Fraude de Identidade Sintética: A Ameaça em Evolução (PT-PT)

O que é Fraude de Identidade Sintética? A fraude de identidade sintética envolve a criação de identidades falsas, combinando informações pessoais reais e falsas para explorar sistemas e cometer crimes financeiros.

Como são Criadas as Identidades Sintéticas? São construídas utilizando dados roubados (como números de segurança social) e detalhes fabricados (nomes, moradas, datas de nascimento) para parecerem legítimas aos sistemas de verificação.

Porque é uma Ameaça Crescente? IA e botnets sofisticadas permitem a criação rápida destas identidades complexas e difíceis de detetar, contornando as medidas tradicionais de KYC.

Estratégias de Deteção A deteção avançada de fraude baseia-se na análise de atributos de identidade, padrões de comportamento e ligações de rede, indo além das simples verificações de dados.

Compreender a Fraude de Identidade Sintética

No panorama em constante evolução do cibercrime, a fraude de identidade sintética emergiu como uma ameaça particularmente insidiosa. Ao contrário do roubo de identidade, onde um criminoso usa uma única identidade roubada, a fraude de identidade sintética envolve a criação de identidades totalmente novas e fabricadas. Estas não estão ligadas a nenhum indivíduo real, mas são construídas juntando fragmentos de informações pessoais reais com dados inteiramente fictícios. O objetivo é construir um perfil aparentemente legítimo que possa passar pelos sistemas de verificação, muitas vezes com o propósito de abrir contas fraudulentas, obter crédito ou envolver-se noutras atividades financeiras ilícitas.

Estas identidades Frankenstein representam um desafio significativo para as empresas porque são concebidas para contornar os processos tradicionais de Conheça o Seu Cliente (KYC) e Antirroubo de Dinheiro (AML). Ao utilizar uma mistura de pontos de dados válidos e inválidos, os criminosos podem enganar os sistemas de verificação automatizados que dependem da correspondência de campos de dados específicos. Por exemplo, uma identidade sintética pode usar um Número de Segurança Social (SSN) válido obtido através de violações de dados, combinado com um nome, morada e data de nascimento fabricados. Esta combinação pode parecer legítima para muitas bases de dados, especialmente se os dados forem introduzidos gradualmente ou usados para construir um histórico de crédito ao longo do tempo.

A sofisticação das identidades sintéticas significa que são frequentemente usadas para operações de fraude em larga escala. Os criminosos podem gerar milhares destas personas usando ferramentas automatizadas e botnets, tornando difícil para as empresas identificá-las e bloqueá-las. Este tipo de fraude pode levar a perdas financeiras significativas para credores, retalhistas e instituições financeiras, bem como prejudicar a sua reputação e aumentar o escrutínio regulamentar.

A Criação de Identidades Frankenstein

A construção de uma identidade sintética é um processo de várias etapas, aproveitando frequentemente dados obtidos de várias fontes. Os principais componentes incluem:

• Informações de Identificação Pessoal (PII) Reais, mas Comprometidas: Isto envolve tipicamente dados roubados como Números de Segurança Social (SSNs), datas de nascimento ou nomes de solteira da mãe. Estes são frequentemente adquiridos através de violações de dados em larga escala.
• Detalhes Pessoais Fabricados: Os criminosos criam nomes, moradas, números de telefone e endereços de e-mail falsos. Estes detalhes são feitos para parecerem plausíveis e podem até ser usados para estabelecer uma pegada digital rudimentar, como um perfil falso nas redes sociais ou uma caixa postal registada.
• Construção Gradual: As identidades sintéticas não são frequentemente usadas para fraude imediata em larga escala. Em vez disso, os criminosos podem primeiro usá-las para fazer pequenas compras, solicitar pequenas linhas de crédito ou realizar outras atividades de baixo risco para estabelecer um histórico de crédito e ganhar legitimidade aos olhos dos sistemas financeiros.

O processo é cada vez mais automatizado. Botnets avançadas e ferramentas de IA podem gerar rapidamente um grande número de identidades sintéticas, gerir a sua presença digital e até prever quais as combinações de dados com maior probabilidade de passar nos controlos de verificação. Esta automação permite que os fraudadores escalem as suas operações exponencialmente. Por exemplo, uma única violação de dados que exponha milhões de SSNs pode tornar-se a base para inúmeras identidades sintéticas, cada uma potencialmente levando a uma conta ou empréstimo fraudulento.

