Waspada synthetic identity fraud, ancaman yang mengintai identitas
Bayangkan jika perusahaan Anda menerima permohonan pengajuan kartu kredit dari seseorang yang datanya terlihat valid. Ada nama lengkap, tanggal lahir, dan nomor identitas. Namun, sebenarnya identitas tersebut tidak pernah ada! Inilah yang disebut dengan synthetic identity fraud.
Kasus ini semakin meningkat seiring dengan bertambahnya digital presence perusahaan, maraknya kebocoran data, serta meningkatnya kemampuan AI dalam menghasilkan identitas yang terlihat meyakinkan. TransUnion melaporkan bahwa pada tahun 2024, 6,5% transaksi akun baru terindikasi digital fraud. Sementara itu, Federal Reserve menyebut synthetic identity fraud merupakan kejahatan finansial dengan pertumbuhan tercepat di Amerika Serikat.
Berbeda dari pencurian identitas biasa yang memanfaatkan identitas seseorang secara utuh, synthetic identity fraud menciptakan identitas baru yang tidak merujuk pada individu nyata mana pun. Karena tidak ada korban yang langsung merasa dirugikan dan melapor, serangan ini jauh lebih sulit dideteksi. Itulah yang membuatnya menjadi ancaman yang semakin berbahaya bagi organisasi modern. Sebagai bagian dari organisasi modern, Anda perlu memahami lebih lanjut tentang synthetic identity fraud melalui blog ini.
Apa itu synthetic identity fraud?
Synthetic identity fraud (SIF) adalah penipuan yang dilakukan dengan menggunakan identitas baru namun palsu. Identitas ini merupakan gabungan dari data asli dan data fiktif. Pelaku biasanya mencuri sebagian informasi pribadi seperti nomor KTP, kemudian melengkapinya dengan detail fiktif seperti nama, alamat, dan nomor telepon untuk membentuk identitas yang tampak valid. Padahal, sebenarnya tidak ada orang asli dengan identitas tersebut di dunia nyata.
Tidak seperti pencurian identitas konvensional, SIF tidak memiliki korban nyata, karena identitas yang digunakan tidak merujuk pada individu yang benar-benar ada. Hal ini membuat deteksinya jauh lebih sulit bagi organisasi.
Bagi organisasi, SIF bisa menjadi ancaman besar karena identitas buatan ini dapat lolos ke sistem onboarding digital, membuka akses ke layanan finansial atau kredit, serta memanfaatkan celah validasi identitas di berbagai platform. Masalahnya, organisasi sering terlambat menyadari penipuan sampai terjadi kerugian finansial atau operasional yang signifikan.
Bagaimana cara kerja synthetic identity fraud?
Bagi pelaku synthetic identity fraud, langkah pertama yang mereka lakukan adalah mengumpulkan data pribadi yang sah. Ada beberapa cara untuk mendapatkan data ini, yaitu melalui:
Data breach: Ketika terjadi kebocoran data yang mengungkap informasi pribadi, pelaku synthetic identity fraud akan memanfaatkannya untuk mengumpulkan data asli.
Social engineering: Pelaku memanipulasi korban agar memberikan data sensitifnya tanpa sadar.
Media sosial: Informasi pribadi sering kali dibagikan ke publik melalui media sosial. Informasi inilah yang diambil oleh pelaku synthetic identity fraud.
Dark web: Data hasil pencurian banyak dijual di dark web. Data ini bisa dibeli oleh pelaku SIF untuk membuat identitas fiktif.
Setelah mendapatkan data yang cukup, pelaku akan masuk ke tahap pembuatan identitas. Di tahap ini, mereka mengombinasikan data asli (seperti nomor KTP) dengan detail palsu (seperti nama, alamat, tanggal lahir) hingga tanpak seperti profil nyata. Untuk memperkuat kredibilitasnya, pelaku sering membuat akun media sosial palsu, dokumen palsu, bahkan memanfaatkan generative AI agar identitas terlihat lebih hidup dan meyakinkan.
