新帳戶詐騙(NAF)技術對傳統的身分驗證系統構成嚴重威脅,不僅能夠輕易獲取和偽造個人身分資訊,還能突破雙重身分驗證(2FA),開設新帳戶進行非法活動,可能為各行各業帶來經濟損失和信任危機,對數位化程度高的產業尤其如此:銀行與金融服務業首當其衝,詐騙者利用偽造身分申請貸款和信用卡,進行洗錢活動,對金融機構的資產和聲譽造成嚴重損害;電商與線上支付平台也面臨著不當消費和優惠活動濫用的風險,詐騙者利用虛假帳戶進行非法交易,導致經濟損失和市場混亂。根據 AARP 的報告,2023 年新帳戶詐騙造成的損失超過 53 億美元,遠高於 2022 年的 39 億美元。
什麼是新帳戶詐騙(NAF)?
新帳戶詐騙(New Account Fraud,NAF)是指詐騙者通過偽造或盜取的個人身分資訊,在金融機構、電子商務平台或其他數位平台開設新帳戶,並利用這些帳戶進行非法活動的詐騙手段。隨著科技進步,尤其是 AI 和深偽(deepfake)技術的發展,詐騙者能夠更輕易地突破身分驗證防護,使得新帳戶詐騙成為數位安全領域日益嚴重的威脅。
傳統詐騙手段的局限
以往詐騙分子主要依賴暗網來購買偽造的身分證件或個人資料,這些資料通常為掃描文件,品質參差不齊,這類偽造文件能夠通過某些較為基礎的身分驗證系統,但隨著現代身分驗證技術的發展,這些詐騙手法逐漸失效。尤其是當驗證過程要求進行人臉識別時,此類型的偽造文件更難通過驗證,因為傳統的靜態照片和掃描文件無法通過動態的生物識別驗證。
深偽技術的崛起:ProKYC 的深偽工具
為了應對推陳出新的身分驗證系統,詐騙者開始濫用 Deepfake 等更為先進的技術。ProKYC 便是一款在網路犯罪地下市場上銷售的深偽工具,該工具專為繞過加密貨幣交易所等平台的 2FA 設計,它能偽造高品質的政府身分證件平面數位檔案,同時生成深偽影片,模擬偽造人物在進行臉部識別過程中的動態行為,像是頭部的左右擺動。
在 ProKYC 所展示的一段影片中,詐騙者展示了如何利用該工具攻擊 ByBit 加密貨幣交易所的身分驗證系統。整個詐騙流程可以分為以下幾個步驟:
- 生成虛假身分資料:詐騙者首先使用 AI 工具生成虛假的人臉照片,這類技術如今已經相當普及,網站如「thispersondoesnotexist.com」就能生成看似真實的虛擬人臉。
- 製作偽造身分證件:詐騙者將生成的虛假人臉應用於偽造的政府發行身分證件上,如護照或駕照。ProKYC 工具能在幾秒鐘內生成高品質的偽造文件,並且該工具還會在證件上添加官方印章、浮水印等細節,提升偽造文件的真實性。
- 生成深偽影片:接著,詐騙者使用該虛假照片生成一段符合臉部識別要求的影片,模擬頭部左右擺動等動作。雖然影片中可能出現一些小瑕疵,例如眼睛運動不自然或影片末尾的輕微錯誤,但這些細節往往不會被一般的身分驗證系統檢測到。
- 繞過臉部識別驗證:詐騙者將偽造的護照上傳至加密貨幣交易所的身分驗證系統,當系統要求打開電腦攝像鏡頭進行臉部識別時,詐騙者會利用深偽工具生成的影片作為攝像鏡頭輸入,成功繞過生物識別驗證。
- 成功開設帳戶:詐騙者在等待身分證件和影片通過驗證後,最終收到系統通知,確認新帳戶已經開設成功。此時,詐騙者便能利用該帳戶進行洗錢、非法交易或其他違法活動。
NAF 對各產業的衝擊
NAF 詐騙過程通常包括以下四個階段:
- 資料蒐集:詐騙者通過網路釣魚、數據洩露或在黑市購買個人資料,蒐集到足夠的身分資訊來偽造新帳戶。
- 偽造身分:詐騙者利用偽造或盜用的個人資料、身分證件和地址,並使用深偽技術生成虛假的人像和文件。
- 犯罪活動:詐騙者使用偽造的身分開設帳戶,進行洗錢、申請信用卡或貸款、不當消費或濫用優惠活動。
- 帳戶棄用:詐騙者會在完成犯罪活動後快速棄用帳戶,以避免追蹤。
NAF 詐欺行為可能對各行各業造成嚴重影響,特別是數位化程度較高的產業,面臨的風險更大。
- 銀行與金融服務業:詐騙者利用偽造身分申請貸款和信用卡,進行洗錢等非法活動,直接損害金融機構的資產。這些不法行為不僅導致經濟損失,還對金融機構的聲譽造成長期傷害。詐騙者通過開設多個虛假帳戶進行資金轉移,進一步增加金融機構管理風險的難度。
- 電商與線上支付平台:在電商和支付平台上,詐騙者利用虛假帳戶進行不當消費或濫用優惠活動,導致平台蒙受損失。此外,詐騙者還可能利用這些帳戶進行非法資金轉移,破壞市場秩序,增加平台管理成本和風險。
- 電信業:詐騙者可以開設新的手機帳戶,獲取設備後不支付帳單,並迅速棄用帳戶。這種詐騙行為會對電信企業的財務造成直接損失,尤其是硬體設備成本無法追回。
- 保險業:詐騙者通過申請虛假保險來詐領理賠,這不僅增加保險公司的賠付風險,也加重了管理和調查成本。這類行為會對保險公司的風控機制形成挑戰,損害其經濟效益。
- 共享經濟平台:共享經濟平台(如租賃服務、線上叫車平台)依賴信任機制運行,詐騙者通過偽造身分創建帳戶,進行非法交易或其他犯罪活動,嚴重破壞平台的信任環境,影響用戶體驗和平台的長期發展。
如何防範 NAF 詐騙攻擊?
