新規口座詐欺とは何ですか?
新規口座詐欺は、詐欺師やマネーミュールが、自分の ID(第一者詐欺)、盗まれた ID(第三 者詐欺)、または合成 ID を使用して申請した後、金融機関の登録に成功した場合に発生しま す。つまり、詐欺師のノートパソコンや携帯電話はすでに銀行に登録されており、詐欺師はすでに認証のための登録に成功しており、口座は合法的に見えます。しかし、この口座は、クレジットカードの枠を申請し、クレジットカード詐欺を行うなど、詐欺を行うことのみを目的として開設され、その後姿を消します。
新規口座詐欺は、申請詐欺と混同されることがあります。申請詐欺とは、新規の申請者が盗んだ、または偽造した ID で口座を開設しようとするものです。申請詐欺は口座が開設される前に行われ、詐欺師はまだ合法的な見込み顧客になりすまし、銀行のKYCチェックを通過しようとしています。
新規口座詐欺の手口
新規口座詐欺の場合、金融機関に強固な本人確認技術やプロセスがない場合、詐欺師やミュールは検知されることなく預金口座やクレジットカード口座を開設することができます。例えば、詐欺師やミュールは、自分の身分証明書や盗難または偽装した身分証明書を使用して、申請プロセス(特に、完全にオンラインまたはモバイル経由で行われるリモート銀行口座開設)を通過することができます。新規口座開設プロセスや口座開設初期に詐欺師やミュールを摘発できなかった場合、金融機関は後に大きな損失を被る可能性があります。
新規口座詐欺の種類
犯罪者は常に詐欺の手法を変化させています。口座乗っ取り(他人の銀行口座に侵入し、フィッシングやマルウェアなどの手法で利用可能な資金を引き出す)などの多くの詐欺手法が急増し続けている一方で、犯罪者は、詐欺やその他の犯罪行為を目的とした独自の銀行口座を新たに開設することにも狙いを定めています。新規口座詐欺の手口をいくつか見てみましょう。
第一者詐欺(どのようにして新規口座詐欺を助長するのか?)
第一者詐欺は、誰かが詐欺を行う意図を持って口座を開設したものの、自分の身元を偽っている場合に発生します。これは詐欺師本人である場合もあれば、犯罪組織に代わって資金を送金するためにリクルートされた資金仲介人である場合もあります。
- シナリオ1:個人がクレジットを使い切って姿を消した場合
口座の所有者が自分の身元を偽っていなかったり、なりすましを行っていなかったりする場合、疑われるのを避けるために一般的な顧客のように振る舞います。このため、このような詐欺師の行動は典型的に見えるため、早期に特定することは困難です。第一者詐欺師は、ローン、クレジットライン、またはクレジットカードに申し込む際、数カ月かけて良好な信用プロフィールを作成します。また、定期的に支払いを行い、良好な信用プロフィールを確立することもあります。この時点では、詐欺師は、一見合法的な行動で、まだレーダーをかいくぐっています。しかし、詐欺師は十分な信用枠を築いたと判断すると、何も返済せずに現金を引き出したり、多額のローンを組んだりして、姿をくらまします。このような口座はしばしば債権回収に回され、金融機関は第一者詐欺として認識する代わりに損失として計上します。
- シナリオ2:マネーミュールが犯罪者にリクルートされる場合
犯罪者は、盗んだ資金を銀行から引き出すか、資金洗浄をする必要がある場合、当局から身を守るために、しばしばラバを募集します。ウィキペディアによると、マネーミュールとは「違法に入手した(例えば盗んだ)資金を、他人に代わって、直接、宅配便で、あるいは電子的に送金する人。一般的に、運び屋は送金されたお金の一部でサービスの対価を支払います。
「新規口座詐欺は、COVID-19の大流行と、それに起因する詐欺行為につながる高い失業率のため、金融機関にとって最大の懸念事項です。ミュール活動に関するAite Groupの報告書によると、「最近のコロナウイルスの大流行と、この前例のない混乱に起因する世界的な経済不況が、ミュールのリクルーターが引き抜かなければならない労働力プールの拡大にさらに貢献することを示唆しています。
「ラバは、ソーシャルメディア、電子メール、郵便、電話を通じてサイバー犯罪者から連絡を受けます。詐欺師は、在宅勤務や懸賞の当選、あるいは恋愛詐欺でラバを引き寄せる機会など、魅力的なオファーを出し、その見返りとして銀行口座情報などの個人情報を要求します。お金はラバの口座から詐欺のオペレーター(通常は別の国)に送金されます。米国コンピュータ緊急対応チーム(US-CERT)によると、「通常、犯罪者がマネーミュールを利用するのは一度だけです。マネーミュールが取引で自分の役割を果たした後、犯罪者は通常、関係を完全に解消し、次のスキームのために別の誰かをリクルートします。"
よくあるヤミ金詐欺
- 在宅ワーク詐欺
詐欺師は、オンラインの求人サイトやソーシャルメディア、ウェブサイトを利用して、在宅勤務の柔軟性と利便性を求める求職者に合法的に見える偽の求人情報を作成します。通常、この仕事では、「新しい仕事」のための資金を集め、送金するために、新しい銀行口座を開設する必要があります。つまり、犯罪者はラバの口座を使って犯罪の資金を移動させ、おそらく二度と取り戻せないように国外に送金しているのです。在宅ワーク詐欺はその魅力から人気がありますが、ラバが定期的な給与を目にすることはないでしょうし、金銭を受け取って、その一部を偽のサプライヤーやクライアントに送金するよう求められる可能性もあります。この場合、被害者はマネーロンダリングに加担したとして逮捕される可能性があります。
