Oszustwo dotyczące nowych rachunków

Co to jest oszustwo związane z nowym kontem?

Oszustwo związane z nowym kontem ma miejsce wtedy, gdy oszust lub muł pieniężny został z powodzeniem przyjęty do instytucji finansowej po złożeniu wniosku przy użyciu własnej tożsamości (oszustwo z pierwszej ręki), tożsamości skradzionej (oszustwo z trzeciej ręki) lub tożsamości syntetycznej. Oznacza to, że laptop i telefon oszusta zostały już zarejestrowane w banku, oszust został już pomyślnie zapisany do uwierzytelnienia, a konto wygląda na legalne. Konto zostało jednak założone wyłącznie w celu popełnienia oszustwa, np. złożenia wniosku o linię kart kredytowych i popełnienia oszustwa związanego z kartami kredytowymi, a następnie zniknięcia.

Oszustwa dotyczące nowych kont są czasami mylone z oszustwami dotyczącymi wniosków, które mają miejsce, gdy nowy wnioskodawca próbuje otworzyć konto, posługując się skradzioną lub sfabrykowaną tożsamością. Oszustwo aplikacyjne ma miejsce jeszcze przed otwarciem konta, ponieważ oszust nadal próbuje podać się za legalnego potencjalnego klienta i przebrnąć przez bankowe kontrole KYC.

Jak działa oszustwo związane z nowym kontem

W przypadku oszustw związanych z nowymi kontami, oszuści lub muły mogą z powodzeniem otworzyć konto depozytowe lub konto karty kredytowej bez wykrycia, jeśli instytucja finansowa nie dysponuje solidną technologią i procesami weryfikacji tożsamości. Na przykład, oszust lub pośrednik może przejść przez proces składania wniosku (zwłaszcza zdalnego otwarcia rachunku bankowego dokonywanego całkowicie online lub za pośrednictwem telefonu komórkowego), posługując się własnymi dokumentami tożsamości lub skradzioną bądź syntetyczną tożsamością. Niewykrycie oszusta lub muła podczas procesu przyjmowania do pracy lub podczas wczesnej aktywności na koncie może prowadzić do znacznych strat finansowych dla instytucji finansowych w późniejszym okresie.

Rodzaje oszustw związanych z nowymi kontami

Przestępcy stale dostosowują swoje techniki popełniania oszustw. Podczas gdy wiele technik oszustw, takich jak przejęcie konta (włamanie na cudze konto bankowe i wydrenowanie wszelkich dostępnych środków za pomocą phishingu, złośliwego oprogramowania i innych metod), nadal się nasila, przestępcy zaczęli również otwierać nowe, własne konta bankowe, specjalnie w celu dokonywania oszustw i innych rodzajów działalności przestępczej. Przyjrzyjmy się kilku sposobom popełniania oszustw związanych z nowymi kontami.

Oszustwa typu "first-party" (W jaki sposób ułatwia to oszustwa związane z nowymi kontami?)

Oszustwo pierwszej strony ma miejsce wtedy, gdy ktoś otworzył konto z zamiarem popełnienia oszustwa, ale podał fałszywą tożsamość. Może to być sam oszust lub też muł pieniężny zwerbowany do przekazywania środków w imieniu organizacji przestępczej.

• Scenariusz 1: Gdy osoby fizyczne wykorzystują maksymalnie kredyt i znikają
  W przypadkach, gdy właściciel konta nie podał fałszywej tożsamości lub nie dopuścił się kradzieży tożsamości, będzie zachowywał się jak typowy klient, aby uniknąć podejrzeń. To sprawia, że taki oszust jest trudny do wczesnego zidentyfikowania, ponieważ jego zachowanie wydaje się być typowe. Oszust może potrzebować kilku miesięcy na stworzenie dobrego profilu kredytowego, ponieważ ubiega się o pożyczkę, linię kredytową lub kartę kredytową. Mogą oni nawet dokonywać regularnych płatności, aby stworzyć dobry profil kredytowy. W tym momencie oszust nadal pozostaje niezauważony ze swoim pozornie zgodnym z prawem zachowaniem. Gdy jednak oszust uzna, że zgromadził wystarczające linie kredytowe, wypłaci gotówkę lub zaciągnie duży kredyt bez spłaty i zniknie z pola widzenia. Konta te są często wysyłane do windykacji i odpisywane przez instytucję finansową jako strata, zamiast być uznawane za oszustwo pierwszej strony.
   
