Pour commencer : la fraude à l’identité synthétique est une « labellisation » relativement récente pour un phénomène qui remonte aux premières fraudes au moyen de paiement.
C’est la capacité à la rendre plus aisément identifiable qui a permis de lui donner des « lettres de noblesse ».
La définition sur laquelle tout le monde s’entend est la suivante : une identité synthétique est une identité assemblée, dont les caractéristiques sont de mélanger de vraies et de fausses informations.
Reste à s’entendre sur ce qui est de l’ordre de la « fausse » information et de la « vraie ».
Tout va dépendre du contexte et de la verticale « attaquée ».
Côté verticale, dans le cadre d’un onboarding bancaire, ce qui est généralement vrai sont les éléments justificatifs qui sont en fait usurpés (document d’identité… justificatif de domicile…). Ce qui est « faux » (ou plutôt « créé pour l’occasion ») sont les données de contact (adresse électronique et numéro de téléphone).
Dans le domaine du e-commerce, ce qui est vrai c’est l’adresse de livraison (forcément… le produit doit arriver à bon port), le moyen de paiement (usurpé la plupart du temps). Ce qui est faux est du même acabit que pour l’onboarding bancaire. Et cela a toujours été le cas. D’où notre remarque en préambule.
Pour ce qui est du contexte, tout va dépendre du niveau de contrôle en place concernant les données de contact. Par exemple, si l’onboarding ne prévoit pas une vérification que l’internaute a bien accès à l’adresse électronique déclarée comme par exemple à travers l’envoi d’un message de bienvenu avec un lien à cliquer pour confirmation / création du compte, le professionnel s’expose à ce que le fraudeur utilise une adresse électronique usurpée elle également (celle de l’identité usurpée ou une adresse avec une homonymie au niveau du username).
Comment tombe-t-on dans le panneau (sans équipement adéquat) ?
Sans data lookup il est facile de confondre une identité synthétique avec une identité digitale de bonne facture.
Pour mémoire, un data lookup, c’est une capacité à avoir accès à des « marqueurs d’antériorité ». En effet, une adresse électronique nouvellement créée et un numéro de téléphone récemment activé n’ont pas les attributs de ceux qui ont « eu une vie ».
De plus le fraudeur aura généralement pris soin de créer une adresse électronique avec un username qui reflète l’identité déclarée ou usurpée. Il évitera que celui-ci comporte par exemple des chiffres proposés au hasard par le webmail sélectionné comme un dupont.jean12349@...... et optera plutôt, si un username sans chiffre n’est pas proposé, pour des chiffres faisant écho à l’identité usurpée comme le département, le code postal de l’adresse de livraison ou encore l’année voire la date de naissance.
Quant au numéro de téléphone, le fraudeur avisé aura compris que mieux vaut éviter l’usage de MVNO (Mobile Virtual Network Operators) spécialisés dans le prépayé ou encore de services de « numéros jetables », facilement repérables. Il s’orientera ainsi davantage vers des offres prépayés… mais de MNO (Mobile Network Operator).
Comment se prémunir ?
Difficile de faire sans « connaissance client ». Soit en ayant accès à du Consortium Data (une base mutualisée), soit en bénéficiant d’un data lookup qui saura pointer du doigt les indicateurs de risque.
Et là… vous ne le voyez pas mais nous sommes en train de nous « pointer du doigt » en affichant notre plus beau sourire…
Pour en savoir plus sur nos solutions, c’est par ici!
Français 
English (UK) 
Español 
Italiano 
Nederlands 
Português 
Română 