Lewati ke konten utama
Didit Raih $7,5 Juta untuk Membangun Infrastruktur Identitas dan Fraud
Didit
Kembali ke blog
Blog · 22 Mei 2026

Penipuan Pinjaman dengan Identitas Curian dan Sintetis: Cara Kerja dan Pencegahannya (ID)

Penipu mengajukan pinjaman menggunakan ID curian dan identitas sintetis — SSN asli yang disambungkan ke profil palsu — dan pemberi pinjaman seringkali tidak menyadarinya hingga terjadi penipuan.

Oleh DiditDiperbarui
loan-fraud-stolen-identity.png

Nama asli. Nomor Jaminan Sosial asli. Riwayat kredit yang membutuhkan waktu bertahun-tahun untuk dibangun — kecuali orang di balik aplikasi tersebut bukanlah orang yang memiliki identitas tersebut. Bahkan mungkin bukan orang sungguhan sama sekali.

Penipuan pinjaman menggunakan identitas curian dan sintetis melewati sebagian besar kontrol kredit tradisional karena input terlihat sah: dokumen lolos pemindaian, identitas memiliki file kredit, aplikasi tidak menunjukkan ketidaksesuaian yang jelas. Penipuan tidak muncul hingga uangnya hilang.

Posting ini menjelaskan cara kerja serangan ini, apa yang memisahkan setiap jenis, dan pemeriksaan apa pada tahap aplikasi yang secara konsisten menghentikannya.

Poin-poin utama

  • Penipuan identitas sintetis membangun orang palsu dari fragmen asli dan buatan — SSN asli, nama yang masuk akal, riwayat kredit yang dibuat-buat — tanpa korban untuk melaporkannya sampai penipuan terbongkar.
  • Penipuan pinjaman pihak ketiga menggunakan identitas yang sepenuhnya dicuri: orang sungguhan yang tidak tahu pinjaman diambil atas nama mereka.
  • Kedua jenis serangan memiliki celah yang sama yang dapat dieksploitasi: pemberi pinjaman yang memverifikasi dokumen tetapi tidak memverifikasi orang yang hidup di baliknya.
  • Pemeriksaan KYC seharga $0,33 (Verifikasi ID + Liveness Pasif + Pencocokan Wajah 1:1 + Analisis Perangkat & IP) menutup celah tersebut sebelum keputusan kredit dibuat.
  • Analisis Perangkat & IP menangkap pola aplikasi berulang dan jaringan penipuan yang tidak terdeteksi oleh pemeriksaan identitas individu.

Bagaimana penipuan pinjaman sebenarnya bekerja

Penipuan pihak ketiga: identitas curian

Seorang penipu memperoleh identitas orang sungguhan — melalui pelanggaran data, pembelian dark web, atau pancingan (phishing) — dan menggunakannya untuk mengajukan kredit. Korban pada akhirnya akan menemukan pinjaman tersebut di laporan kredit mereka; penipu tidak pernah bermaksud untuk membayar kembali.

Sebagian besar verifikasi pinjaman berpusat pada dokumen dan berorientasi ke belakang: memverifikasi bahwa dokumen itu asli dan rinciannya cocok dengan file kredit. Kedua langkah tersebut tidak memverifikasi bahwa orang yang menyerahkannya adalah pemilik dokumen.

Penipuan identitas sintetis: orang yang dibuat-buat

Penipuan identitas sintetis (SIF) lebih sulit ditangkap karena awalnya tidak ada korban yang melaporkannya. Identitas sintetis menggabungkan:

  • SSN atau nomor ID nasional asli, seringkali milik anak-anak, orang tua, atau individu yang baru meninggal yang tidak mungkin memantau kredit mereka
  • Nama buatan dan tanggal lahir yang masuk akal tetapi tidak terkait dengan pemegang SSN
  • Riwayat kredit yang dibangun — menumpangkan identitas sintetis ke akun yang sah untuk membangun profil tipis selama berbulan-bulan

Setelah identitas sintetis memiliki skor kredit yang dapat digunakan, penipu mengajukan pinjaman dan kartu, melayani utang secukupnya untuk menaikkan batas, kemudian melakukan bust-out: setiap lini kredit dimaksimalkan secara bersamaan. Pemberi pinjaman ditinggalkan dengan penghapusan piutang. Pemegang SSN menemukan nomor mereka terlampir pada file kredit orang asing.