• Scenariusz 2: Gdy przestępcy rekrutują muły
  pieniężne Gdy przestępcy muszą wyprowadzić skradzione fundusze z banku lub wyprać pieniądze, często rekrutują do tego celu muły, aby uchronić się przed władzami. Według Wikipedii, muł pieniężny "to osoba, która przekazuje pieniądze zdobyte nielegalnie (np. skradzione) osobiście, za pośrednictwem firmy kurierskiej lub elektronicznie, w imieniu innych osób. Zazwyczaj muł otrzymuje zapłatę za usługi w postaci niewielkiej części przekazywanych pieniędzy.
  
  "Oszustwa związane z nowymi kontami są głównym problemem dla instytucji finansowych ze względu na pandemię COVID-19 i wynikające z niej wysokie bezrobocie, które może prowadzić do oszustw. Według raportu Aite Group na temat działalności mułów, "Dowody wskazują na to, że niedawna pandemia koronawirusa i globalna recesja gospodarcza wynikająca z tego bezprecedensowego zakłócenia przyczynią się do dalszego rozszerzenia puli pracowników, z której muszą czerpać osoby rekrutujące muły.
  
  "W ten sposób cyberprzestępcy kontaktują się z mułami za pośrednictwem mediów społecznościowych, poczty elektronicznej, poczty lub telefonu. Oszust przedstawi atrakcyjną ofertę, taką jak możliwość pracy w domu, wygrania nagrody lub nawet przyciągnięcia muła poprzez oszustwo romansowe, a w zamian zażąda podania danych osobowych, w tym informacji o koncie bankowym. Pieniądze są przelewane z konta muła na konto operatora oszustwa, zazwyczaj w innym kraju. Według United States Computer Emergency Readiness Team (US-CERT): "Zazwyczaj przestępca korzysta z mułów pieniężnych tylko raz. Po wykonaniu przez muła pieniężnego swojej roli w transakcji, przestępca zazwyczaj całkowicie rozwiązuje tę relację i werbuje kogoś innego do kolejnej intrygi."

Najczęstsze oszustwa z wykorzystaniem mułów pieniężnych

• Oszustwa związane z pracą wdomu
  Oszuści wykorzystują internetowe portale pracy, media społecznościowe i strony internetowe do tworzenia fałszywych ogłoszeń o pracę, które wyglądają na zgodne z prawem dla osób poszukujących pracy, które chcą elastyczności i wygody pracy w domu. Zazwyczaj praca wymaga od nowego pracownika otwarcia nowego konta bankowego, aby umożliwić mułowi zbieranie i przekazywanie funduszy na "nową pracę". W rzeczywistości przestępcy wykorzystują konto muła do przenoszenia dochodów z przestępstwa, prawdopodobnie poza granice kraju, aby nigdy ich nie odzyskać. Oszustwa polegające na pracy w domu są popularne ze względu na ich atrakcyjność, ale muł prawdopodobnie nigdy nie zobaczy regularnej wypłaty lub może otrzymać pieniądze i zostać poproszony o przesłanie ich części fałszywemu dostawcy lub klientowi. W ten sposób ofiara jest narażona na możliwość aresztowania za udział w systemie prania pieniędzy.
   
• Oszustwa romansowe
  Korzystanie z internetowych aplikacji randkowych lub portali społecznościowych w celu poznania kogoś może doprowadzić do tego, że oszust będzie próbował podstępnie zmusić Cię do wysłania mu pieniędzy pod pozorem romansu. Oszust wydaje się być autentyczny w swoich uczuciach i poświęca czas na budowanie związku online. Oszust może powiedzieć, że pracuje za granicą na platformie wiertniczej lub w organizacji międzynarodowej, jest w wojsku lub jest lekarzem należącym do organizacji pomocowej. Gdy zaufanie jest już zbudowane poprzez regularny kontakt i obietnicę spotkania, a w końcu małżeństwa, oszust zazwyczaj prosi o pieniądze. Może to być bilet lotniczy lub inne wydatki związane z podróżą, opłaty celne za odebranie przesyłki, opłata za wizę lub spłata długów hazardowych. Mogliby poprosić swoje zainteresowanie miłością o przelanie pieniędzy, użycie ich karty kredytowej, zdobycie kart podarunkowych lub doładowanie kart podarunkowych, albo poprosić o informacje o koncie bankowym. Albo mogą poprosić Cię o wysłanie pieniędzy do jednego z ich przyjaciół, który potrzebuje pomocy finansowej.
   
