चोरी की और सिंथेटिक पहचान से ऋण धोखाधड़ी: यह कैसे काम करती है और इसे कैसे रोकें (HI-1)

एक वास्तविक नाम। एक वास्तविक सोशल सिक्योरिटी नंबर। एक क्रेडिट इतिहास जिसे बनाने में वर्षों लग गए — सिवाय इसके कि आवेदन के पीछे का व्यक्ति वह व्यक्ति नहीं है जिससे पहचान संबंधित है। हो सकता है कि वह व्यक्ति वास्तविक हो ही नहीं।

चोरी की और सिंथेटिक पहचान का उपयोग करके ऋण धोखाधड़ी अधिकांश पारंपरिक क्रेडिट नियंत्रणों को दरकिनार कर देती है क्योंकि इनपुट वैध लगते हैं: दस्तावेज़ स्कैन पास कर लेता है, पहचान का क्रेडिट फ़ाइल होता है, आवेदन में कोई स्पष्ट बेमेल नहीं दिखता। धोखाधड़ी तब तक सामने नहीं आती जब तक कि पैसा चला नहीं जाता।

यह पोस्ट बताती है कि ये हमले कैसे काम करते हैं, प्रत्येक प्रकार को क्या अलग करता है, और आवेदन स्तर पर कौन से चेक इन्हें लगातार रोकते हैं।

मुख्य निष्कर्ष

• सिंथेटिक पहचान धोखाधड़ी वास्तविक और मनगढ़ंत टुकड़ों — एक वास्तविक SSN, एक विश्वसनीय नाम, एक निर्मित क्रेडिट इतिहास — से एक नकली व्यक्ति का निर्माण करती है, जिसमें कोई पीड़ित तब तक इसकी रिपोर्ट नहीं करता जब तक कि बड़ा घोटाला सामने न आ जाए।
• थर्ड-पार्टी ऋण धोखाधड़ी पूरी तरह से चोरी की पहचान का उपयोग करती है: एक वास्तविक व्यक्ति जिसे पता ही नहीं होता कि उसके नाम पर ऋण लिया गया है।
• दोनों प्रकार के हमलों में एक ही शोषण योग्य कमी होती है: ऋणदाता जो दस्तावेज़ को सत्यापित करते हैं लेकिन उसके पीछे के जीवित व्यक्ति को नहीं।
• एक $0.33 KYC चेक (पहचान सत्यापन + निष्क्रिय जीवंतता + फेस मैच 1:1 + डिवाइस और आईपी विश्लेषण) क्रेडिट निर्णय लेने से पहले उस कमी को बंद कर देता है।
• डिवाइस और आईपी विश्लेषण बार-बार आवेदन पैटर्न और धोखाधड़ी के गिरोहों को पकड़ता है जिन्हें व्यक्तिगत पहचान जांच अनदेखा कर देती है।

ऋण धोखाधड़ी वास्तव में कैसे काम करती है

थर्ड-पार्टी धोखाधड़ी: चोरी की पहचान

एक धोखेबाज एक वास्तविक व्यक्ति की पहचान प्राप्त करता है — डेटा उल्लंघन, डार्क-वेब खरीद, या फ़िशिंग के माध्यम से — और इसका उपयोग क्रेडिट के लिए आवेदन करने के लिए करता है। पीड़ित को अंततः अपनी क्रेडिट रिपोर्ट पर ऋण मिल जाएगा; धोखेबाज का इरादा कभी भी चुकाने का नहीं था।

अधिकांश ऋण सत्यापन दस्तावेज़-केंद्रित और पीछे की ओर देखने वाला होता है: यह पुष्टि करता है कि दस्तावेज़ वास्तविक है और विवरण क्रेडिट फ़ाइल से मेल खाते हैं। कोई भी कदम इस बात की पुष्टि नहीं करता कि इसे सौंपने वाला व्यक्ति दस्तावेज़ का मालिक है।

सिंथेटिक पहचान धोखाधड़ी: मनगढ़ंत व्यक्ति

सिंथेटिक पहचान धोखाधड़ी (SIF) को पकड़ना अधिक कठिन है क्योंकि शुरुआत में रिपोर्ट करने के लिए कोई पीड़ित नहीं होता है। एक सिंथेटिक पहचान में शामिल हैं:

