Synthetic Identity Fraud: furto di identità sintetica

La Synthetic Identity Fraud è una minaccia crescente che si sta diffondendo a macchia d’olio, colpendo innumerevoli individui e costando miliardi di dollari alle istituzioni finanziarie. Questa versione elaborata del furto di identità combina informazioni di identificazione personale reali e inventate per creare identità completamente nuove, che possono essere estremamente difficili da individuare.

Da non sottovalutare, la Synthetic Identity Fraud è stata la forma di frode in più rapida crescita nel 2023, secondo un rapporto di TransUnion. Sebbene il concetto di creazione di identità sintetiche esista da diversi decenni, il problema si è notevolmente aggravato dal 2017, con le segnalazioni di furto di identità alla Federal Trade Commission che sono aumentate da 371.000 nel 2017 a 1,4 milioni nel 2021.

La Synthetic Identity Fraud (frode di identità sintetica) è un reato finanziario sofisticato che consiste nel fabbricare un’identità fittizia utilizzando informazioni personali reali e inventate. A differenza del tradizionale Synthetic Identity Theft, che utilizza l’identità di una persona reale, la frode di identità sintetica modella una persona completamente nuova che non corrisponde a nessun individuo reale.

Le identità sintetiche spesso combinano elementi di identità autentici e falsi, che più comunemente includono:

• Un numero di previdenza sociale (SSN) reale
• Un nome falso
• Una data di nascita inventata
• Un indirizzo fittizio

Un’identità sintetica può anche includere numeri di telefono falsi o rubati, documenti di identità contraffatti rilasciati dal governo, una presenza online falsa, una storia lavorativa falsificata o una storia creditizia manipolata.

Ciò che definisce la Synthetic Identity Fraud è la sua natura ibrida, che mescola informazioni autentiche e false per creare una nuova identità in grado di superare i processi di verifica iniziali. Questo la differenzia da altre forme di reati legati all’identità e la rende particolarmente difficile da individuare e prevenire.

La Synthetic Identity Fraud è un processo complesso che consiste nel rendere un’identità falsa credibile, legittima e in grado di superare i processi di verifica e ricevere comunicazioni. Si tratta di uno schema a lungo termine che può fruttare guadagni significativi agli autori delle minacce, causando al contempo perdite sostanziali agli istituti finanziari e alle persone fisiche le cui informazioni personali sono state sfruttate. Tali schemi vengono tipicamente attuati utilizzando diverse tattiche.

Fase 1: raccogliere informazioni

I truffatori iniziano in genere raccogliendo dati personali autentici, concentrandosi spesso sui numeri di previdenza sociale (l’equivalente del codice fiscale nel sistema statunitense). Le fonti comuni includono:

• Data breach
• Mercati del dark web
• Tattiche di social engineering
• Documenti pubblici
• Piattaforme di social media

Spesso prendono di mira i numeri di previdenza sociale di bambini, anziani o senzatetto, poiché questi soggetti sono meno soggetti a un monitoraggio attivo.

Fase 2: creazione dell’identità sintetica

È comune che i truffatori abbinino un numero di previdenza sociale rubato a informazioni false, come un nome, un numero di telefono, una data di nascita o un indirizzo falsi. Spesso definita “identità Frankenstein”, questa combinazione di dati reali e falsificati è ciò che definisce un’identità sintetica.

Fase 3: costruire credito e credibilità

Con l’intenzione di arrivare al furto, i truffatori utilizzano poi l’identità sintetica per richiedere linee di credito. Inizialmente, le richieste vengono spesso respinte e archiviate a causa della mancanza di una storia creditizia. Tuttavia, queste richieste creano un file di credito per l’identità sintetica.

Fase 4: coltivare l’identità

Nel corso di mesi o addirittura anni, i truffatori coltivano e fanno crescere l’identità sintetica, ottenendo gradualmente l’accesso a limiti di credito più elevati e a prodotti finanziari più preziosi. Possono utilizzare tecniche come il credit piggybacking, in cui l’identità sintetica viene aggiunta come utente autorizzato su un conto con un buon credito per aumentarne l’affidabilità creditizia.

Per rendere l’identità più autentica, i truffatori possono anche creare profili social falsi e svolgere attività online associate all’identità sintetica.

Fase 5: il “bust-out”

Una volta che l’identità sintetica ha stabilito un credito legittimo e può effettivamente prendere in prestito fondi da istituzioni finanziarie, il truffatore fa un ultimo tentativo per sfruttare al massimo tutto il credito disponibile prima di scomparire e trascurare qualsiasi rimborso. Questo viene spesso definito “bust-out” e lascia i creditori con perdite significative.

Fase 6: ripetizione del processo

I truffatori esperti spesso creano più identità sintetiche contemporaneamente, consentendo loro di ampliare le loro operazioni e aumentare i loro guadagni illeciti. L’accessibilità di tali reati informatici li ha resi incredibilmente diffusi e difficili da prevenire.