• Oszustwa związane z wpłatami
  Przestępcy zamieszczają w mediach społecznościowych i na innych stronach internetowych ogłoszenia rekrutujące mułów do zarobienia szybkich pieniędzy w zamian za otwarcie konta bankowego. Oszuści każą mułłom założyć konto, na które można wpłacać skradzione, sfałszowane lub podrobione czeki. Następnie każe się mułowi wypłacić pieniądze w bankomacie, oddziale banku lub poprzez e-przelew, zanim czek zostanie zrealizowany. Może się jednak zdarzyć, że bank zamknie konto z powodu oszustwa, zabroni mu być klientem i zgłosi sprawę na policję.

Oszustwa ze strony osób trzecich (W jaki sposób ułatwia to oszustwa związane z nowymi kontami?)

Oszustwo ze strony osób trzecich ma miejsce wtedy, gdy oszust lub grupa oszustów wykorzystuje tożsamość lub dane osobowe innej osoby w celu otwarcia nowego konta bez wiedzy osoby, której tożsamość jest wykorzystywana. Oszuści mogą nielegalnie uzyskać w Ciemnej Sieci informacje umożliwiające identyfikację osoby (PII), takie jak imię i nazwisko, numer prawa jazdy, numer konta bankowego, numer paszportu, adres e-mail i inne informacje, w wyniku naruszenia danych. Wykorzystują te informacje do otwierania oszukańczych kont na nazwiska innych osób. Oszuści mogą również wykradać informacje od osób zmarłych lub starszych, a nawet od dzieci, w celu otwarcia oszukańczych kont. W przypadku oszustw dokonywanych przez osoby trzecie, oszust jest w stanie otworzyć nowe konto, ponieważ jego urządzenie mobilne i laptop zostały już zarejestrowane w banku i pomyślnie przeszły proces uwierzytelniania, co można przypisać brakowi solidnych technologii weryfikacji tożsamości w instytucjach finansowych. Po uzyskaniu dostępu do nowego konta, składają wniosek o kredyt, maksymalizują go i znikają. Najlepszą praktyką jest dokładne monitorowanie wszystkich nowych kont, zwłaszcza w ciągu pierwszych 30 dni, kiedy prawdopodobieństwo wystąpienia oszustwa jest największe.

Oszustwa związane z tożsamością syntetyczną (W jaki sposób ułatwiają one oszustwa związane z nowymi kontami?)

Oszustwo dotyczące tożsamości syntetycznej ma miejsce, gdy oszust łączy fałszywe i prawdziwe informacje, takie jak adresy ulic, adresy e-mail, data urodzenia i inne informacje umożliwiające identyfikację osoby (PII), aby stworzyć fikcyjną tożsamość w celu otwarcia nowego konta. Oszust posługujący się syntetyczną tożsamością składa wniosek o kartę kredytową, ale nie ma historii kredytowej i często składa wniosek u wystawcy karty kredytowej, który oferuje niską kwotę kredytu, np. 300 lub 500 dolarów. Będą legalnie korzystać z konta kredytowego i dokonywać płatności w celu ustanowienia dobrej historii, aby móc uzyskać więcej kart kredytowych lub pożyczki przed ich maksymalnym wykorzystaniem i wymknięciem się.

Oszuści mogą zadać sobie wiele trudu, aby przejść testy KYC (Know Your Customer) przeprowadzane przez banki, sprawiając, że ich syntetyczne tożsamości wydają się prawdziwe, w tym fałszywe profile w mediach społecznościowych, fałszywe poświadczenia tożsamości i inne fałszywe dokumenty. Niektórzy z nich składają nawet wnioski o otwarcie nowego konta osobiście, aby sprawiać wrażenie legalnych. Oszust może również dodać syntetyczną tożsamość jako autoryzowany użytkownik na koncie należącym do innej osoby z dobrą historią kredytową, aby wykorzystać to konto do budowania własnego pozytywnego wyniku kredytowego.