Penipuan pihak pertama dan jaringan

Penipuan pihak pertama menggunakan identitas asli dengan niat penipuan — peminjam berencana untuk tidak pernah membayar kembali. Kasus individu sulit ditangkap hanya dari sinyal identitas, tetapi penipuan pihak pertama berkelompok menjadi jaringan terorganisir: individu yang terkoordinasi yang masing-masing mengambil pinjaman, direkrut melalui jaringan informal, dengan koordinator yang memindahkan dana. Sinyal perangkat dan IP memunculkan jaringan ini — beberapa aplikasi dari perangkat, subnet, atau lokasi fisik yang sama.

Celah verifikasi yang dibiarkan terbuka oleh pemberi pinjaman

Pemindaian dokumen memverifikasi bahwa dokumen tidak jelas palsu. Pemeriksaan kredit memverifikasi bahwa riwayat ada untuk nama dan nomor ID. Tidak ada pemeriksaan yang menutup celah kritis: memverifikasi bahwa pemohon adalah pemilik dokumen, hadir, dan hidup.

Pengambilan swafoto tanpa liveness mudah dikalahkan dengan memegang foto cetak atau memutar video di depan kamera. Itulah celah yang ditutup oleh liveness biometrik dan pencocokan wajah.

Bagaimana Didit membantu

Alur inti KYC $0,33

Alur verifikasi inti Didit menjalankan empat pemeriksaan dalam satu sesi dengan total $0,33:

Verifikasi ID ($0,15) — keaslian dokumen: fitur keamanan, konsistensi MRZ, data chip NFC jika tersedia, 200+ sinyal penipuan. Meliputi 14.000+ jenis dokumen di 220+ negara dan wilayah.

Liveness Pasif ($0,10) — liveness bingkai tunggal dalam waktu kurang dari dua detik. Mendeteksi serangan cetak, pemutaran video, dan injeksi deepfake yang dihasilkan AI tanpa meminta pengguna berkedip atau berputar. Deepfake adalah vektor serangan yang berkembang pesat; liveness pasif menghentikannya saat pendaftaran.

Pencocokan Wajah 1:1 ($0,05) — wajah hidup dicocokkan dengan foto dokumen. Jika orang dan dokumen tidak cocok, itu akan ditandai.

Analisis Perangkat & IP ($0,03) — sidik jari perangkat, intelijen IP, dan deteksi lalu lintas yang disamarkan berjalan secara otomatis di setiap sesi. Tanpa integrasi terpisah.

Bersama-sama mereka menutup celah identitas yang mendasari penipuan curian dan sintetis: dokumen asli + wajah hidup + wajah yang cocok + konteks jaringan perangkat.

Penyaringan AML ($0,20)

Penipuan pinjaman dan pencucian uang sering terjadi bersamaan. Penyaringan AML Didit memeriksa 1.300+ sanksi, PEP (orang yang terekspos secara politik), dan daftar media yang merugikan pada aplikasi — menangkap individu yang ditandai sebelum keputusan kredit dibuat.

Analisis Perangkat & IP untuk jaringan penipuan

Pemeriksaan identitas individu menangkap penipu individu. Jaringan penipuan membutuhkan sinyal jaringan.

Didit mengembalikan device_fingerprint untuk setiap sesi dan memeriksanya terhadap semua sesi sebelumnya di akun Anda. Perangkat yang sama di balik identitas yang berbeda: DUPLICATED_DEVICE_FINGERPRINT. Perangkat diatur ulang di antara upaya: DEVICE_RECOVERED_HIGH_CONFIDENCE. Lalu lintas VPN atau Tor pada aplikasi pinjaman rutin: PRIVATE_NETWORK_DETECTED. IP yang sama di seluruh kluster aplikasi: DUPLICATED_IP_ADDRESS.

Anda mengonfigurasi tindakan untuk setiap peringatan — setujui, tinjauan manual, atau tolak keras — di Konsol Bisnis. Tidak diperlukan pipa data kustom.

Kasus penggunaan

Pinjaman konsumen dan pinjaman pribadi — menghentikan pemohon ID curian sebelum keputusan kredit. Liveness pasif mengalahkan serangan foto dan video yang tidak dilakukan oleh sebagian besar langkah pengambilan swafoto.

BNPL — penipuan identitas sintetis mengelompok dalam beli-sekarang-bayar-nanti karena persetujuan cepat dan batas meningkat secara bertahap. Alur inti $0,33 menambahkan inferensi kurang dari dua detik.

