信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

日前，身份驗證（IDV）技術提供商Regula發(fā)布了《身份欺詐與驗證：商業(yè)影響研究報告》（Identity Verification Investment:A Study on Its Business Impact），深入研究分析了當今身份欺詐的威脅現(xiàn)狀和欺詐預防的措施建議。

研究人員發(fā)現(xiàn)，身份欺詐犯罪分子已經(jīng)變得越來越老練，合成身份欺詐已經(jīng)成為企業(yè)組織必須面對的真正威脅，而深度偽造（deepfake）視頻和語音欺詐也對組織的業(yè)務發(fā)展構成了較大影響。為了應對這些挑戰(zhàn)，有91%的受訪企業(yè)表示，他們會在未來三年內(nèi)增加身份驗證方面的投入。

身份欺詐態(tài)勢分析

報告數(shù)據(jù)顯示，企業(yè)正處在一個技術日益復雜的欺詐環(huán)境中，在2022年，有95%的受訪企業(yè)報告在其組織內(nèi)經(jīng)歷過身份欺詐事件，而企業(yè)組織平均遭遇的身份欺詐事件超過30起，其中26%的受訪中小型企業(yè)和38%的受訪大企業(yè)經(jīng)歷了超過50起身份欺詐事件，有47%的受訪企業(yè)因為身份欺詐損失超過30萬美元。

值得注意的是，身份欺詐問題不僅會影響到大型企業(yè)組織。數(shù)據(jù)顯示，雖然小企業(yè)在2022年經(jīng)歷的身份欺詐案件平均數(shù)量不足10起，但是有超過90%的小型企業(yè)表示受到了身份欺詐的影響。

報告研究發(fā)現(xiàn)，犯罪分子在身份欺詐的方式上也在不斷變化。在過去一年，有近一半的受訪企業(yè)（46%）遭遇過合成身份欺詐（synthetic identity fraud）。合成身份欺詐包括使用真實和虛假信息的混合，或者來自不同個人的真實信息的組合，來創(chuàng)建一個新的虛假身份。一旦合成身份被建立，欺詐者就可以用它來申請信用卡、貸款等金融服務，由于身份是虛構的，因此金融機構很難檢測和防止合成身份欺詐。

與此同時，生成式人工智能（AI）這樣的新技術也將助力犯罪分子更大規(guī)模地發(fā)起更多種類的身份欺詐活動，創(chuàng)建包括音頻、代碼、圖像、文本、模擬和視頻等在內(nèi)的欺詐性內(nèi)容。報告數(shù)據(jù)顯示，37%的受訪企業(yè)已經(jīng)遭遇過深度造假語音欺詐，有29%的受訪企業(yè)遭遇過深度造假視頻詐騙。

組織遭遇的新型身份欺詐技術比例

隨著新型身份欺詐技術的加速擴展，所有企業(yè)都會受到其影響，由此造成的時間、金錢和商譽損失也會非常大。報告調(diào)研發(fā)現(xiàn)，近一半的受訪企業(yè)（47%）表示，身份欺詐造成的財務影響超過30萬美元。而事實上，在員工人數(shù)超過1萬名的大型企業(yè)中，有近四分之一（24%）的企業(yè)報告稱，因為身份欺詐造成的損失超過100萬美元。而從行業(yè)角度來看，銀行業(yè)受到身份欺詐的影響最為嚴重，平均受到的損失超過31萬美元，其中3成銀行機構損失超過50萬美元的銀行機構占比約為31%。

事實上，除了直接的財務損失外，身份欺詐還會在很多方面給企業(yè)造成了損失。當被問及“身份欺詐的最大成本是什么”時，44%的受訪企業(yè)認為“業(yè)務中斷”是其最擔心的問題，而有超過三分之一的受訪者提到了法律違規(guī)風險（36%）以及企業(yè)客戶的流失（34%）。

身份驗證技術的應用

當企業(yè)與客戶以面對面的方式進行交易和合作時，依靠人工流程來驗證客戶的身份是有意義的。如今，隨著企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展的深入，線上電子化交易成為主流模式，傳統(tǒng)人工身份驗證的方式難以跟上時代發(fā)展的步伐。這也解釋了為什么93%的受訪企業(yè)認為在線身份驗證對其業(yè)務發(fā)展至關重要，有94%的企業(yè)已經(jīng)實際使用了數(shù)字化身份驗證工具。數(shù)字文檔驗證（65%）、指紋生物識別驗證（60%）、一次性密碼（58%）是目前采用率最高的三種身份驗證方法。

當前采用率最高的3種身份驗證方法

報告發(fā)現(xiàn)，對于大多數(shù)受訪企業(yè)（43%）而言，實施IDV解決方案的目的是防止涉及身份欺詐的事件。但值得注意的是，有34%的企業(yè)表示，他們實施IDV方案的原因是為了將所有業(yè)務流程數(shù)字化。

同樣值得注意的是，在全球范圍內(nèi)，29%的企業(yè)實施IDV解決方案的原因是為了滿足客戶需求，以及提高客戶滿意度水平。事實上，通過現(xiàn)代企業(yè)驗證客戶身份的方式，不僅可以看出該企業(yè)的業(yè)務安全性，也同樣反映出與該企業(yè)合作的容易程度，如果缺乏完善的身份驗證能力，將會使企業(yè)組織在數(shù)字化業(yè)務開展中落后于競爭對手。

組織實施IDV方案的驅(qū)動因素

報告研究人員認為，在巨大商業(yè)利益的驅(qū)動下，身份欺詐的方式在不斷演變，而現(xiàn)有的欺詐發(fā)現(xiàn)模型普遍缺乏實時可見性，同時也難以實現(xiàn)廣泛的監(jiān)測數(shù)據(jù)綜合分析。因此，對于企業(yè)組織而言，需要盡快部署更有效的增強型欺詐預防建模應用程序和工具來應對日益嚴峻的身份威脅，為安全分析師提供更具洞察力的智能化分析工具，以通過基于約束的規(guī)則來識別更多潛在的身份欺詐風險。這就需要通過AI自動化技術，以識別現(xiàn)有欺詐檢測技術無法察覺的異常。