Syntetyczne oszustwo tożsamości różni się od tradycyjnego oszustwa tożsamości, w którym oszust udaje prawdziwą osobę i korzysta z jej kredytu. Tradycyjne oszustwo tożsamości jest zwykle szybciej wykrywane i zgłaszane, ponieważ ofiara ma tendencję do zauważania wszelkich nietypowych opłat. Coraz częściej przestępcy tworzą syntetyczne tożsamości, ponieważ jest to trudniejsze do wykrycia przez instytucje finansowe i instytucje świadczące usługi finansowe.

Jak chronić się przed oszustwami dotyczącymi nowych kont

Oszustwa związane z nowymi kontami są opłacalne dla oszustów, ponieważ mogą naśladować zachowania legalnych klientów, co utrudnia bankom ich wykrycie. Jednak system zapobiegania oszustwom powinien stale monitorować zachowanie danej osoby na jej koncie - zwłaszcza w ciągu pierwszych 30 dni od założenia nowego konta.

System antyfraudowy może pomóc w wykrywaniu i zapobieganiu oszustwom związanym z nowymi kontami, gdy nowy klient jest wprowadzany do instytucji finansowej, banku lub unii kredytowej. Kiedy nowy klient rejestruje swoje urządzenie mobilne w banku, system zapobiegania oszustwom może ustalić, czy urządzenie zostało skradzione lub użyte w poprzednim schemacie oszustwa. Może on szukać wskaźników oszustwa, takich jak fakt, czy istnieje wiele nowych kont powiązanych z tym samym urządzeniem lub utworzonych za jego pomocą.

Banki powinny rozważyć wprowadzenie systemu antyfraudowego opartego na ryzyku, który analizuje wszystkie działania i zdarzenia, zarówno pieniężne, jak i niepieniężne, w tym takie rzeczy jak zmiany w profilu właściciela konta, dodawanie beneficjenta lub odbiorcy płatności, czasy logowania i rejestracje urządzeń we wszystkich kanałach.

W momencie otwarcia nowego konta instytucja finansowa zazwyczaj nie posiada wystarczających informacji, aby ustalić wzorce zachowań nowo zarejestrowanych użytkowników i urządzeń w taki sam sposób, jak w przypadku dotychczasowych użytkowników. Jednak system antyfraudowy powinien wychwycić znany profil zachowania, który został wcześniej zidentyfikowany jako złośliwy. W takiej sytuacji, najlepszą praktyką jest porównanie zachowania nowego posiadacza konta z reprezentatywną pulą klientów, co pozwoli na przeanalizowanie takich rzeczy jak:

• Zachowania wydatkowe w porównaniu do średniej
• Profil odbiorcy
• Kolejność działań
• Dane nawigacyjne związane z zachowaniem podobnym do zachowania maszyny lub bota
• Nietypowe i ryzykowne lokalizacje
• Relacje właściciela konta z innymi użytkownikami

Mechanizm ryzyka musi być w stanie zbierać i oceniać wszystkie dane we wszystkich kanałach cyfrowych, aby umożliwić instytucji finansowej wykrycie wszystkich możliwych powiązań z użytkownikami, adresami IP i urządzeniami, które udowodniły zachowania związane z oszustwami. Obejmuje to między innymi informacje o użytkowniku, koncie, lokalizacji, urządzeniu, sesji i odbiorcy płatności. Jeśli system zauważy jakiekolwiek nietypowe zmiany w danych osobowych posiadacza konta, silnik decyzyjny oznaczy je jako podejrzane lub wskaże, że wymagają one przeglądu. Można je wtedy aktywnie monitorować i w razie potrzeby zbadać.

Najlepszą praktyką jest ścisłe monitorowanie nowo zarejestrowanych użytkowników do czasu zbudowania przez instytucję finansową wiarygodnego profilu i poziomu zaufania. Jeśli konto jest nieaktywne przez pewien czas, a następnie właściciel konta próbuje dokonać transakcji wysokiego ryzyka, powinno to zostać wychwycone przez mechanizm ryzyka. Ponadto system wykrywania oszustw i zapobiegania im, oparty na analizie ryzyka, powinien analizować każdego odbiorcę płatności i wykrywać rachunki mułów.

