum Aufspüren synthetischer Identitäten entwickelt hat, sagt, dass das Verständnis synthetischer Identitäten nicht nur ein Thema für die Betrugsabteilungen der Institute ist, sondern auch für die Chief Information Security Officers.

SC sprach mit Woolf, der auch Mitglied des Definitionskomitees ist, über den Betrug und was Sicherheitsverantwortliche beachten sollten.

Für die meisten CISOs scheinen synthetische Identitäten ein Thema zu sein, mit dem sich die Betrugsabteilung allein beschäftigen muss. Warum sollten sich CISOs damit befassen?

Es gibt eine übergreifende Konvergenz von Cyber und Betrug. Die digitale Transformation hat neue Möglichkeiten für Betrüger geschaffen. Die Betrugsabteilung und Cyber [team] müssen bei dieser Art von raffinierten Hacks zusammenarbeiten.

Es handelt sich nicht nur um schlechtes Underwriting. Sie in der Kreditvergabeabteilung und der Betrugsabteilung zu belassen und sie als schlechte Kredite anzukreiden, ist falsch und hat weitreichende Folgen nicht nur für die Finanzbranche. [indutsry], sondern auch aus Sicht der nationalen Sicherheit.

Ich war neulich auf einem Podium und jemand fragte mich: “Sind wir den Betrügern also einen Schritt voraus?” Und unsere Antwort war: “Nein. Das Beste, was wir tun können, ist, sie zu verfolgen, weil sie sich ständig an das anpassen, was wir tun.” Es ist fast so, als würde unsere KI gegen ihre KI kämpfen. Sie nutzen ihre Automatisierung und verändern sich mit der Zeit.

Was genau ist also synthetischer Identitätsbetrug und warum ist es so wichtig, dass die Fed eine formale Definition herausgegeben hat?

Kurz gesagt, die Art und Weise, wie synthetische Identitäten funktionieren, ist, dass Hacker das Dark Web durchforsten, sie kombinieren mehrere Elemente kompromittierter Identitäten – also Ihren Namen, mein Geburtsdatum, “Roberts” Sozialversicherungsnummer – und sie erstellen diese gefälschte Persona. Und diese gefälschten Konten werden im Wesentlichen dazu verwendet, Banken um Milliarden von Dollar zu betrügen. Und während diese Konten offensichtlich aus finanzieller Sicht enormen Schaden anrichten, können sie auch für andere ruchlose Aktivitäten genutzt werden, da sie einer Person eine Fassade für Aktivitäten wie Menschenhandel und Geldwäsche bieten.

Der Grund, warum die Fed diese Definition aufgestellt hat, ist also, dass es sich um ein ausgeklügeltes Cyberverbrechen handelt: Cyberbetrug. Und laut der Fed schlüpften mehr als 85% der Synthetics durch die Maschen der traditionellen, regelbasierten Systeme. Ein Teil des Problems war, dass es keine Standarddefinition gab, was es ist. Ein anderer Teil war, dass es außer der Bank kein weiteres Opfer gibt. Wenn jemand Ihre Kreditkarte stiehlt, wissen Sie davon, sobald Sie Ihre nächste Abrechnung erhalten – aber nicht bei einer gefälschten Person. Das Ziel der Fed ist es, eine standardisierte, effiziente Definition zu schaffen, um alle auf die gleiche Seite zu bringen, so dass die Industrie zu diesem W. Edward Demming, “Wenn man es messen kann, kann man es managen”, Punkt kommen könnte.

Führen Sie uns durch den Prozess der Entwicklung dieser Definition.

Die Fed hat 12 Branchenexperten einberufen, einige Leute aus der Technologiebranche wie mich, einige von den Kreditauskunfteien, einige von großen Finanzinstituten, einige von den großen Kreditkartenunternehmen. Das Ziel war es, eine standardisierte Definition zu finden. Was wir im Laufe des Prozesses entdeckten, war, dass viele Banken ohne eine Standarddefinition diese Art von Betrug einfach als schlechtes Underwriting, als Kreditverluste bewerteten. Das ist zwar finanziell schädlich für sie, aber es unterschätzt auch die Bedeutung und Wichtigkeit der Tatsache, dass es sich tatsächlich um eine kriminelle Aktivität handelt.

Das erste Ziel war also zu definieren, was es ist. Das zweite Ziel war zu definieren, wo es verwendet wird.

Wo wird es verwendet?

Es wird für eine Reihe von verschiedenen Zwecken verwendet. Es wird für die Kreditreparatur verwendet, wo Leute einen schlechten Kredit haben und sie verwenden eine synthetische Identität, um das zu verbessern. Es gibt Leute, die kommen als illegale Einwanderer, sie versuchen nur, mit der legitimen Identität auszukommen und zu leben. Und dann ist natürlich das große Kapital für die Finanzierung oder Finanzierung für kriminelle Aktivitäten, die die Mehrheit der Motivation ist.

Sie sagten, 85% der synthetischen Identitäten werden nicht erwischt. Warum ist das so hoch?

Die Herausforderung besteht natürlich darin, dass Betrüger eine Menge Automatisierung verwenden, um diese Konten zu generieren, und sie sehen sehr real aus. Sie erstellen diese Profile, die sehr realistisch aussehen, und sie beginnen mit der Aufnahme eines kleinen Kredits, und dann zahlen sie im Laufe der Zeit die Schulden zurück und bauen so ihren Kredit im System auf. So sehen sie vordergründig wie der perfekte Kunde aus. Betrüger wissen, wie weit sie ihre Guthaben beim Finanzinstitut aufstocken können, bevor sie “ausbrechen”, und sie wissen, ab welchem Punkt es zu verdächtig wird.

Sie spielen das lange Spiel. Sie können sich sechs bis 12 Monate Zeit nehmen, um diese Profile zu erstellen, und sie sehen wie großartige Kunden aus. Der Grund, warum die bestehende Technologie sie nicht abfängt, ist, dass die meisten Betrugserkennungslösungen regelbasiert sind und einfach nicht die Raffinesse und die Anpassungsfähigkeit haben, um die Muster zu erkennen, die die Täter verwenden, um diese gefälschten Identitäten zu erzeugen und zu erstellen.

Wir schauen uns 25 bis 30 verschiedene Datenpunkte an. Wir begannen mit einer Wirksamkeitsrate von 20 %, was bedeutet, dass bei einem von fünf Krediten [we were notified] “Hey, dieser Kredit sieht verdächtig aus.” Unsere Bankkunden sagten, dies sei etwas, das durch die Maschen gerutscht wäre. Im 1. Quartal 2021 fanden wir heraus, dass es eine 50%ige Wirksamkeitsrate ist. Das bedeutet für mich erstens, dass sich der Algorithmus verbessert, aber zweitens, dass sich das Problem beschleunigt.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com