シリコンバレー銀行(SVB)とシグネチャー銀行の破綻を受けて、資金を移動するための大騒ぎが直ちに起こりました。企業や個人は他の銀行に新しい口座を開設しようと殺到し、すぐにそれが実現することを望んだ。しかし、オンボーディング量の増加により、いくつかの渋滞が発生しました。銀行は、顧客デューデリジェンス(CDD)プロセスを迅速化し、身元を確認し、通常よりも迅速にデータを検証するようプレッシャーを受けていました。多額のお金が絡んでいると、緊張が高まり、忍耐力もなくなり、ミスも起こるのは必然です。
これはまさに、サイバー犯罪者がチャンスとみなす混乱です。アーンスト・アンド・ヤングの情報筋によると、オンボーディング量が急増する中、先週末、複数の金融機関でセキュリティインシデントが発生したという。これは、銀行がオンボーディングプロセスのセキュリティを確保し、顧客確認(KYC)およびマネーロンダリング対策(AML)のコンプライアンスを確保するために、より多くのことを行う必要があることを強く思い出させるものです。
このブログ記事では、詐欺師が偽の身元を作成する方法と、企業が個人情報の盗難やそれに伴う損失を防ぐためにどのような対策を講じることができるかについて説明します。しかし、まず最初に、詐欺師が最も鋭い訓練を受けた目さえも騙し、文書検証ソリューションを回避するために行っていることを説明します。この不安定な環境では、欺瞞的な口座開設詐欺がさらに増えると予想されます。
銀行にもアイデンティティの問題がある
新規銀行顧客が提供する身元データの確認と検証は、口座開設時の詐欺を防ぐために非常に重要です。新たな信用枠を開設したり、マネーロンダリングをしたり、下流への攻撃の準備をしようとするずっと前に、正面玄関で彼らを阻止するのが最善です。銀行には、数日ではなく数分で迅速に身元を証明する方法も必要です。
米国には、Signature Bank という名前の非関連金融機関が 3 つあることをご存知ですか?私がこのことを言及するのは、それがこの瞬間の混乱を要約しているからです。日曜日、ABCニュースは誤って、ニューヨークの銀行ではなくイリノイに本社を置くシグネチャー・バンクのロゴを誤って使用した。3 番目の Signature Bank はアーカンソー州に拠点を置いています。ご想像のとおり、これら他の シグネチャー・バンクは現在、顧客の財務状況が良好で資金が安全であることを保証するために残業して働いています。
今はなりすまし詐欺の絶好のチャンス
混沌とした時代です。また、Signature Bank という名前によって生じた混乱と同様に、詐欺師は John Smith や Ashley Jones などの一般的な名前を使用して口座を開設することで、故意に本人確認プロセスを混乱させます。この戦術により、身元確認とデータ検証がはるかに困難になります。特に、従来のサービスや身元証明の手動アプローチでは、すでにエラーが発生しやすいためです。このようなトリックを使用することで、詐欺師は成功する可能性を高めることができます。
サイバー犯罪者が偽のIDを作成する方法
悪意のある行為者は、オンライン ID サービスを利用して、実際のデータと偽のデータを組み合わせて、非常に精巧な偽の ID を購入しています。彼らは、データ侵害、フィッシング詐欺、オンラインハッカーフォーラムなど、さまざまなソースから個人データを入手します。2022 年には、世界中で 4,000 件を超えるデータ侵害が発生し、2,200 万件を超える個人情報が侵害されました。詐欺師は単にこの身元データを購入し、本物に見える偽の身分証明書を作成します。
本人確認の回避
多くの企業や組織では、詐欺を防止し顧客を保護するために、すでに本人確認ソリューションを使用しています。ただし、これらの解決策は絶対確実なものではなく、詐欺師は常にそれを回避する方法を見つけています。
詐欺師がよく使う手法の 1 つは、本物の情報と偽の情報を組み合わせて合成 ID を作成することです。たとえば、アカウントの制御を維持する方法として、実在の人物から盗まれた社会保障番号 (SSN)、名前、住所、生年月日を詐欺師の電子メールと電話番号とともに使用します。認証サービスが電子メールのマジックリンクまたは OTP を送信する場合、受信側は詐欺師になります。ほとんどの情報が正当なものであるように見えるため、本人確認ソリューションで詐欺を検出することが困難になる可能性があります。
詐欺師が使用するもう一つの方法は、盗んだ個人情報を使用して複数の合成 ID を作成することです。たとえば、生年月日、メールアドレス、電話番号が異なる複数の偽の ID に同じ名前、住所、社会保障番号を使用する場合があります。それぞれの合成 ID が異なる人物のように見えるため、不正行為の検出が複雑になる可能性があります。今日の身元確認ソリューションの大部分は、実際の身元情報を使用した高品質の偽造 ID を検出できません。
アカウント詐欺を防ぐ方法