Według Javelin, "Oszustwo polegające na przejęciu konta jest jednym z najtrudniejszych do zidentyfikowania rodzajów oszustw ze względu na wielokanałowy dostęp do konta i chęć zmniejszenia tarć w doświadczeniach konsumenta."

Technologie, które mogą pomóc w zapobieganiu oszustwom związanym z nowymi kontami

Cyfrowa weryfikacja
tożsamości Coraz częściej instytucje finansowe wdrażają technologię cyfrowej weryfikacji tożsamości jako część procesu zdalnego otwierania konta, aby pomóc w zapobieganiu oszustwom związanym z tożsamością, zanim przerodzą się one w oszustwa związane z nowym kontem. Rozwiązania takie jak OneSpan Identity Verification opierają się na algorytmach weryfikacji dokumentów i porównywania twarzy w celu wykrycia fałszywych i skradzionych dokumentów tożsamości. Używane razem, biometria twarzy i cyfrowa weryfikacja dokumentów tożsamości mogą zapewnić, że wnioskodawca jest w rzeczywistości osobą, za którą się podaje, a nie cyberprzestępcą. Można to również połączyć z inteligencją ryzyka (np. wykorzystując silnik ryzyka do oznaczania znanych złośliwych urządzeń, dostawców usług internetowych, lokalizacji itp. z czarnej listy) na etapie składania wniosku, przed zaakceptowaniem wnioskodawcy jako klienta.

Oto jak to działa z punktu widzenia klienta. Klient otwierający zdalnie nowe konto internetowe byłby proszony o cyfrową weryfikację tożsamości poprzez zeskanowanie przedniej i tylnej strony prawa jazdy lub dokumentu tożsamości wydanego przez rząd za pomocą urządzenia mobilnego. Wykrycie oszustw dotyczących nowych kont od razu poprzez zidentyfikowanie fałszywej identyfikacji rządowej zmniejsza szanse na konieczność łagodzenia skutków oszustw w późniejszym czasie. Ponadto, pasywne wykrywanie ruchu może być wykorzystane do ustalenia, czy zdjęcie selfie, o które poproszono niedoszłego oszusta, dowodzi prawdziwej obecności człowieka. Detekcja aktywności pomaga udowodnić, że obraz nie został stworzony w sposób oszukańczy przy użyciu takich metod, jak wydruki o wysokiej rozdzielczości lub nagrane wcześniej filmy.

Systemy zapobiegania oszustwom w czasie rzeczywistym z monitoringiem behawioralnym:
Systemy takie jak OneSpan Risk Analytics monitorują wszystkie nowe konta dokładnie i w czasie rzeczywistym, co jest niezwykle ważne w ciągu pierwszych 30 dni, kiedy prawdopodobieństwo wystąpienia oszustw na nowych kontach jest największe. Systemy z możliwością monitorowania zachowań pozwalają instytucjom finansowym śledzić konta uśpione, konta uśpione do rozgrzanych oraz wysokie przelewy do/z poza granice tego, co miałoby sens na podstawie danych o wynagrodzeniu w aplikacji klienta.

Uczenie maszynowe:
Jest to rodzaj sztucznej inteligencji (AI), która może analizować ogromne ilości rozproszonych danych, w kanałach cyfrowych, w czasie rzeczywistym, w przeciwieństwie do człowieka. Systemy antyfraudowe oparte na uczeniu maszynowym mają możliwość agregacji i analizy danych na wielu poziomach. Dzięki temu instytucja finansowa może natychmiast wykryć wszystkie możliwe zależności między użytkownikami, urządzeniami, transakcjami i kanałami, aby dokładniej zidentyfikować zachowania związane z oszustwami.

W przypadku wykrycia podejrzanego zachowania na podstawie wyniku wysokiego ryzyka, mechanizm ryzyka może spowodować dynamiczną zmianę przepływu pracy w celu zwiększenia bezpieczeństwa lub uruchomić proces ręcznego przeglądu. Następnie może być aktywnie monitorowany przez zespół ds. zapobiegania oszustwom i eskalowany w celu przeprowadzenia dochodzenia.