• एक वास्तविक SSN या राष्ट्रीय आईडी नंबर, अक्सर एक बच्चे, बुजुर्ग व्यक्ति, या हाल ही में मृत व्यक्ति का होता है जो अपनी क्रेडिट की निगरानी करने की संभावना नहीं रखता है।
• एक मनगढ़ंत नाम और जन्मतिथि जो विश्वसनीय है लेकिन SSN धारक से असंबंधित है।
• एक निर्मित क्रेडिट इतिहास — महीनों तक एक पतली-फ़ाइल प्रोफ़ाइल बनाने के लिए सिंथेटिक को एक वैध खाते पर सवार करना।

एक बार जब सिंथेटिक के पास एक उपयोग योग्य क्रेडिट स्कोर हो जाता है, तो धोखेबाज ऋण और कार्ड के लिए आवेदन करता है, सीमाओं को बढ़ाने के लिए पर्याप्त ऋण का भुगतान करता है, फिर एक बस्ट-आउट निष्पादित करता है: हर क्रेडिट लाइन एक साथ अधिकतम हो जाती है। ऋणदाता को चार्ज-ऑफ के साथ छोड़ दिया जाता है। SSN धारक को पता चलता है कि उसका नंबर किसी अजनबी की क्रेडिट फ़ाइल से जुड़ा हुआ है।

प्रथम-पक्ष धोखाधड़ी और गिरोह

प्रथम-पक्ष धोखाधड़ी धोखाधड़ी के इरादे से एक वास्तविक पहचान का उपयोग करती है — उधारकर्ता कभी भी चुकाने की योजना नहीं बनाता है। व्यक्तिगत मामलों को केवल पहचान संकेतों से पकड़ना मुश्किल है, लेकिन प्रथम-पक्ष धोखाधड़ी संगठित गिरोहों में क्लस्टर होती है: समन्वित व्यक्ति जो प्रत्येक ऋण लेते हैं, अनौपचारिक नेटवर्क के माध्यम से भर्ती होते हैं, एक समन्वयक के साथ जो धन को स्थानांतरित करता है। डिवाइस और आईपी सिग्नल इन गिरोहों को सतह पर लाते हैं — एक ही डिवाइस, सबनेट, या भौतिक स्थान से कई आवेदन।

सत्यापन की कमी जो ऋणदाता खुली छोड़ देते हैं

दस्तावेज़ स्कैनिंग पुष्टि करती है कि दस्तावेज़ स्पष्ट रूप से नकली नहीं है। क्रेडिट चेक पुष्टि करते हैं कि नाम और आईडी नंबर के लिए एक इतिहास मौजूद है। कोई भी चेक महत्वपूर्ण कमी को बंद नहीं करता है: यह पुष्टि करना कि आवेदक दस्तावेज़ का मालिक है, उपस्थित और जीवित है।

जीवंतता के बिना सेल्फी कैप्चर को मुद्रित फोटो पकड़कर या कैमरे के सामने वीडियो चलाकर आसानी से हराया जा सकता है। यह वह कमी है जिसे बायोमेट्रिक जीवंतता और चेहरा मिलान बंद करते हैं।

Didit कैसे मदद करता है

$0.33 KYC कोर प्रवाह

Didit का कोर सत्यापन प्रवाह कुल $0.33 में एक ही सत्र में चार चेक चलाता है:

आईडी सत्यापन ($0.15) — दस्तावेज़ प्रामाणिकता: सुरक्षा विशेषताएं, MRZ संगति, NFC चिप डेटा जहां उपलब्ध हो, 200+ धोखाधड़ी संकेत। 220+ देशों और क्षेत्रों में 14,000+ दस्तावेज़ प्रकारों को कवर करता है।

निष्क्रिय जीवंतता ($0.10) — दो सेकंड से भी कम समय में एकल-फ्रेम जीवंतता। प्रिंट हमलों, वीडियो रिप्ले, और एआई-जनित डीपफेक इंजेक्शन का पता लगाता है बिना उपयोगकर्ता को पलक झपकाने या मुड़ने के लिए कहे। डीपफेक एक तेजी से बढ़ता हमला वेक्टर है; निष्क्रिय जीवंतता उन्हें नामांकन पर रोकती है।

फेस मैच 1:1 ($0.05) — लाइव चेहरा दस्तावेज़ फोटो से मेल खाता है। यदि व्यक्ति और दस्तावेज़ एक साथ संबंधित नहीं हैं, तो यह फ़्लैग करता है।

डिवाइस और आईपी विश्लेषण ($0.03) — डिवाइस फ़िंगरप्रिंट, आईपी इंटेलिजेंस, और मास्क्ड-ट्रैफिक डिटेक्शन हर सत्र में स्वचालित रूप से चलता है। कोई अलग एकीकरण नहीं।

