Sentetik kimlik dolandırıcılığı nedir ve sentetik kimlik hırsızlığı nasıl çalışır?

5,18 milyar - Nisan 2023 itibariyle dünyanın internet nüfusu bu. Her gün milyarlarca kullanıcı, favori uygulamalarından yemek siparişi vermekten dijital olarak banka hesabı açmaya ve internetten yeni bir çift spor ayakkabı satın almaya kadar yeni dijital hizmetlere erişiyor. 

Dünyanın yüzde 64'ünden fazlasının çevrimiçi etkileşim halinde olduğu dijital ekonomi, dünyanın dört bir yanındaki işletmeler için en güçlü büyüme fırsatlarından birini sunuyor. Ama dedikleri gibi: Büyük güç büyük sorumluluk getirir - tüketicilere güvenli ve sorunsuz bir deneyim sunma sorumluluğu. Özellikle de 2024 yılında işletmelere yaklaşık 5 milyar dolara mal olacağı tahmin edilen sentetik kimlik dolandırıcılığında dolandırıcılar daha sofistike hale geldikçe, bu genellikle göründüğü kadar kolay değildir. 

Şunu hayal edin: Yeni müşterileri dijital olarak bünyenize katmak için aylarca bir web sitesi (veya uygulama) geliştirdiniz, performans pazarlama ekibiniz kullanıcıları çekmek için yüz binlerce dolar harcadı ve ilk ayda yüzlerce kayıt aldınız. İşe aldığınız kullanıcıların çoğunun gerçek olmadığını keşfettiğinizde ne olur?

Sentetik kimlik dolandırıcılığı, yeni bir sentetik kimlik oluşturmak için gerçek bilgilerin uydurma bilgilerle birleştirilmesiyle ortaya çıkar.

Bu sahte kimlik güvenilir görünebilir ve hesap açmak, hileli alışveriş yapmak ve daha fazlası için kullanılmasına izin verebilir. Sentetik kimlik dolandırıcılığı, kimlik hırsızlığının en hızlı büyüyen biçimleri arasındadır. Hatta Security Magazine'e göre 2022 yılındakurumların yüzde 46'sı sentetik kimlik dolandırıcılığıyla karşı karşıya kalacak.

Dark web'de e-posta ve cep telefonu numaraları gibi kişisel olarak tanımlanabilir bilgilerin (PII) bolluğu, dolandırıcıların genellikle gerçek gibi görünen sentetik kimlikler oluşturmasına yardımcı olur.

Kurumların sentetik kimlik dolandırıcılığını tespit etmekte zorlanmasının bir nedeni de dolandırıcıların sentetik bir kimliği oluşturulduktan hemen sonra doğrudan kullanmayabilmeleridir. Aslında, bazen bunun yerine sentetik kimlikleri hasat etmeden önce geliştirirler ve dolandırıcılık yapmadan önce bu kimlikleri bir yıl veya daha uzun süre beslerler. Dolandırıcılar sahte kimliğin adına bir çek hesabı açabilir ya da kredi dosyası oluşturmak için sahte kimliği mevcut bir kredi kartına ekleyebilir ve tüm bunlar kimliklerin daha gerçek ve olgun görünmesini sağlar (ve örneğin onlara daha büyük bir kredi limiti verir).

Genel olarak, dolandırıcılar tarafından sentetik kimlik oluşturmak için kullanılan yöntemler iki kategoriye ayrılır:

• Manipüle edilmiş: Bu, bir veya daha fazla kişisel detayı değiştirilmiş gerçek bir kimliktir. Örneğin, düşük kredisi olan bir tüketici, geçmişini gizlemek için kimliğini manipüle etmeye çalışır. Manipüle edilmiş sentetik kimliklerin tespit edilmesi daha kolay olabilir.

• Üretilmiş: Bir dolandırıcı yeni bir kimlik oluşturmak için gerçek ve yanlış bilgileri birleştirir. Örneğin, bir dolandırıcı bilinen veya gerçek bir kişiye ait olmayan bir hesap açmak için gerçek ve yanlış bilgiler kullanır.

Geleneksel kimlik hırsızlığında, bir kişinin Sosyal Güvenlik Numarası veya Ulusal Kimlik Numarası, adresi veya ehliyeti gibi bilgileri ele geçirilir. Başka bir deyişle, dolandırıcı gerçek bir kişinin gerçek, tam kimliğini çalmaktadır. Çalınan bu kimlik, örneğin hızlı bir şekilde hileli bir satın alma işlemi yapmak için kullanılabilir. 

Sentetik kimlik dolandırıcılığında, kimlik farklı bilgi parçalarından oluşturulur ve gerçek bir kişi mevcut değildir. Görünüşte, sentetik kimlik dolandırıcılığı belirli bir kişiyi hedef almadığı için daha az zararlı gibi görünebilir. Ne yazık ki durum böyle değil. 

