大多数金融机构对于身份欺诈并不陌生。传统认知中,身份欺诈通常意味着攻击者窃取某个真实用户的身份信息,例如身份证件、手机号或银行账户,然后冒充受害者申请贷款、开设账户或进行交易。然而,近年来另一种更隐蔽的风险正在快速增长——合成身份欺诈(Synthetic Identity Fraud)。
与传统身份盗用不同,合成身份欺诈并不是盗用某一个真实身份,而是通过融合真假信息,拼凑出一个虚假的合成的身份。例如,使用真实身份证号码搭配虚构姓名,或者使用真实手机号配合AI生成头像和伪造背景资料,最终构建出一个看似真实、实际上并不存在的人。对于金融机构而言,由于用户信息中参杂着大量真实且可验证的信息,这类欺诈往往比传统欺诈更难识别。
为什么AIGC让合成身份欺诈变得更加危险?
合成身份欺诈并不是新概念,但AIGC正在改变它的生产方式。
过去,构建一个完整的虚假身份需要投入大量时间和人力。欺诈者需要寻找可利用的信息、制作证件图片、伪造照片、编写背景资料,并持续维护这些身份。整个过程成本较高,因此很难实现大规模复制。
如今,生成式AI大幅降低了这一门槛。攻击者可以利用大语言模型生成个人履历、职业背景和居住信息,通过图像生成工具创建头像,利用Deepfake技术制作自拍视频,甚至自动生成社交媒体内容来丰富身份画像。过去需要数小时甚至数天完成的工作,现在可能只需要几分钟。
更重要的是,这些资料之间不再像传统伪造信息那样高度重复。AIGC能够生成大量看似合理且彼此差异化的内容,使得规则引擎和人工审核更难发现明显异常。当虚假身份开始具备真实用户的外观和行为特征时,传统验证方式所依赖的很多判断依据正在失效。
合成身份是如何被不断“润色”的?
很多人以为欺诈者会在创建身份后立刻申请贷款或套现,但现实情况往往更加复杂。
在许多案例中,合成身份的培养过程可能持续数月甚至更长时间。欺诈者首先利用真实与虚假信息组合建立新的身份档案,然后注册账户、绑定手机号、完成基础认证,并逐步积累正常交易记录。随着时间推移,这些账户会表现出越来越接近真实用户的行为模式。
随后,攻击者开始通过小额借贷、信用产品申请或其他金融活动建立信用历史。当信用记录逐渐形成后,金融机构会越来越倾向于将其视为正常客户。直到某个时间点,欺诈者集中申请高额度贷款、信用产品或其他金融服务,最终完成套现并消失。
对于金融机构来说,最大的风险在于整个过程中的大部分行为看起来都十分正常。系统看到的是一个拥有历史记录、有交易行为、有身份信息的客户,而实际上,这个客户从未真实存在过。
为什么传统KYC越来越难发现合成身份?
许多金融机构已经部署了OCR、人脸识别、活体检测以及证件真实性校验等能力,但面对合成身份时,仍然可能出现识别盲区。
原因在于,传统KYC主要解决的是身份真实性验证问题。例如证件是否真实、照片是否匹配、用户是否完成活体检测等。这些能力对于发现伪造证件和冒名开户非常有效,但合成身份欺诈的问题并不一定出现在这些环节。
在很多情况下,攻击者使用的部分信息本身就是真实的。身份证号码可能真实存在,手机号可能真实可用,人脸图像也可能来源于真实人物。当系统验证每一个单独要素时,都能够得到“正常”的结果。但问题在于,这些信息并不属于同一个真实存在的人。
这也是为什么越来越多金融机构开始意识到,身份验证并不等于身份真实性验证。验证信息的真实性只是第一步,判断这些信息是否共同构成一个真实个体,才是更困难的问题。
金融机构如何检测合成身份?
面对合成身份欺诈,金融机构需要建立更全面的风险识别体系,而不仅仅依赖单一身份验证能力。
首先是身份真实性验证。证件核验、人脸比对、活体检测仍然是基础能力,它们能够帮助机构过滤大量低质量欺诈尝试,并阻止明显的身份伪造行为。
其次是设备真实性验证。一个真实用户通常拥有相对稳定的设备使用习惯,而欺诈团伙往往会共享设备资源、使用模拟器、云手机或批量控制工具。通过设备指纹和设备风险分析,机构能够发现账户背后的异常设备环境。
除此之外,行为分析的重要性也在不断提升。真实用户和欺诈者在注册、登录、申请贷款以及使用金融服务时,往往会表现出不同的行为模式。机器学习模型能够从这些行为轨迹中识别异常特征,并发现隐藏风险。
更进一步,关系网络分析正在成为识别合成身份的重要手段。单个身份看起来可能没有问题,但当多个账户共享设备、联系方式、地址信息或者资金流向时,背后的关联关系往往会暴露出欺诈团伙的存在。通过知识图谱和关联网络分析,金融机构能够从更宏观的视角识别那些隐藏在正常账户背后的风险群体。
写在最后
当AI让伪造身份变得越来越容易时,金融机构需要验证的不只是身份证件上的信息,而是这些信息背后是否对应着一个真实存在的用户,而不是一个用户的拼图。
未来的身份验证将不再局限于证件核验和人脸比对,而是逐步演变为一套覆盖身份、设备、行为和关系网络的综合风险识别体系。对于金融机构而言,竞争的关键也将不只是验证技术本身,而是谁能够更早识别那些看似正常、实际上并不存在的身份,并在风险形成损失之前采取行动。