O desafio para a deteção de fraude reside no facto de que muitos pontos de dados individuais dentro de uma identidade sintética podem ser perfeitamente válidos por si só. Um SSN pode pertencer a uma criança que não tem histórico de crédito, ou uma morada pode ser uma morada residencial válida. É a combinação e o contexto destes pontos de dados que revelam a natureza fraudulenta da identidade. Isto torna a validação simples de dados insuficiente.

O Impacto do Bypass de KYC e da Fraude Sofisticada

A fraude de identidade sintética representa uma ameaça significativa porque ataca diretamente o cerne da confiança nas transações digitais: a verificação de identidade. Quando os fraudadores criam com sucesso identidades Frankenstein que contornam protocolos KYC rigorosos, as consequências são graves:

• Perdas Financeiras: Os fraudadores usam estas identidades para abrir linhas de crédito, contrair empréstimos e fazer compras fraudulentas, deixando as empresas a absorver as perdas quando estas contas inevitavelmente entram em incumprimento. A Association of Certified Fraud Examiners (ACFE) estima que a fraude de identidade custa às empresas milhares de milhões de dólares anualmente, sendo a fraude de identidade sintética um dos principais contribuintes.
• Aumento dos Custos Operacionais: A deteção e gestão da fraude de identidade sintética exigem ferramentas mais sofisticadas e processos de revisão manual, aumentando as despesas operacionais. As empresas podem precisar de investir em análises avançadas, modelos de machine learning e equipas dedicadas à investigação de fraudes.
• Danos à Reputação: Uma alta taxa de fraude pode prejudicar a reputação de uma empresa, levando à desconfiança dos clientes e a potenciais penalizações regulamentares.
• Escrutínio Regulamentar: As instituições financeiras estão sob pressão crescente para prevenir fraudes e lavagem de dinheiro. O uso bem-sucedido de identidades sintéticas pode levar a multas e sanções se as medidas de conformidade forem consideradas inadequadas.

A capacidade destas identidades de contornar mecanismos de bypass de KYC significa que as empresas não podem confiar apenas nos métodos tradicionais. Um sistema que apenas verifica se um SSN é válido ou se um nome corresponde a uma morada é facilmente enganado. A fraude precisa de ser detetada não apenas pela presença de dados válidos, mas pela ausência de padrões esperados ou pela presença de sinais contraditórios. Por exemplo, uma identidade com um SSN válido mas uma morada muito recente ou não verificada, combinada com a falta de histórico de crédito ou contas de serviços públicos associados, pode ser um sinal de alerta.

Estratégias Avançadas de Deteção de Fraude

Combater a fraude de identidade sintética requer uma abordagem em várias camadas que vai além das verificações básicas de dados. Estratégias eficazes de deteção de fraude aproveitam análises avançadas, machine learning e análise comportamental:

• Biometria Comportamental: Analisar como um utilizador interage com um website ou aplicação – a sua velocidade de digitação, movimentos do rato, padrões de navegação – pode revelar anomalias indicativas de atividade de bot ou fraude scriptada.
• Análise de Rede: Mapear as relações entre utilizadores, dispositivos, endereços IP e outros identificadores pode revelar redes de identidades sintéticas a serem operadas pelos mesmos fraudadores. Isto envolve procurar atributos partilhados em contas aparentemente não relacionadas.
• Impressão Digital do Dispositivo: Recolher e analisar informações do dispositivo (SO, navegador, resolução do ecrã, fontes instaladas) pode ajudar a identificar dispositivos falsificados ou virtuais comumente usados em esquemas de fraude.
• Deteção de Anomalias com Potência de IA: Modelos de machine learning podem ser treinados em vastos conjuntos de dados para identificar padrões e anomalias que são demasiado subtis para análise humana. Estes modelos podem sinalizar combinações de dados suspeitas, comportamentos de aplicação invulgares ou desvios de perfis de clientes típicos.
• Análise de Ligações: Ligar pontos de dados através de diferentes passos e sistemas de verificação. Por exemplo, se um endereço IP usado para uma aplicação foi anteriormente associado a atividade fraudulenta, ou se um dispositivo foi usado para solicitar várias contas com PII diferentes.
• Enriquecimento de Dados: Aumentar os dados da aplicação com fontes externas (por exemplo, registos públicos, redes sociais, agências de crédito) para construir uma imagem mais completa do candidato e identificar inconsistências.