Pinjaman hipotek dan mobil — nilai pinjaman yang tinggi memperkuat bahkan tingkat penipuan yang rendah. Penyaringan AML pada saat pengajuan menangkap individu yang ditandai sebelum file mencapai penjamin emisi.

Peningkatan batas kredit — verifikasi ulang liveness dan sidik jari perangkat sebelum menaikkan batas secara signifikan. Penipuan bust-out membutuhkan ruang gerak; menangkap titik infleksi membatasi paparan.

Cara berintegrasi dengan Didit

Satu panggilan API membuat sesi; alur yang di-host Didit menangani pengambilan dokumen, liveness, pencocokan wajah, dan perangkat/IP dalam satu lintasan:

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "applicant-456",
    "callback": "https://yourapp.com/kyc-complete"
  }'

Buka session.url untuk pemohon, lalu baca hasilnya melalui GET /v3/session/{sessionId}/decision/ atau webhook session.status.updated. Payload mencakup putusan dokumen, hasil liveness dan pencocokan wajah, status AML, dan ip_analyses[] dengan peringatan perangkat.

SDK tersedia untuk Web, iOS, Android, React Native, dan Flutter. Konfigurasi modul berada di Konsol Bisnis — tidak ada perubahan kode untuk penyesuaian alur kerja.

Pertanyaan yang sering diajukan

Apakah liveness pasif benar-benar menghentikan serangan deepfake?

Ya. Injeksi deepfake — memasukkan video yang dihasilkan ke dalam aliran kamera — adalah salah satu serangan yang dibangun untuk dideteksi oleh liveness pasif. Ini menganalisis bingkai untuk sinyal pembuatan sintetis dan injeksi pemutaran, di samping serangan cetak dan layar standar. Liveness aktif menambahkan lapisan tantangan untuk alur yang lebih berisiko, tetapi pasif cukup untuk sebagian besar aplikasi pinjaman.

Apa perbedaan antara penipuan identitas sintetis dan pencurian identitas tradisional bagi pemberi pinjaman?

Dengan pencurian identitas ada korban nyata yang akan mempermasalahkan kredit tersebut. Dengan penipuan sintetis, pemegang SSN seringkali tidak tahu nomor mereka digunakan dengan nama yang berbeda — mungkin tidak ada perselisihan sampai penipuan terbongkar. Pemohon yang dibuat-buat tidak dapat menghasilkan wajah yang hidup dan cocok untuk ID milik orang lain: itulah pemeriksaan yang menghentikan mereka.

Bagaimana Analisis Perangkat & IP membantu jaringan penipuan pihak pertama?

Anggota jaringan sering mengajukan aplikasi dalam waktu singkat dari perangkat atau lokasi bersama. DUPLICATED_DEVICE_FINGERPRINT dan DUPLICATED_IP_ADDRESS memunculkan kluster tersebut secara real time — lima pemohon "berbeda" yang berbagi satu perangkat sudah cukup untuk mengarahkan kelima-limanya ke tinjauan manual sebelum pencairan.

Apa yang terjadi jika penipu menggunakan VPN atau menghapus penyimpanan perangkat di antara aplikasi?

PRIVATE_NETWORK_DETECTED aktif pada lalu lintas VPN, proxy, dan Tor. Jika penyimpanan dihapus, model pemulihan (DEVICE_RECOVERED_HIGH_CONFIDENCE) menghubungkan sesi kembali ke perangkat yang terlihat sebelumnya dari vektor sinyalnya — menangkap pengaturan ulang tanpa merugikan pengguna yang sah.

Siap untuk memulai?

Menghentikan penipuan pinjaman pada tahap aplikasi tidak memerlukan pipa ML kustom atau integrasi multi-bulan. Alur inti KYC $0,33 menutup celah identitas yang menjadi sandaran serangan ID curian dan ID sintetis, dan Analisis Perangkat & IP memunculkan pola jaringan yang tidak dapat dilihat oleh pemeriksaan individu.

Infrastruktur untuk identitas dan fraud.

Satu API untuk KYC, KYB, Transaction Monitoring, dan Wallet Screening. Integrasi dalam 5 menit.

Mulai gratisHubungi kami
Minta AI untuk merangkum halaman ini
Penipuan Pinjaman Identitas Curian & Sintetis | Didit.