I criminali informatici utilizzano una serie di tecniche per creare e portare a termine furti di identità sintetici. Ecco i metodi principali utilizzati.

• Identity compilation. Noto anche come “frode Frankenstein”, questo metodo comune combina un numero di previdenza sociale rubato con informazioni personali false in modo che la nuova identità non corrisponda a nessuna persona reale.
• Identity manipulation. Questa tattica cerca di alterare i dettagli dell’identità di una persona reale per crearne una nuova. Lievi modifiche a nomi, indirizzi o date di nascita possono essere sufficienti per mascherare la precedente storia creditizia o avviare una nuova identità.
• Piggybacking. Simile al tailgating per accedere a un’area fisica protetta, il piggybacking consiste nell’aggiungere un’identità sintetica come utente autorizzato su un account legittimo, aumentando di fatto il suo punteggio di credito.
• Truffe con il Credit Profile Number (CPN). Questi schemi utilizzano un numero falso di nove cifre al posto di un numero di previdenza sociale reale, spesso commercializzati come un modo legale per creare una nuova identità di credito, ma in realtà illegali.
• Social engineering. Utilizzando il phishing, il pretexting o altre tattiche di manipolazione sociale, gli autori delle minacce ottengono informazioni personali reali da incorporare nelle identità sintetiche.
• Sfruttamento delle lacune nella riparazione del credito. Con un’identità sintetica consolidata, gli autori delle minacce possono presentare false richieste di furto di identità per rimuovere elementi negativi dai rapporti di credito, migliorando così artificialmente l’affidabilità creditizia dell’identità sintetica.
• Sfruttamento dei data breach. Un’altra tecnica consiste nell’utilizzare le informazioni personali ottenute da violazioni dei dati su larga scala. I truffatori possono facilmente combinare frammenti di informazioni autentiche provenienti da più individui e creare identità sintetiche convincenti su larga scala.

Questi metodi sono spesso utilizzati in combinazione, consentendo ai truffatori di produrre identità sintetiche difficili da individuare. La varietà e la complessità di queste tecniche influiscono sulle crescenti sfide della lotta contro le frodi di identità sintetiche nel settore finanziario.

La Synthetic Identity Fraud comporta rischi significativi sia per gli individui che per le aziende, con conseguenze devastanti che possono persistere per anni. Comprendere questi pericoli è fondamentale per riconoscere e combattere questa minaccia crescente.

• Perdite finanziarie per le aziende. La Synthetic Identity Fraud è una delle forme di attività fraudolenta in più rapida crescita. Uno studio di Equifax ha identificato potenziali perdite pari a 300 milioni di dollari per il settore delle carte di credito e 25 milioni di dollari per i fornitori di telecomunicazioni e servizi pubblici in soli 12 mesi.
• Impatto a lungo termine sugli individui. I giovani sono particolarmente vulnerabili, poiché il loro credito può essere compromesso per anni prima che le minacce esterne vengano rilevate. Durante questo periodo, le vittime possono avere difficoltà a ottenere credito, prestiti o un impiego a causa della storia creditizia danneggiata.
• Indebolimento dei sistemi di credito. La diffusione capillare delle identità sintetiche diminuisce la fiducia nei sistemi di segnalazione del credito e di concessione dei prestiti. Di conseguenza, gli istituti finanziari tendono a inasprire i criteri di concessione dei prestiti, rendendo sempre più difficile per i consumatori legittimi accedere al credito.
• Facilitazione di altri reati. L’uso criminale di identità fabbricate comporta pericoli che vanno oltre le perdite finanziarie immediate. Le identità sintetiche possono essere utilizzate per il riciclaggio di denaro, il finanziamento del terrorismo o altre attività illecite.
• Sfide per il rilevamento delle frodi. I metodi tradizionali di rilevamento delle frodi spesso non sono in grado di individuare le identità sintetiche. L’incapacità di identificare una specifica vittima consumatore rende difficile individuare gli autori delle minacce e quantificare le perdite.
• Aumento dei costi per le aziende e i consumatori. Le aziende possono investire ingenti somme in sistemi avanzati di rilevamento delle frodi per combattere il Synthetic Identity Theft. Questi costi vengono successivamente trasferiti ai consumatori attraverso commissioni o tassi di interesse più elevati.
• Preoccupazioni relative alla data privacy. La creazione di identità sintetiche si basa in genere sul furto di informazioni di identificazione personale da data breach. Ciò perpetua un ciclo continuo di furto di dati e uso improprio, sollevando preoccupazioni per una più ampia privacy e protezione dei dati.

I pericoli della Synthetic Identity Fraud vanno ben oltre le perdite finanziarie immediate, influenzando l’integrità delle istituzioni finanziarie, i profili di credito individuali e la fiducia della società nelle identità digitali.