銀行やその他の企業にとって、詐欺行為を検出して防止するように設計された強力な本人確認およびデータ検証ソリューションを実装することが重要です。これらのソリューションでは、政府発行の ID、ソーシャル メディア プロファイル、公的記録などの情報を含め、複数のデータ ソースと方法を使用して顧客の身元を確認する必要があります。
さらに、企業や組織は、最新の詐欺防止技術を常に把握し、詐欺師が合成 ID や不正アカウントを作成するために使用している新しい革新的な手法に注意する必要があります。対応し続けるのは難しいため、企業は真のサイバーセキュリティの専門知識を持つ ID 証明ベンダーに頼らなければなりませんが、そのようなベンダーは多くありません。
偽造IDをより正確に検出する方法
Transmit Security の脅威研究者はサイバーセキュリティの専門家であり、ダークウェブ、ソーシャル メディア、クローズド フォーラム、オープン ソースの Web サイトを継続的に調査して、新しい詐欺の手法を分析しています。新しい脅威が最初に出現したときに、すぐに新しい検出アルゴリズムを適用してそれを阻止します。これは、偽造 ID や不正なアカウント開設をより正確に検出するために不可欠ですが、これは氷山の一角にすぎません。
アイデンティティ証明サービスがオンボーディングを安全にし、迅速化する方法:
Transmit Security Identity Verification は、以下の内容を迅速に検証するクラウドネイティブ サービスを使用して、ユーザーが本人であることを証明します。
- ユーザーの政府発行の身分証明書は本物であり、有効である
- 人物の自撮り写真は本物の生身の人間である
- ユーザーは認証されたIDに関連付けられた人物と同一人物である
- この人物は国際制裁監視リストに載っていない
これらすべては、数時間や数日ではなく、わずか数分で起こります。時代遅れの ID 証明方法に関連するコストと複雑さを軽減しながら、保証を急速に強化できます。
組み込みセキュリティ機能
機械学習と AI の力を活用した本人確認サービスは、文書に存在する数十のセキュリティ機能をチェックし、ホログラムやレーザー彫刻から写真の寸法、角、端まであらゆる詳細を検査します。
文書番号、個人番号などの抽出されたデータは、DD/MM/YYYY ではなく MM/DD/YYYY などの正しいフォントと正しい形式であることを確認するためにチェックされます。
自撮り認証
ユーザーの自撮り写真が正当なものであることを確認するために、本人確認では政府発行の身分証明書の写真と生体認証による顔照合を実行します。また、セルフィーのライブネス チェックを実行して、それが正当なものであり、次のいずれにも該当しないことを確認します。
- 印刷された写真
- ビデオリプレイ
- 高級シリコンマスク
- 画面上の写真
- 顔の切り抜き
- リアルなマネキン
時間は重要です
わずか数分で徹底的な分析を実行することで、優良顧客に対する摩擦を最小限に抑え、登録を増やすことができます。オンボーディング プロセスから顧客の摩擦を排除する必要があるユースケースでは、データ検証を第一の防御線として設定し、リスクが検出された場合にのみ ID 検証プロセスをトリガーすることができます。
Transmit Security Data Validation は、顧客にとって即時かつ簡単な「受動的な」身元証明形式です。ユーザーが登録時に提出するデータの有効性を評価することで、口座開設詐欺を防止します。完全に自動化されており、1 秒以内に結果が返されます。正当な顧客に対しては、簡単で快適なエクスペリエンスを提供することで、オンボーディングを安全かつ迅速に行うことができます。
単一の API でのデータ検証サービス:
- ユーザーの名前、住所、メールアドレス、電話番号、生年月日、社会保障番号(SSN)が有効であり、ユーザーの身元と強く関連していることを確認します。
- ユーザーのデバイスリスクとメールの評判をチェックします
- 監視リスト、信用調査機関などをスキャンして身元調査を実行します
- データソースを選択し、自動決定のルールを設定できます
両方の ID 証明サービスは、無制限の拡張性と高パフォーマンスを実現するために構築されたクラス最高のクラウドネイティブ サービスを備えた完全な顧客 ID およびアクセス管理 (CIAM) ソリューションであるTransmit Security Platformの一部として実装できます。
多くの詐欺師が抜け穴を通り抜ける原因となっている、複雑で時間のかかる身元確認とデータ検証チェックに終止符を打つ時が来ました。開発者に優しい API を使用すると、セキュリティ サービスを迅速に実装して、急速に増加する詐欺問題に対処し、KYC や AML などの世界的な規制に簡単に準拠できます。強力な ID 証明サービスは、顧客デューデリジェンス プロセスを迅速化しながら、会社と顧客を保護します。
