警惕合成身份的网络攻击风险

关键要点

个人数据泄露现象普遍，合成身份的攻击手法日益成熟。合成身份利用真实个人信息与伪造数据结合，形成几乎完整的虚假身份。组织需加强个人信息验证及更新流程，以防止身份欺诈等财务犯罪。

最近，每天都有新闻报道各种机构遭到攻击，数以百万计的数据记录可能被泄露。尽管泄露的数据量无法准确计算，但显然，个人数据在某种形态下都存在于网络上。

海鸥加速器v6.5.0

对于威胁行为者来说，获取数据集一直是常见的攻击方式。从网络钓鱼攻击到诈骗电话，再到信用卡欺诈，这些攻击手法无一不让我们日常生活中时常体验到。然而，最近这些普遍攻击手法显示出令人不安的复杂性。

近期，越来越多的组织和个人成为了创新犯罪分子的受害者，他们利用共享字段和属性将泄露的数据集关联起来。以往简单的电子邮件地址、姓名、出生日期、电话号码，甚至社保号码最后四位等信息，现在被关联、合并、分析，从而为数百万人的身份构建部分档案。这使得威胁行为者更容易实施身份相关的犯罪，因为他们可以利用足够的信息高效伪造用户身份。

公平地说，这种技术虽然有新名称，但实际上是一种古老的攻击手段。被称为“合成身份”的这种身份攻击手法基于多个过去的数据泄露，几乎构建了一个完整的个人档案，最近在消费者银行业中被提及，成为一种导致成千上万人被冒名开户的攻击手法。虽然这并不是银行首次面临此类技术，但其后果却导致网络安全行业出现了真空，甚至在身份验证和确认的最佳安全实践中造成了空白，因为这些伪造账户的电子档案在创建时几乎是完全的。

首先，我们需要对合成身份给出一个现代定义。根据Equifax的解释，合成身份是金融欺诈的一种形式，这种情况下真实个人的信息如社保号码或出生日期被盗用，并与其他伪造的个人信息结合，以创建新身份。

导致此类攻击的弱点在于缺乏对创建合成身份所使用伪造信息的验证。消费者的姓名和社保号码可能是正确的，但从家庭地址到电话号码等细微差异常常是伪造的，因此进行攻击。

事实上，联系信息发生变化并不罕见，因此在账户创建时验证身份时，这些信息未必可靠。当某人搬家、换工作或关系变动时，联系信息就可能已经改变。企业通常依靠姓名、出生日期和社保号码或最后四位数字，而这现在成了新的风险。即使组织将这些信息打包并发送给第三方身份验证服务，数据的可信度也仅仅取决于威胁行为者的攻击以及合成身份的部分相似度。毕竟，拥有越多真实数据，加上巧妙操控的合成数据，他们攻击成功的可能性就越大。

这种情况显然对消费者及企业产生了负面影响，企业在雇佣员工和使用承包商或供应商时，容易遭受类似的攻击。问一个非常基础的问题：当新员工、承包商或供应商入职时，组织在其人力资源系统中收集并验证了多少个人数据？公司是否定期验证这些信息，以确保个人信息的变更不会使信息失效？

虽然这些听起来像是基本的操作流程，但在这个过程中存在的漏洞可能会导致各种财务欺诈。对于那些不清楚这些攻击向量如何产生的人，考虑以下几个方面：

问题说明如何通知公司更改联系信息？如果公司仅允许通过电子邮件更改这些信息，人力资源或会计部门就容易受到网络钓鱼攻击，导致信息被篡改或支付存款