Individuare la Synthetic Identity Fraud è una battaglia in salita, ma ci sono diversi segnali di allarme da tenere d’occhio e strategie fondamentali da sfruttare:

• Caratteristiche insolite dei file di credito. Cambiamenti improvvisi nell’attività di credito, rapidi aumenti del punteggio di credito o profili di credito con una storia scarsa o breve.
• Informazioni non corrispondenti. Discrepanze tra le informazioni fornite e i registri ufficiali o incongruenze nei dati personali tra diversi database.
• Anomalie comportamentali. Richieste multiple di credito in un breve periodo di tempo o conti che mostrano modelli di accumulo di credito seguiti da transazioni improvvise di alto valore.
• Processi di verifica potenziati. Le aziende possono aggiungere livelli di autenticazione e utilizzare domande di autenticazione basate sulla conoscenza.
• Audit regolari. Le istituzioni dovrebbero condurre revisioni periodiche dei conti, in particolare quelli con una storia limitata, e monitorare i conti degli utenti autorizzati per individuare modelli sospetti.
• Controlli sui social media e sulla presenza online. Verificare la coerenza dell’impronta online e controllare i profili dei social media alla ricerca di segni di autenticità può aiutare a individuare la Synthetic Identity Fraud.

Grazie a questi metodi di rilevamento e mantenendo alta la vigilanza sui segnali di allarme, le aziende e i privati possono migliorare la loro capacità di identificare e prevenire la Synthetic Identity Fraud.

La protezione dalla Synthetic Identity Fraud richiede sia soluzioni tecnologiche che vigilanza personale. Ecco alcuni modi efficaci per difendersi da tali minacce.

Proteggere le informazioni personali

Gli individui dovrebbero prendere precauzioni per proteggere i propri numeri di previdenza sociale e altre informazioni di identificazione personale. Ciò include la salvaguardia dei documenti fisici, la distruzione dei documenti sensibili e l’evitare di condividere inutilmente i numeri di previdenza sociale. L’uso di software di sicurezza digitale può proteggere ulteriormente i dati personali da hacker e malware.

Monitoraggio regolare del credito

La revisione regolare dei rapporti di credito e il monitoraggio dei punteggi di credito possono aiutare a proteggere le istituzioni dal Synthetic Identity Theft in una fase precoce. Cambiamenti inaspettati o informazioni sconosciute sui rapporti di credito possono indicare attività fraudolente.

Security awareness sul social engineering

I consumatori e i dipendenti dovrebbero essere istruiti sulle comuni tattiche di social engineering, come le truffe di phishing. Diffida delle comunicazioni inaspettate che dichiarano di provenire da fonti legittime e richiedono informazioni personali.

Analytics avanzati e machine learning

Le aziende possono utilizzare algoritmi di machine learning per analizzare grandi volumi di dati e identificare modelli associati alle identità sintetiche. Questi sistemi possono elaborare rapidamente grandi dataset, valutando i fattori di rischio e segnalando attività sospette in tempo reale.

Verifica dell’identità digitale

L’implementazione di robusti sistemi di verifica dell’identità digitale può ridurre significativamente il rischio di Synthetic Identity Fraud. Questi sistemi utilizzano una combinazione di verifica dei documenti, rilevamento della vitalità e autenticazione a più fattori per garantire che la persona che crea un account sia chi dice di essere.

Proofpoint offre una suite completa di soluzioni di sicurezza informatica progettate per proteggere dalle frodi relative all’identità. Sfruttando threat intelligence avanzata e machine learning, i prodotti Proofpoint sono in grado di rilevare e mitigare i rischi associati alle identità sintetiche.

Ad esempio, le soluzioni di email security di Proofpoint sono in grado di identificare e bloccare i tentativi di phishing che spesso costituiscono il primo passo nella raccolta di informazioni personali per la creazione di identità sintetiche. Inoltre, i loro servizi di protezione dai rischi digitali monitorano il dark web e altri mercati online illeciti alla ricerca di dati personali rubati, avvisando le aziende di potenziali minacce prima che possano essere sfruttate.

Le soluzioni ITDR (Identity Threat Detection and Response) di Proofpoint forniscono solide difese contro la Synthetic Identity Fraud. Questi strumenti analizzano il comportamento degli utenti e le impronte digitali per identificare anomalie che potrebbero indicare la presenza di identità sintetiche. Integrando l’autenticazione a più fattori e il monitoraggio continuo, Proofpoint garantisce che solo gli utenti legittimi possano accedere a sistemi e dati sensibili.

Questo approccio proattivo non solo aiuta a rilevare tempestivamente le identità sintetiche, ma migliora anche la sicurezza complessiva, rendendo molto più difficile il successo dei truffatori. Per saperne di più, contatta Proofpoint.