साथ में वे पहचान की कमी को बंद करते हैं जो चोरी की और सिंथेटिक धोखाधड़ी दोनों के अंतर्निहित है: वास्तविक दस्तावेज़ + लाइव चेहरा + मिलान चेहरा + डिवाइस नेटवर्क संदर्भ।

AML स्क्रीनिंग ($0.20)

ऋण धोखाधड़ी और मनी लॉन्ड्रिंग अक्सर एक साथ होती हैं। Didit की AML स्क्रीनिंग आवेदन पर 1,300+ प्रतिबंध, PEP (राजनीतिक रूप से उजागर व्यक्ति), और प्रतिकूल-मीडिया सूचियों की जांच करती है — क्रेडिट निर्णय लेने से पहले फ़्लैग किए गए व्यक्तियों को पकड़ती है।

धोखाधड़ी के गिरोहों के लिए डिवाइस और आईपी विश्लेषण

व्यक्तिगत पहचान जांच व्यक्तिगत धोखेबाजों को पकड़ती है। धोखाधड़ी के गिरोहों को एक नेटवर्क सिग्नल की आवश्यकता होती है।

Didit हर सत्र के लिए एक device_fingerprint लौटाता है और इसे आपके खाते में सभी पिछले सत्रों के खिलाफ जांचता है। विभिन्न पहचानों के पीछे एक ही डिवाइस: DUPLICATED_DEVICE_FINGERPRINT। प्रयासों के बीच डिवाइस रीसेट: DEVICE_RECOVERED_HIGH_CONFIDENCE। एक नियमित ऋण आवेदन पर VPN या Tor ट्रैफ़िक: PRIVATE_NETWORK_DETECTED। अनुप्रयोगों के एक समूह में एक ही आईपी: DUPLICATED_IP_ADDRESS।

आप बिजनेस कंसोल में प्रत्येक चेतावनी के लिए कार्रवाई कॉन्फ़िगर करते हैं — स्वीकृत करें, मैन्युअल समीक्षा करें, या हार्ड-डीक्लाइन करें। कोई कस्टम डेटा पाइपलाइन की आवश्यकता नहीं है।

उपयोग के मामले

उपभोक्ता ऋण और व्यक्तिगत ऋण — क्रेडिट निर्णय लेने से पहले चोरी-आईडी आवेदकों को रोकें। निष्क्रिय जीवंतता फोटो और वीडियो हमलों को हरा देती है जो अधिकांश सेल्फी कैप्चर चरण नहीं करते हैं।

BNPL — सिंथेटिक पहचान धोखाधड़ी बाय-नाउ-पे-लेटर में क्लस्टर होती है क्योंकि अनुमोदन तेजी से होते हैं और सीमाएं धीरे-धीरे बढ़ती हैं। $0.33 कोर प्रवाह दो सेकंड से भी कम अनुमान जोड़ता है।

बंधक और ऑटो ऋण — उच्च ऋण मूल्य कम धोखाधड़ी दर को भी बढ़ा देते हैं। उत्पत्ति पर AML स्क्रीनिंग फ़्लैग किए गए व्यक्तियों को फ़ाइल अंडरराइटर तक पहुंचने से पहले पकड़ती है।

क्रेडिट-लाइन में वृद्धि — सीमाओं को भौतिक रूप से बढ़ाने से पहले जीवंतता और डिवाइस फ़िंगरप्रिंट को फिर से सत्यापित करें। एक बस्ट-आउट के लिए हेडरूम की आवश्यकता होती है; विभक्ति बिंदु को पकड़ना जोखिम को सीमित करता है।

Didit के साथ एकीकृत कैसे करें

एक एपीआई कॉल एक सत्र बनाता है; Didit-होस्टेड प्रवाह एक ही पास में दस्तावेज़ कैप्चर, जीवंतता, चेहरा मिलान, और डिवाइस/आईपी को संभालता है:

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "applicant-456",
    "callback": "https://yourapp.com/kyc-complete"
  }'

आवेदक के लिए session.url खोलें, फिर GET /v3/session/{sessionId}/decision/ या session.status.updated वेबहुक के माध्यम से परिणाम पढ़ें। पेलोड में दस्तावेज़ निर्णय, जीवंतता और फेस-मैच परिणाम, AML स्थिति, और डिवाइस चेतावनियों के साथ ip_analyses[] शामिल हैं।

वेब, iOS, Android, React Native, और Flutter के लिए SDK उपलब्ध हैं। मॉड्यूल कॉन्फ़िगरेशन बिजनेस कंसोल में रहता है — वर्कफ़्लो ट्यूनिंग के लिए कोई कोड परिवर्तन नहीं।

अक्सर पूछे जाने वाले प्रश्न

क्या निष्क्रिय जीवंतता वास्तव में डीपफेक हमलों को रोकती है?