- ロマンス詐欺
オンライン出会い系アプリやソーシャル・ネットワーキング・サイトを使って誰かと知り合うと、ロマンスを装ってお金を送ろうとする詐欺師に騙されることがあります。詐欺師は純粋な愛情を持っているように見え、オンライン恋愛の芽生えに時間をかけます。詐欺師は、海外で石油採掘施設で働いているとか、国際機関で働いているとか、軍に所属しているとか、援助団体の一員である医者だと言うかもしれません。定期的に連絡を取り合い、会い、最終的には結婚することを約束することで信頼が築かれると、詐欺師は通常、金銭を要求します。航空券やその他の旅費、荷物を受け取るための通関手数料、ビザ代、ギャンブルの借金返済などです。恋人にお金を振り込むように頼む、クレジットカードを使うように頼む、ギフトカードをもらうように頼む、ギフトカードをリロードするように頼む、銀行口座の情報を聞く、などです。あるいは、金銭的な援助が必要な友人の一人に送金するよう頼まれるかもしれません。
- 入金詐欺
犯罪者は、ソーシャルメディアやその他のウェブサイトに投稿し、銀行口座を開設する代わりに手っ取り早くお金を稼ぐためにラバを募集します。詐欺師はラバに、盗んだ小切手、偽造小切手、または偽造小切手を預けるための口座を開設するよう伝えます。そしてラバは、小切手が不渡りになる前にATM、銀行の支店、または電子送金で引き出しを行うように言われます。しかし、銀行が詐欺を理由に口座を閉鎖し、顧客としての利用を禁止され、警察に通報されることがあります。
第三者による詐欺(どのようにして新規口座の詐欺を促進するのですか?)
第三者による詐欺は、詐欺師または詐欺師のグループが、他人の身元や個人情報を使用して、身元を使用された本人が知らないうちに新しい口座を開設する場合に発生します。詐欺師は、データ侵害の結果として、個人のフルネーム、運転免許証番号、銀行口座番号、パスポート番号、電子メールアドレスなどの個人を特定できる情報(PII)をダークウェブで不正に入手します。彼らはこの情報を使って、他人名義の詐欺口座を開設します。詐欺師はまた、詐欺口座を開設するために、死亡した人や高齢者、さらには子供の情報を盗むこともあります。第三者による詐欺では、詐欺師はすでにモバイル機器やラップトップが銀行に登録されており、認証のための登録に成功しているため、新しい口座を開設することができます。新しい口座にアクセスできるようになると、クレジットを申請し、利用限度額を超えると姿を消します。ベスト・プラクティスは、すべての新規口座を注意深く監視することであり、特に詐欺が最も発生しやすい最初の30日間に監視することです。
合成ID詐欺(どのように新規口座詐欺を促進するのですか?)
合成 ID 詐欺は、詐欺師が新しい口座を開設するために、住所、電子メールアドレス、生年月日、その他の個人を特定できる情報(PII)など、偽の情報と本物の情報を組み合わせて架空の ID を作成する場合に発生します。架空 ID 詐欺師はクレジットカードを申請しますが、クレジット履歴はなく、多くの場合、300 ドルや 500 ドルといった低額のクレジットを提供するクレジットカード発行会社に申請します。そして、クレジット・アカウントを合法的に使用し、支払いを行い、クレジット・カードやローンを利用できるようにすることで、クレジット・ヒストリーを確立します。
詐欺師は、偽のソーシャルメディア・プロフィール、偽の身分証明書、その他の偽の書類など、偽の身分を本物に見せかけることで、銀行のKnow Your Customer (KYC)テストに合格するために多大な労力を費やします。中には、合法的に見せかけるために、対面で新規口座開設を申請する者さえいます。詐欺師はまた、良好なクレジット・ヒストリーを持つ他人の口座に認証ユーザーとして合成IDを追加し、その口座を利用して自分のクレジット・スコアをプラスにすることもできます。
合成 ID 詐欺は、詐欺師が実在の人物になりすましてその人の信用を利用する従来の ID 詐 欺とは異なります。従来の ID 詐欺は、被害者が異常な請求に気付く傾向があるため、通常、より迅速に発見され、報告されます。金融機関や金融サービス機関が発見するのがより困難であるため、犯罪者が合成 ID を作成するケースが増えています。
新規口座詐欺から身を守るには
新規口座詐欺は、正当な顧客行動を模倣することができるため、銀行が検知することが難しく、詐欺師にとって有益です。しかし、詐欺防止システムは、特に新規口座開設後30日間は、口座に関する個人の行動を継続的に監視する必要があります。
