Синтетическое мошенничество с идентификацией

Борцы с киберпреступлениями сообщают о новом виде мошенничества под названием Synthetic Identity Fraud  (SIF), которое можно назвать самым высокотехнологичным из всех, что появлялись в Соединённых Штатах в последние годы. Приблизительные убытки от SIF по итогам текущего года - более $60 млрд. Ни одного эффективного способа предотвратить мошенничество пока не существует.

Фундаментом аферы является неактивный номер социального страхования несовершеннолетних детей. Благодаря брешам в государственных информационных базах, а также недостатке данных об американцах у частных финансовых структур, мошенники создают выдуманного человека под конкретный Social Security Number (SSN).

Например, в глубинке штата Огайо родился ребёнок по имени Джон Ричардс. У него есть свой SSN. Бумажная карточка с номером хранится вместе с другими важными документами в родительском сейфе.

В это же время где-нибудь в Нью-Йорке появляется 45-летний Джон Ричардс с номером ребёнка из Огайо. Взрослый Ричардс имеет все необходимые документы - от штатного драйвер-лайсенса до налоговых деклараций (естественно, все документы поддельные). В случае необходимости он готов предоставить их электронные копии любой финансовой структуре. Джон работает и имеет конкретный домашний адрес.

Однажды 45-летний Джон решает оформить свою первую кредитную карту. Из-за нулевой кредитной истории ему дают сначала Security Credit Card, а потом уже полноценную карту с небольшим лимитом.

Джон активно использует карту в Нью-Йорке и никогда не пропускает месячные платежи. Кредитная история растёт, и Джон открывает ещё одну кредитку, а потом ещё одну.

Иногда Джон звонит в банк по банальным причинам. Например, он забыл пароль к онлайн-аккаунту или потерял кредитную карту. Все звонки фиксируются в его личном онлайн-досье. Джон доволен банками, а банки довольны Джоном. 

Спустя 3 года использования банковских карт кредитный рейтинг (Credit Score) вырастает до 750 пунктов (Excellent). Он становится идеальным клиентом для финансовых структур. Ему доверяют, так как он оперативно обновлял на своих банковских онлайн-аккаунтах информацию. Он работает в большой компании, неплохо зарабатывает и по большому счёту ничем не отличается от рядового американца.

Однажды Джон решает взять очень большой кредит. Он выбирает такой банк или такую финансовую организацию, которая перечислит ему деньги ($150 - $200 тысяч) прямо на дебетовый счёт. Джон занят и не хочет утруждать себя личными визитами к кредитору.

Чтобы минимизировать вероятность мошенничества, кредитор просит заёмщика отправить массу электронных копий всевозможных документов. Джон это с удовольствием делает. Кредитор осуществляет минимальную проверку. О Джоне уже скопилось множество необходимой информации. С момента своей первой кредитки он не менял адрес, номер телефона и место работы. Нет никакого сомнения, что он реальный человек.

Джон получает $150 - $200 тысяч. Обналичивает банковский счёт или переводит деньги на другой аккаунт (например, покупает биткоины или другую криптовалюту), а потом исчезает. Он не берёт телефонную трубку, а письма, отправленные на его домашний адрес возвращаются назад.

Спустя несколько месяцев кредитор начинает проверять личность Джона Ричардса. Адвокаты получают доступ к федеральным базам данных. С номером социального страхования оказывается всё в порядке. Он настоящий и принадлежит Джону Ричардсу. Однако проверка других данных, доступ к которым возможен только после вмешательства в расследование прокуратуры, показывает, что Джон Ричардс - несовершеннолетний ребёнок и проживает с родителями в Огайо.

Все остальные данные о 48-летнем жителе Нью-Йорка также оказываются фейком. Даже его фотография на электронной копии драйвер-лайсенса - продукт компьютерной программы. Такого Джона не существует в реальности, а его многолетняя финансовая активность - результат сознательных мошеннических действий.

SIF стал возможным благодаря двум факторам.

Первый - разные уровни доступа к личной информации американцев у государственных и частных структур. Ради безопасности жителей их личная информация разбрасывается по разным источникам. Это играет на руку мошенникам.

Например, FBI при необходимости может получить файл с такими подробностями жизни человека, что даже сам человек будет шокирован, когда увидит этот файл (последнее, естественно, никогда не произойдёт).

Вместе с тем, какая-нибудь кредитная организация может получить ограниченное количество данных о человеке: SSN, кредитный рейтинг, имя и фамилию, адрес проживания, номер телефона, баланс по кредитным картам. 

Мошенники пользуются невозможностью кредиторов на 100% проверить личность заёмщика и создают видимость существования взрослого и финансово активного человека по ворованному детскому SSN. Тот же поддельный драйвер-лайсенс кредитор проверить не сможет, так как Отдел транспортных средств штата Нью-Йорк (NYS DMV) никогда не будет сотрудничать с частными лицами из банка.

Получение большого кредита после строительства идеальной кредитной истории и введения в заблуждение кредитора на языке мошенников называется "срыв" (bust out). Ради этого "срыва" аферисты специально снимают жильё, прилежно оплачивают проценты по кредитам и телефонные биллы. Чтобы сбежать с суммой в $150-$200 тысяч, требуется немного инвестировать в мошенничество и подождать несколько лет.

Так, в Калифорнии мошеннику удалось обмануть несколько банков на более чем полмиллиона долларов. В его 2BDR в престижном районе Сан-Франциско "жили" три человека - две взрослых женщины и один взрослый мужчина. Каждого жильца удалось "создать" с помощью ворованных детских SSN. Аренда квартиры обходилась дорого, однако сумма, полученная при "срыве", с лихвой окупила все затраты.

Когда полиция ворвалась в 2BDR мошенника, то увидела идеально чистую пустую квартиру после ремонта. После аренды аферист в неё даже не заходил. Он регулярно проверял содержимое почтового ящика и вовремя оплачивал биллы. 

Как выяснило следствие, квартира была оформлена на человека, которого в реальности также не существовало. Лиз был заключен через интернет посредством электронной подписи.

Борцы с кибербезопасностью называют SIF"большой государственной проблемой". Предотвратить новое мошенничество можно только посредством глобальной перестройки электронной базы данных Social Security. На это потребуется огромное количество денег и несколько лет работы тысяч лучших программистов страны.

Евгений Новицкий