Bir banka müşterisinin dolandırıldığını ve daha sonra müşterinin tazminat almak için bu dolandırıcılığı rapor edeceğini düşünün. Bu, bankanın dolandırıcılığın gerçekleştiğini bildiği ve bunu araştırabileceği anlamına gelir. Ancak, sentetik kimlikle ilişkilendirilen tek bir kişi bile olmayabileceğinden, bu dolandırıcılık saldırıları genellikle tespit edilememektedir. Bir tüketicinin kırmızı bayrağı çekeceğine güvenmek mümkün olmadığından, kuruluşların sentetik kimlikleri birkaç ay veya yıl boyunca gerçek olarak algılayarak daha büyük dolandırıcılık kayıplarına yol açma ihtimali vardır. İşleri daha da zorlaştırmak için, sentetik kimlik dolandırıcılığı hem karmaşıklık hem de hız bakımından artıyor. 

Finansal hizmetler: Dolandırıcıların bankacılık ve kredi verme işlemlerinde sentetik kimlik kullanmalarının yaygın bir yolu yeni hesaplar açmaktır. Dolandırıcılar, sahte kimlikleri dolandırıcılık faaliyetleri için kullanmadan önce, iyi bir kredi geçmişi ve daha büyük kredi limitleri oluşturmak için genellikle aylarca veya yıllarca bu kimlikleri geliştirirler. Bu durum, kurumların genellikle sunulan sentetik kimliğin gerçek olduğuna inanmasına neden olarak gerçek bir kişiye ait olmayan hesapların oluşturulmasına ve kullanılmasına yol açmaktadır.

Aite Novarica'ya göre, sentetik kimlik inkübasyonu 2022 yılında vadesiz mevduat/çek hesabı başvurularında gözlemlenen en yaygın dolandırıcılık faaliyeti türlerinden ilk üçünden biri (iki numarada berabere) olmuştur.

E-ticaret ve çevrimiçi pazar yerleri: Tüketiciler çevrimiçi ortamda sorunsuz bir alışveriş deneyimi beklediğinden, e-ticaret şirketleri özellikle yeni hesaplar oluştururken ve ilk satın alma işlemini gerçekleştirirken genellikle daha düşük kontroller uygular. Dolandırıcılar bu durumdan faydalanarak bir hesap oluşturmak, birkaç yüksek değerli alışveriş yapmak ve ters ibraz almak için sahte kimlikler kullanıyor ve tüccarların kayıp yükünü artırıyor.

Peki, kuruluşlar bu sofistike dolandırıcılık türüne karşı savunmak için ne yapabilirler? İleriyi gören kuruluşlar, kurum içi veya iş ortağı odaklı dolandırıcılık karşıtı çözümlere yatırım yaparak sentetik kimlik dolandırıcılığıyla mücadele etme yolculuğuna çoktan başladılar. Ancak dolandırıcıların yaklaşımları giderek daha sofistike hale geliyor ve bu da kurumların dolandırıcılıkla mücadele yatırımlarını geliştirmeye devam etmeleri gerektiğinin altını çiziyor. Bir örnek verelim: Dolandırıcılar genellikle statik bir özellik olan Sosyal Güvenlik Numarası gibi benzersiz tanımlayıcılara güvenirler (yani, örneğin bir IP adresinin aksine, zamanla değişmez. Bir kuruluş dolandırıcıların önüne geçmek istiyorsa, statik kimlik özelliklerinin yanı sıra IP adresi, e-posta ve telefon gibi dijital kimliği de doğrulaması gerekecektir. Bu süreç kolay olmayabilir, çünkü tüketiciler sorunsuz bir deneyim beklemekte ve kuruluşlara bir işlemin sahte mi yoksa gerçek mi olduğuna karar vermek için sadece saniyenin bir kısmını vermektedir. 

Özetlemek gerekirse, sentetik kimlik dolandırıcılığı, gerçek bilgilerin yeni bir sentetik kimlik oluşturmak için uydurma bilgilerle birleştirilmesiyle ortaya çıkar. Dolandırıcılar iyi kredi limitlerini güvence altına almak için aylarca veya yıllarca bu sentetik kimlikleri geliştirdiklerinden, bu kimlikler genellikle gerçek görünebilir. Dijital kimlik, bir kimliğin gerçek bir kişiye mi ait olduğunu yoksa sentetik mi olduğunu belirlemenin anahtarını elinde tutmaktadır. Dijital kimliğe, bir kullanıcının her alışveriş yaptığında, işlem yaptığında veya bir hesap açtığında arkasında bıraktığı ayak izleri olarak bakın. Akıllı kuruluşlar, iyi bir müşteri ile kötü bir aktörü ayırt etmek için bu dijital ayak izlerini takip edebilenlerdir. 

Çözümlerimiz, internet çağında kimlik doğrulama için küresel standart olarak kabul ettiğimiz temel dijital kimlik unsurlarını kullanmaktadır. Bu dijital kimlik unsurları isim, e-posta, adres, telefon ve IP adresidir). Kimlik doğrulama çözümlerimiz mevcut dolandırıcılıkla mücadele platformunuzu tamamlayabilir ve en hızlı büyüyen kimlik hırsızlığı biçimlerinden biri olan sentetik kimlik dolandırıcılığıyla mücadele etmeniz için sizi daha iyi donatabilir. 

Sorunsuz bir müşteri deneyimi sunmanızı sağlarken sentetik kimlik dolandırıcılığından kaynaklanan potansiyel kayıpları önlemenize yardımcı olabilecek çözümlerimiz hakkında daha fazla bilgi edinmek için buraya tıklayın.