Identitas palsu tersebut kemudian digunakan untuk melakukan penipuan, misalnya mengajukan permohonan kartu kredit di berbagai platform. Kartu ini akan digunakan dan akan dibayar tepat waktu selama beberapa bulan atau tahun untuk menaikkan credit score dan membangun trust level. Dengan demikian, sistem akan menganggap pengguna kartu kredit bertanggung jawab dan kredibel.
Lalu, setelah identitas buatan memiliki kredibilitas yang cukup, pelaku akan mulai melakukan penipuan tingkat lanjut. Tahap ini biasa disebut dengan bust-out. Mereka akan memaksimalkan limit kredit, mengambil pinjaman tambahan, atau melakukan transaksi besar, kemudian menghilang tanpa membayar. Kerugian akhirnya ditanggung lembaga keuangan, karena identitas yang digunakan tidak merujuk pada individu nyata dan tidak ada korban yang melapor.
Mengapa synthetic identity fraud berbahaya?
Synthetic identity fraud membawa konsekuensi besar bagi beberapa sektor industri dan semakin sulit dikendalikan karena sifatnya yang kompleks dan sulit terdeteksi.
1. Sulit terdeteksi
Synthetic identity fraud sulit dideteksi karena tidak merujuk pada identitas orang di dunia nyata, sehingga tidak ada korban langsung yang dapat melapor. Identitas palsu yang digunakan pun dirancang menyerupai perilaku pengguna asli, sehingga bisa lolos dari sistem deteksi fraud tradisional. Belum lagi, biasanya pelaku menjalankan aksinya selama berbulan-bulan bahkan bertahun-tahun tanpa memperlihatkan adanya kecurigaan.
2. Membahayakan sektor-sektor penting
Berbagai sektor industri kritis lebih rentan terhadap synthetic identity fraud, seperti perbankan, fintech, e-commerce, telekomunikasi, layanan kesehatan, pendidikan, hingga pemerintahan. Berikut ini beberapa contoh kasus di berbagai sektor yang mungkin dilakukan oleh pelaku pencurian identitas sintesis.
Industri | Contoh Kasus |
Layanan Finansial | Pelaku mengajukan permintaan kartu kredit, cicilan, atau pinjaman, namun tidak pernah membayar kembali |
Telekomunikasi | Pelaku mengambil nomor telepon baru dan menggunakannya untuk menipu orang lain atau OTP fraud |
E-commerce | Pelaku membuat akun palsu untuk penipuan penjualan atau penyalahgunaan promo |
Layanan Kesehatan | Pelaku mengakses layanan medis gratis dengan identitas palsu |
Pendidikan | Pelaku mengikuti ujian atau sertifikasi dengan identitas orang lain |
Pemerintahan | Pelaku mengklaim bantuan sosial berkali-kali dengan identitas yang berbeda |
3. Merusak compliance
Jika perusahaan gagal mendeteksi identitas palsu, itu berarti perusahaan melakukan pelanggaran kepatuhan know-your-customer (KYC), anti-money laundering (AML), dan customer due diligence (CDD). Hal ini dapat memicu penalti, audit tambahan, serta menempatkan perusahaan dalam risiko regulasi yang lebih besar. Bukan tidak mungkin perusahaan mendapatkan potensi penghentian layanan tertentu.
4. Merusak reputasi perusahaan
Perusahaan yang terkena jeratan synthetic identity fraud berisiko kehilangan reputasi. Imej brand yang selama ini dibangun, misalnya sebagai perusahaan yang bisa dipercayai, bisa runtuh. Pelanggan akan kehilangan kepercayaan dan mundur sebagai nasabah. Perusahaan akan menerima pemberitaan negatif. Investor akan ragu. Secara jangka panjang, masalah ini akan memengaruhi posisi perusahaan di industri dan menghambat pertumbuhan bisnis.
5. Meningkatkan biaya operasional dan kerugian finansial
Synthetic identity fraud tidak hanya menyebabkan kerugian kredit macet, tetapi juga meningkatkan biaya investigasi, proses recovery, peningkatan keamanan, serta penanganan audit dan regulasi. Beban finansial ini dapat menggerus profit dan memengaruhi stabilitas operasional perusahaan.