不正防止システムは、新規顧客が金融機関、銀行、または信用組合に登録される際に、新規口座の不正行為を検出し、防止するのに役立ちます。新規顧客が銀行にモバイルデバイスを登録する際、不正防止システムはそのデバイスが盗難されたものであるか、または以前の詐欺スキームで使用されたものであるかを判断することができます。また、同じデバイスに複数の新しい口座が関連付けられているか、またはそのデバイスによって作成されているかなど、不正の指標を探すことができます。
銀行は、金銭的か非金銭的かを問わず、すべてのアクションやイベントも調べるリスクベースの不正防止システムを検討すべきです。これには、口座所有者のプロフィールの変更、受取人や受取人の追加、ログイン時間、全チャネルにわたるデバイス登録などが含まれます。
新規口座開設時、金融機関は通常、既存ユーザーと同様に新規登録ユーザーやデバイスの行動パターンを確立するのに十分な情報を持っていません。しかし、不正防止システムは、以前に悪意があると特定された既知の行動プロファイルをキャッチする必要があります。このような場合、ベストプラクティスは、新規アカウント保有者の行動を代表的な顧客プールと比較することです:
- 平均と比較した支出行動
- 支払先プロファイル
- 一連の行動
- 機械的またはボット的な行動に関連するナビゲーションデータ
- 異常で危険な場所
- アカウント所有者と他のユーザーとの関係
リスクエンジンは、金融機関が不正行為が証明されたユーザー、IPアドレス、デバイスとのすべての可能な関係を検出できるように、すべてのデジタルチャネルにわたるすべてのデータを収集し、スコアリングできる必要があります。これには、ユーザー、口座、場所、デバイス、セッション、振込先などの情報が含まれます。システムが口座名義人の個人情報に何らかの異常な変化があることに気づいた場合、意思決定エンジンはそれを疑わしいものとしてフラグを立てたり、レビューが必要であることを示したりします。その後、必要に応じて積極的に監視し、調査することができます。
ベストプラクティスとして、金融機関が信頼できるプロファイルと信頼レベルを構築するまで、新規登録ユーザーを注意深く監視する必要があります。口座が一定期間アクティブでなく、その後、口座保有者がリスクの高い取引を試みた場合、これはリスクエンジンによってキャッチされるべきです。さらに、リスクベースの不正検知・防止システムは、各振込先を分析し、ミュール口座を検知する必要があります。
ジャベリンによると、「口座乗っ取り詐欺は、マルチチャネルでの口座アクセスや消費者体験の摩擦を減らしたいという要望から、特定が最も難しいタイプの詐欺の一つです。
新規アカウント詐欺の防止に役立つテクノロジー
デジタル本人確認
金融機関では、新規口座詐欺に発展する前に本人確認詐欺を防止するため、リモート口座開設プロセスの一環としてデジタル本人確認技術を導入するケースが増えています。OneSpan Identity Verificationのようなソリューションは、不正なID文書や盗難されたID文書を検出するために、文書検証と顔比較アルゴリズムに依存しています。これは、申込者を顧客として受け入れる前の申込段階で、リスクインテリジェンス(例えば、リスクエンジンを活用して、既知の悪意のあるデバイス、ISP、場所などにブラックリストからフラグを付ける)と組み合わせることもできます。
顧客の視点に立つと、次のようになります。遠隔操作で新規オンライン口座を開設する顧客は、運転免許証または政府発行の身分証明書の表裏をモバイル機器でスキャンし、デジタルで本人確認を求められます。不正な政府発行の身分証明書を特定することで、新規口座の不正をすぐにキャッチすることができ、後で不正を軽減しなければならない可能性を減らすことができます。また、受動的な生存検出は、詐欺師となる人物が提供を求められた自撮り写真が本物の人間の存在を証明するかどうかを判断するために使用できます。ライブネス検知は、高解像度のプリントアウトや録画済みビデオなどの方法を用いて、画像が不正に作成されたものではないことを証明するのに役立ちます。
行動監視によるリアルタイム不正防止システム
OneSpan Risk Analyticsのようなシステムは、すべての新規口座を詳細かつリアルタイムで監視します。これは、新規口座詐欺が最も発生しやすい最初の30日間において極めて重要です。行動監視機能を備えたシステムにより、金融機関は休眠口座、休眠口座からウォームアップ口座への移行、顧客申請書の給与データに基づく合理的な範囲を超えた高額な出し入れを追跡することができます。
機械学習:
これは人工知能(AI)の一種で、人間とは異なり、デジタル・チャネルを横断して膨大な量の異種データをリアルタイムで分析することができます。機械学習に基づく不正防止システムは、複数のレベルでデータを集約・分析する能力を備えています。これにより、金融機関はユーザー、デバイス、トランザクション、チャネルにまたがるあらゆる可能性のある関係を即座に検出し、不正行為をより正確に特定することができます。
不審な行動が高リスクスコアによって検出された場合、リスクエンジンは動的なワークフロー変更を推進してセキュリティを強化したり、手動レビュープロセスを推進したりすることができます。その後、不正防止チームが積極的に監視し、調査のためにエスカレーションすることができます。