हाँ। डीपफेक इंजेक्शन — कैमरे स्ट्रीम में एक जनरेटेड वीडियो फीड करना — उन हमलों में से एक है जिसे निष्क्रिय जीवंतता का पता लगाने के लिए बनाया गया है। यह फ्रेम को सिंथेटिक-जनरेशन और रिप्ले-इंजेक्शन संकेतों के लिए विश्लेषण करता है, साथ ही मानक प्रिंट और स्क्रीन हमलों के लिए भी। सक्रिय जीवंतता उच्च-जोखिम वाले प्रवाह के लिए एक चुनौती परत जोड़ती है, लेकिन अधिकांश ऋण अनुप्रयोगों के लिए निष्क्रिय पर्याप्त है।

ऋणदाता के लिए सिंथेटिक पहचान धोखाधड़ी और पारंपरिक पहचान चोरी में क्या अंतर है?

पहचान चोरी में एक वास्तविक पीड़ित होता है जो क्रेडिट पर विवाद करेगा। सिंथेटिक धोखाधड़ी में SSN धारक को अक्सर पता ही नहीं होता कि उसका नंबर किसी दूसरे नाम से उपयोग में है — बस्ट-आउट होने तक कोई विवाद नहीं हो सकता है। मनगढ़ंत आवेदक एक जीवित, मिलान करने वाला चेहरा आईडी के लिए प्रस्तुत नहीं कर सकता है जो किसी और का है: यही वह चेक है जो उन्हें रोकता है।

डिवाइस और आईपी विश्लेषण प्रथम-पक्ष धोखाधड़ी के गिरोहों में कैसे मदद करता है?

गिरोह के सदस्य अक्सर साझा उपकरणों या स्थानों से थोड़े समय के भीतर आवेदन करते हैं। DUPLICATED_DEVICE_FINGERPRINT और DUPLICATED_IP_ADDRESS उन क्लस्टरों को वास्तविक समय में सतह पर लाते हैं — पांच "अलग" आवेदक एक डिवाइस साझा कर रहे हैं, वितरण से पहले सभी पांच को मैन्युअल समीक्षा के लिए भेजने के लिए पर्याप्त है।

यदि धोखेबाज VPN का उपयोग करता है या अनुप्रयोगों के बीच डिवाइस स्टोरेज को साफ़ करता है तो क्या होता है?

PRIVATE_NETWORK_DETECTED VPN, प्रॉक्सी, और Tor ट्रैफ़िक पर फायर करता है। यदि स्टोरेज साफ़ कर दिया गया था, तो रिकवरी मॉडल (DEVICE_RECOVERED_HIGH_CONFIDENCE) सत्र को उसके सिग्नल वेक्टर से पहले देखे गए डिवाइस से वापस जोड़ता है — वैध उपयोगकर्ताओं को दंडित किए बिना रीसेट को पकड़ता है।

शुरू करने के लिए तैयार हैं?

आवेदन स्तर पर ऋण धोखाधड़ी को रोकने के लिए एक कस्टम एमएल पाइपलाइन या कई महीनों के एकीकरण की आवश्यकता नहीं होती है। $0.33 KYC कोर प्रवाह पहचान की कमी को बंद करता है जिस पर चोरी-आईडी और सिंथेटिक-आईडी हमले निर्भर करते हैं, और डिवाइस और आईपी विश्लेषण नेटवर्क पैटर्न को सतह पर लाता है जिन्हें व्यक्तिगत चेक नहीं देख सकते हैं।

• मॉड्यूल जानें → उपयोगकर्ता सत्यापन दस्तावेज़ · AML स्क्रीनिंग · डिवाइस और आईपी विश्लेषण
• उत्पाद देखें → didit.me/products/id-verification
• मूल्य निर्धारण जांचें → didit.me/pricing — पूर्ण KYC प्रवाह के लिए $0.33, 500 मुफ्त सत्यापन/माह, कोई न्यूनतम नहीं
• मुफ्त में शुरू करें → business.didit.me