Fake ID Fraud

Wissenswertes zur wachsenden Bedrohung durch Fake ID Fraud

Digitale Ident-Verfahren sind inzwischen selbstverständlich geworden, wenn es darum geht, Verträge zu schließen, Zugänge zu ermöglichen oder Zahlungen durchzuführen. Know-Your-Customer– und Know-Your-Business-Prozesse, die strenge regulatorische und rechtliche Vorgaben erfüllen, tragen dazu bei, dass Remote-Aktivitäten sicher und effizient erfolgen können. Digitale KYC- und KYB-Prozesse sind jedoch auch zum Ziel für Fake ID Fraud geworden, eine neue Variante von Ident-Betrug, die unbestreitbar auf dem Vormarsch ist.

Was ist Fake ID Fraud?

Unter Fake ID Fraud fällt das Erstellen, Verändern und missbräuchliche Nutzen gefälschter oder verfälschter amtlicher Dokumente (wie etwa ID-Karten, Pässe oder Führerscheine) primär bei digitalen Onboarding-, Verifikations- und Reevaluierungsprozessen.
Allerdings verschiebt sich beim digitalen Onboarding die Manipulation von Daten, Bildern und/oder Videos mehr und mehr hin zu skalierbarem Fake ID Betrug, für den die Täterinnen und Täter beispielsweise synthetische Identitäten mit Deepfake-Video- oder -Selfie-Streams kombinieren, um Identifikationssysteme wie Liveness-Checks und/oder biometrische Identifikationsverfahren auszutricksen.
„Fraud as a Service-Tools“ wie beispielsweise FraudGPT oder OnlyFake sind ebenfalls auf der Bildfläche erschienen, um täuschend echt wirkende Ausweise, Kontoauszüge oder Selfies per Knopfdruck zu generieren, womit selbst wenig IT-versierte Personen überaus professionell wirkende Angriffe durchführen können.

Der Finanzsektor ist besonders von Fake ID Fraud betroffen

Der Finanzsektor, und damit etwa Banken, Kreditgeber, Payments-Lösungsanbieter, FinTechs und Krypto-Märkte stehen ganz oben auf der Liste der von Fake ID Fraud betroffenen Branchen, denn hier ist unmittelbare monetäre Bereicherung möglich. Darüber hinaus besteht trotz aller rechtlich und regulatorisch optimal umgesetzten Vorgaben das Risiko, dass gefakte Identitäten für Geldwäsche und Kreditbetrug, zur Terrorismusfinanzierung sowie anderen Varianten von Finanzbetrug genutzt werden.

Weitere Branchen, die der Gefahr von Fake ID Fraud ausgesetzt sind

• Versicherungen sind regelmäßig in den Top 5 Sektoren mit (Fake-) Identity Fraud vertreten, denn Versicherungspolicen können schnell zum Einfallstor für Leistungsbetrug und Geldwäsche missbraucht werden.
• Telekommunikationsanbieter gelten ebenfalls als stark von Fake ID Angriffen betroffene Unternehmen, die primär bei Vertragsabschlüssen und der Bereitstellung von SIM Karten mit Fake IDs konfrontiert sind.
• Betreiber von C2C-Plattfomen wie Dating Apps, digitale Marktplätze, Social Media Dienste und auch Online Medien unterliegen weniger strengen Vorgaben bei der Implementierung sicherer KYC-Prozesse. Darum werden hier besonders häufig Fake Identitäten für Social Engineering, Romance Scams und Bot Netzwerke genutzt.
• E-Commerce-Anbieter leiden ebenfalls stark unter den Folgen von Fake ID Fraud, der etwa bei der Kontoeröffnung häufig auf Basis gekaufter Datensätze aus dem Darknet auftritt.
• Im E-Gaming-Bereich ist der Betrug mit Fake Identitäten ebenfalls weit verbreitet, sei es, um Sperren zu umgehen oder attraktive In Game Assets oder Gewinne missbräuchlich zu erhalten.

Typische Fake ID Fraud Muster

Wie eingangs bereits erwähnt, stellt Fake ID Fraud eine enorm zunehmende Bedrohung dar. Umso wichtiger ist es, die verschiedenen Fake-ID-Bedrohungsmuster zu kennen.

Mit KI gefälschte Ausweisdokumente

Kriminelle nutzen generative KI, um Pässe und ID Cards mit realistisch wirkenden Passbildern, Hologrammen, Schriften und Lichtreflexen zu erzeugen, die einfache Foto oder PDF Checks bestehen. Häufige Indikatoren für derartige Fake ID Frauds sind minimal unscharfe Mikrotexte, eine unnatürlich gleichmäßige Beleuchtung oder fehlende Alterungsspuren im Vergleich zur behaupteten Ausstellungsdauer, die oftmals nur durch umfassend geschulte Agents und/oder bestens trainierte, KI-basierte Prüfsysteme entdeckt werden können.