Por exemplo, um sistema sofisticado pode sinalizar uma candidatura se detetar um SSN válido associado a um endereço de e-mail recém-criado, um número de telefone descartável e um endereço IP com origem numa região de alto risco, tudo dentro de um curto período de tempo. A combinação destes fatores, mesmo que cada um seja tecnicamente válido, cria um forte sinal de fraude de identidade sintética.

Como a Didit Ajuda a Combater a Fraude de Identidade Sintética

A plataforma de identidade tudo-em-um da Didit foi concebida especificamente para combater ameaças sofisticadas como a fraude de identidade sintética e o bypass de KYC. Ao integrar múltiplos módulos de verificação e alavancar IA avançada, a Didit fornece uma defesa robusta contra identidades Frankenstein.

• Verificação Abrangente de Identidade: A Didit combina verificação de documentos, autenticação biométrica e deteção de vivacidade para garantir que o indivíduo por trás da candidatura é real e corresponde aos documentos fornecidos. Isto torna mais difícil que identidades sintéticas com documentos fabricados passem.
• Sinais Avançados de Fraude: A nossa plataforma inclui análise de IP e inteligência de dispositivos que capturam e analisam silenciosamente sinais de risco durante o processo de verificação. Isto ajuda a identificar origens suspeitas e comportamentos de dispositivos associados a fraudes automatizadas.
• Pesquisa Facial 1:N: Este módulo é crucial para detetar identidades sintéticas. Permite que as empresas pesquisem a selfie de um novo utilizador contra a sua base de dados existente de utilizadores verificados. Se um ator fraudulento tentar criar várias contas usando identidades sintéticas ligeiramente diferentes, mas o mesmo rosto ou um rosto semelhante, esta funcionalidade pode sinalizar o duplicado.
• Orquestração de Fluxos de Trabalho: O construtor visual de fluxos de trabalho da Didit permite às empresas criar fluxos de verificação personalizados que incorporam múltiplas camadas de controlos. Por exemplo, um fluxo pode começar com verificação básica de ID, seguida de deteção de vivacidade e, em seguida, se determinados sinais de risco forem levantados (por exemplo, da análise de IP), pode acionar automaticamente verificações adicionais ou revisão manual, criando efetivamente uma defesa dinâmica contra táticas de fraude em evolução.
• Enriquecimento e Cruzamento de Dados: Embora não seja um módulo independente, a arquitetura da Didit permite a integração e o cruzamento de vários pontos de dados. Ao combinar informações de documentos de identidade, selfies, endereços IP e dados de dispositivos, a Didit pode identificar inconsistências que são características de identidades sintéticas.

Ao fornecer uma plataforma unificada que consolida estas capacidades, a Didit reduz a complexidade e o custo associados à implementação de medidas avançadas de deteção de fraude. Isto capacita as empresas a protegerem-se de perdas financeiras e a manterem a confiança nas suas plataformas digitais.

Perguntas Frequentes

Qual é a diferença entre roubo de identidade e fraude de identidade sintética?

O roubo de identidade ocorre quando um criminoso rouba e usa as informações pessoais de um indivíduo real. A fraude de identidade sintética envolve a criação de uma identidade falsa nova, combinando dados roubados reais com detalhes fabricados. A identidade sintética não pertence a nenhuma pessoa real.

Como podem as empresas detetar identidades sintéticas?

A deteção envolve procurar inconsistências e anomalias que a validação simples de dados não deteta. Os métodos chave incluem a análise de biometria comportamental, ligações de rede, impressões digitais de dispositivos, deteção de anomalias impulsionada por IA e cruzamento de dados através de múltiplos passos de verificação. Funcionalidades como a pesquisa facial 1:N também são vitais.

A fraude de identidade sintética é um problema crescente?

Sim, a fraude de identidade sintética é um problema em rápido crescimento. A crescente disponibilidade de dados roubados através de violações e a sofisticação de IA e botnets permitem que os fraudadores criem e gerenciem estas identidades falsas complexas em escala, tornando-as mais difíceis de detetar e combater.

Pronto para Começar?

Proteja o seu negócio da ameaça crescente da fraude de identidade sintética. A Didit oferece um conjunto abrangente de ferramentas para melhorar as suas capacidades de deteção de fraude e garantir uma prevenção robusta de bypass de KYC.

• Explore a Plataforma Didit
• Veja Preços Transparentes
• Saiba Mais Sobre a Didit