由於詐騙者利用 AI 和深偽技術生成高品質的偽造文件與影片,傳統的身分驗證系統很容易被突破。然而,過於嚴格的生物識別驗證系統可能會導致大量的誤報(false-positive),影響用戶體驗;相反,若驗證機制過於鬆散,則會讓詐騙者有機可乘。因此,找到平衡點至關重要。以下是幾項有效的 NAF 防範措施:
1. 多因素身分驗證(MFA)
多因素身分驗證是一種通過結合多種驗證方式來提升安全性的技術,通常包括密碼、設備驗證以及生物特徵驗證。該技術要求用戶同時通過多個不同的驗證層級,降低單一層級被攻破的風險。例如,除了密碼之外,系統可能要求使用者輸入來自其手機的驗證碼,或進行指紋或臉部識別。這種多層保護能有效減少新帳戶詐騙的成功機會。
2. AI 與機器學習(ML)技術
AI 和 ML 技術可以通過分析用戶行為模式來偵測潛在的詐騙行為。這些技術能識別出異常行為,例如與正常用戶不同的帳戶操作模式、IP 地址變更、登入位置異常等,從而提高風險預警的準確性。機器學習技術還能不斷自我學習,及時更新與偵測新興的詐騙模式。
3. NFC 晶片驗證技術
NFC 晶片驗證技術是身分證件驗證中的一個強有力工具。透過 NFC 晶片,文件中的信息無法被篡改或偽造,從而確保文件的真實性。與依賴靜態圖像的驗證系統不同,NFC 晶片能提供高度可信的驗證方式,有效防止偽造文件通過驗證。
4. 行為生物識別
行為生物識別技術通過分析用戶的操作特徵,例如鍵盤輸入速度、滑鼠操作模式、觸控螢幕的力度等,來判斷使用者是否為真實身分持有者。這種技術能有效識別出詐騙者模仿真實用戶行為時的異常特徵,進一步加強身分驗證的可靠性。
5. 數據分析平台
數據分析平台能夠整合來自不同來源的數據,提供即時的風險評估。透過多方數據交叉分析,系統能迅速發現異常活動,並對潛在的詐騙行為作出快速反應。這些平台還能及時更新風險模型,應對不斷變化的詐騙手法。
6. 修補系統漏洞
針對新帳戶詐騙,修補系統漏洞是至關重要的安全措施。特別是防止注入式攻擊(injection attacks),如 SQL 注入等技術攻擊方式,能有效阻止詐騙者利用系統漏洞進行非法操作。因此,企業應定期進行安全測試,並迅速修補已知漏洞,確保系統的安全性。
Authme 提供身分驗證解決方案
面對日益嚴峻的新帳戶詐騙(NAF)威脅,強化身分驗證成為各行業建立數位安全防護網的首要任務。Authme 提供能幫助防禦 NAF 的一站式身分驗證解決方案,有效降低偽造身分及非法開設帳戶的風險。
- NFC 晶片驗證技術:Authme 採用 NFC 晶片驗證技術來確保身分證件的真偽。這一技術使得身分證件中的信息無法被篡改或偽造,從根本上解決了使用者自行上傳文件時可能出現的偽造風險,有效防止詐騙者利用偽造文件開設帳戶。
- APP 驗證:相較於網頁驗證,我們建議用戶通過 App 進行身分驗證。這樣的驗證方式能大幅降低注入式攻擊的風險,避免了詐騙者通過網站漏洞進行攻擊的可能性——ProKYC 的影片中展示了 Web 驗證中的漏洞,而 App 則能提供更安全的驗證環境。
- 手機相機權限管理:Authme 的 SDK 能夠直接取得手機相機的權限,避免使用者手動上傳身分證件。這樣不僅簡化了操作流程,還能進一步確保過程中的安全性,降低中途資料被篡改或偽造的風險。
- 持續關注防偽技術:我們不斷更新和優化技術解決方案,以應對日益複雜的詐騙手法和技術挑戰,為企業和用戶提供更高級別的安全防護,確保身分驗證系統不會被輕易攻破。