Bagaimana cara mencegah synthetic identity fraud?
Cara terbaik untuk melindungi perusahaan Anda dari synthetic identity fraud adalah dengan mengenalinya seawal mungkin. Proses ini bisa dilakukan melalui metode-metode berikut:
1. Verifikasi identitas tingkat lanjut
Sebelum onboard pelanggan ataupun karyawan, lakukan verifikasi identitas yang menyeluruh. Gunakan autentikasi biometrik seperti fingerprint atau facial recognition untuk memastikan identitas sesuai dengan orang yang sebenarnya.
Selain itu, terapkan juga multi-factor authentication (MFA) untuk mencegah akses tidak sah, sehingga pelaku tidak bisa hanya mengandalkan nama pengguna dan kata sandi.
Verifikasi identitas secara manual juga penting. Bandingkan informasi yang dimiliki pengguna dengan informasi dari sumber resmi. Periksa jika ada dokumen identitas yang tidak sinkron. Langkah ini perlu dilakukan secara detail untuk memastikan identitas pengguna valid, sesuai dengan orangnya.
2. Validasi dokumen berbasis teknologi
Dokumen resmi seperti paspor, KTP, atau SIM bisa diverifikasi menggunakan teknologi optical character recognition (OCR) atau deteksi hologram. Validasi berbasis teknologi ini membantu memastikan bahwa dokumen tidak dipalsukan atau dimanipulasi.
3. Analisis identitas dengan AI/ML
Gunakan teknologi machine learning atau artificial intelligence dalam menganalisis data pelanggan. AI/ML dapat mendeteksi pola anomali yang tidak terlihat oleh pemeriksaan manual. Biasanya, sistem analitik yang cerdas dapat menemukan indikasi seperti credit building yang terlalu cepat serta menganalisis riwayat aplikasi kredit, pola transaksi, dan perilaku pengguna. Bahkan, sistem analitik berbasis AI/ML juga dapat terus 'belajar' dan beradaptasi dengan semakin banyaknya informasi yang dimasukkan.
4. Penuhi compliance KYC/AML
Pastikan proses Know Your Customer KYC) dan Anti-Money Laundering (AML) dijalankan secara ketat. Pemeriksaan dokumen, background check, dan verifikasi data lintas sistem membantu mencegah identitas sintetis lolos ke dalam proses onboarding.
5. Monitoring perilaku dan korelasi data lintas platform
Lakukan pemantauan perilaku pengguna secara real-time untuk mengidentifikasi aktivitas mencurigakan. Gunakan metode seperti behavioral analytics, monitoring real-time, alerting otomatis, dan korelasi data lintas platform/institusi. Pendekatan ini membantu mendeteksi identitas sintetis yang mencoba membangun rekam jejak kredit atau mengakses banyak layanan menggunakan identitas yang sama.
Synthetic identity fraud semakin marak, perusahaan harus bersiap
Untuk menghadapi synthetic identity fraud yang semakin marak, perusahaan membutuhkan pendekatan keamanan yang proaktif dan komprehensif. Di sinilah user and entity behavior analytics (UEBA) pada ManageEngine AD360 berperan penting. Dengan mempelajari baseline perilaku pengguna dan perangkat, UEBA dapat mengidentifikasi anomali seperti aktivitas lintas sistem yang tidak konsisten dan credit-building abnormal, yang mana merupakan indikator kuat dari potensi synthetic identity fraud.
Selain itu, SIF juga dapat dihalau dengan menerapkan multi-factor authentication (MFA). Melalui ADSelfService Plus, Anda dapat mengimplementasikan MFA dan menegakkan kebijakan password yang kuat, sehingga mengurangi risiko kebocoran identitas.
Dengan solusi seperti ManageEngine AD360 dan ADSelfService Plus, perusahaan dapat memperkuat IAM mereka dari penipuan identitas sintesis. Jangan tunggu sampai identitas palsu menembus pertahanan perusahaan Anda, segera perkuat keamanan identitas Anda sekarang. Jadwalkan sesi khusus dengan tim kami untuk mempelajari fitur-fiturnya lebih dalam!