Manipulierte echte Dokumente

Neben kompletten Identitäts-Fakes gibt es nahezu klassisch zu bezeichnende Fälschungen, bei denen echte Dokumente durch Änderung des Fotos oder der Personendaten (Name, Geburtsdatum) oder manipulierte Stempel/Visa gefälscht werden. Hierbei geht es den Kriminellen darum, die echten Seriennummern und Layouts der Dokumente zu erhalten, um Datenbank und Plausibilitätsprüfungen zu täuschen, während die Identität im Kern ausgetauscht wird.

Digitale Dokumentenfälschung

Immer öfter werden ursprüngliche Digitaldokumente (etwa Scans von Pässen, PDF Ausweise oder digitale Bescheinigungen) direkt verändert. Laut einem aktuellen Identity Fraud Report entfallen inzwischen deutlich mehr als die Hälfte der entdeckten Dokumentenfälschungen auf veränderte digitale Originale.

Deepfakes & Video-Spoofing

Deepfake Selfies und -Videos imitieren Gesichter, Mimik und Stimme, um automatisierte Ident-Verfahren und/oder Liveness-Detection-Prüfungen zu überlisten. Hierfür nutzen Kriminelle Face Swap Apps oder Voice Cloning, um echte Bewegungen zu zeigen, die hier aber in der Regel aufgezeichnete oder synthetische Inhalte sind.

Synthetische Identitäten als Fake IDs

Wenn von synthetischen Identitäten bei einem Fake-ID-Fraud-Angriff die Rede ist, handelt es sich um die Kombination von echten Datenpunkten (etwa Ausweisnummer oder Steuer-ID, die aus Leaks generiert wurden) mit frei erfundenen Attributen kombiniert, um eine völlig neue, aber echt wirkende Person zu schaffen. Der Aufbau solcher Identitäten erfolgt oftmals über einen längeren Zeitraum, um anschließend Kreditlinien zu eröffnen, Bankkonten für Geldwäschezwecke zu verwenden oder diese gezielt in Zahlungsverzug geraten zu lassen.

Bot-gestützte Massenanmeldungen

Wie zu Beginn bereits erläutert, nutzen Kriminelle vermehrt automatisierte Verfahren, um großflächige Angriffe unter Verwendung gefälschter Identitäten „Fake ID Fraud“ durchzuführen. Mithilfe von Bots werden in diesem Zusammenhang zahlreiche Anträge mit variierenden Identitätsdaten und leicht angepassten Datensätzen generiert, um die Funktionsweise von Scoring und regelbasierte Betrugserkennungssysteme zu testen. Sobald eine bestimmte Kombination aus Dokumenttyp, Herkunftsland und Gerätetyp erfolgreich validiert wird, wird dieses Muster skaliert, um innerhalb kürzester Zeit beispielsweise eine Vielzahlkleiner Kredite zu beantragen.

ID-Fraud-as-a-Service

Organisierte Banden bestellen Fake IDs, Deepfakes oder gleich komplette KYC Kits inzwischen als „Servicepakete“ übers Darknet. Mit einem solchen Servicepaket ausgestattet, agieren mehrere Beteiligte untereinander abgestimmt unter Verwendung verfälschter Identitäten, um beispielsweise ein Netzwerk aus Konten zum Zweck der Geldwäsche oder der Begehung von Zahlungsbetrug einzurichten.

So minimieren Unternehmen das Risiko von Fake ID Fraud

Insbesondere verpflichtete Unternehmen im Sinne des Geldwäschegesetztes (GwG), wie zum Beispiel Kreditinstitute, können sich vor Fake-ID-Fraud schützen, indem sie eine risikobasierte Kombination aus fortschrittlicher Dokumenten- und Biometrie-Prüfung, Echtzeit-Überwachung sowie KI-gestützter Verhaltensanalyse implementieren. Durch diese Maßnahmen lassen sich Risiken im Onboarding und bei Reevaluierungen sowie Verstößen gegen geldwäscherechtliche Vorschriften und Zahlungsbetrug minimieren, während zugleich regulatorische Anforderungen wie die BaFin-AuA, erfüllt werden.
Eine entscheidende Maßnahme zur Minimierung des Risikos von Fake ID Fraud-Angriffen ist es, ausschließlich qualifizierte und bewährte Identifikations-Lösungen zur Erfüllung der KYC- und KYB-konformen Anforderungen zu nutzen, wie WebID sie bereits seit 2012 anbietet.
Wenn es darum geht, das tatsächliche Risiko für Fake ID Fraud einzuschätzen, unterstützt WebID Unternehmen im internationalen Kontext inzwischen erfolgreich unter Einsatz von ID Fraud Protect, einer umfassenden KI-basierten Analyse für maximalen Schutz vor Identitätsbetrug, für die Instrumente des Pentestings und Red Teamings zum Einsatz kommen können.