Nieuwe werkwijze criminelen: identiteitsfraude plegen met siliconen maskers
Het is een bekende filmische plotwending: de held of schurk die plotseling aan z'n nek begint te peuteren en een masker omhoog trekt om te onthullen dat hij helemaal niet is wie we dachten. Hoe onrealistisch het ook klinkt: het blijkt niet puur fictie. Volgens financiële technologiebedrijven die digitaal de identiteit van klanten controleren voor banken en bedrijven, komen pogingen tot identiteitsfraude met siliconen maskers regelmatig voor.
Zo zegt iProov, een Brits bedrijf dat onder meer klantencontroles doet voor banken als Rabobank, ING, Knab en verzekeraar Aegon, dagelijks "aanvallen met maskers van verschillende kwaliteitsniveaus in aanzienlijke aantallen" voorbij te zien komen. Doel van de fraude is om zonder je eigen identiteit te gebruiken een rekening te openen om bijvoorbeeld geld wit te wassen.
Dan weet je: dit is een nieuwe werkwijze van criminelen.
Ook het Nederlandse fintech-bedrijf Fourthline zag afgelopen jaar voor het eerst criminelen voorbijkomen die met een siliconen masker probeerden de identiteit van een ander aan te nemen. Hoe vaak het voorkomt, wil baas Krik Gunning niet zeggen.
Volgens Gunning komen de maskers tegenwoordig in alle maten en vormen voorbij:
Het snel groeiende Fourthline, dat sinds 2017 bestaat, voert jaarlijks bij elkaar een paar miljoen identiteitscontroles uit voor verschillende Europese banken, bedrijven en instellingen. Onder de klanten zijn de de mobiele bank N26, de Nederlandse bedrijven De Giro, KPN en Bol.com en het bedrijf werkt ook samen met de Franse nationale politie.
Zo vraagt DeGiro bijvoorbeeld mensen die willen beleggen om eerst een digitale identiteitscontrole te doorlopen van Fourthline. En klanten die een rekening bij een bank willen openen worden door het bedrijf gevraagd om zich via een app aan te melden en te laten zien wie ze zijn.
Via de app moeten ze dan hun gezicht en paspoort vanuit verschillende hoeken laten scannen. Vervolgens analyseren algoritmes de gezichten en data die ze vinden en vergelijken ze de gevonden informatie ook met berichten in de media, openbare sanctielijsten en andere data. Langs een kantoor gaan is op die manier niet meer nodig.
Het bedrijf beweert met 99,98 procent zekerheid mensen te kunnen identificeren. Bij een automatische afwijzing door het systeem, vindt er altijd nog een menselijke controle plaats, verzekert Gunning.
Niet waterdicht
Een deel van de criminelen met maskers is makkelijk te herkennen. Ook omdat ze vaak tegelijk het identiteitsbewijs vervalsen, bijvoorbeeld door de foto van een gestolen paspoort te vervangen door een foto met het masker op. Het kan ook zijn dat het hele document nep is, tot een handgetekende vlag van het betreffende land aan toe.
Maar of de fraudeurs daadwerkelijk in alle gevallen eruit gevist worden, is niet helemaal zeker. Gunning: "Je moet nooit de illusie hebben dat je onkwetsbaar bent voor fraudeurs. Ons streven is om beter te zijn dan elk alternatief dat er is om deze controles uit te voeren. Wij automatiseren checks alleen maar als we kunnen aantonen dat de technologie objectief beter is dan een mens."
Maskers zijn niet schaalbaar
Volgens het Britse iProov zijn aanvallen met maskers niet de grootste bedreiging voor hun systeem, omdat goede aanvallen voor criminelen ingewikkeld zijn om uit te voeren. "Voor elke identiteit die je wilt aanvallen moet een apart masker gemaakt worden."
Het bedrijf wijst er op dat 'deep fakes', waarbij beelden digitaal gemanipuleerd worden om op iemand anders te lijken, een grotere bedreiging zijn. "Die zijn schaalbaar en kunnen toegepast worden op veel verschillende identiteiten."
Toch laat het bedrijf ook weten dat het de ontwikkelingen in maskertechnologie op de voet volgt, en zijn systemen regelmatig test.
Volgens Krik Gunning van Fourthline raken criminelen steeds meer bedreven in identiteitsfraude. "Fraudeurs zijn niet alleen beter geworden in het vervalsen van een officieel door de overheid uitgegeven ID-bewijs, maar zijn zich ook bewuster van iemands digitale identiteit in het algemeen."
De analisten van het bedrijf zien geregeld valse ID-bewijzen voorbijkomen die exact overeenkomen met de informatie op socialemedia-accounts. "Een Facebook- of LinkedIn-account, inclusief volledige naam, geboortedatum, geboorteplaats en connecties met (nep) vrienden en familie."