Мошенники постоянно придумывают новые схемы. Одна из самых хитрых и сложных для обнаружения сегодня — это создание “цифровых фантомов”, или синтетическое мошенничество. В отличие от грубого взлома, здесь всё тоньше: злоумышленники не крадут личность, а собирают новую, словно конструктор, из реальных и вымышленных данных. Эта схема стала настоящим кошмаром для банков и финтех-компаний по всему миру.
1.1. Определение и отличия от identity theft
Synthetic Identity Fraud — это не кража чужой личности целиком, а сборка новой. Мошенники берут настоящие данные, как детали Lego: реальный номер СНИЛС, паспорта или дату рождения. Потом добавляют к ним фальшивые элементы — выдуманное имя, адрес, профессию. Получается гибридный профиль, которого в реальности не существует, но который выглядит легитимно для банковских алгоритмов.
Ключевое отличие от обычной кражи личности (identity theft) в том, что здесь нет прямой жертвы. В identity theft злоумышленник полностью притворяется конкретным человеком, и тот быстро видит несанкционированные списания. А синтетическая личность — это виртуальный персонаж. Нет живого человека, который мог бы подать жалобу, поэтому мошенничество может оставаться незамеченным годами.
1.2. Почему сложно детектить
Проблема в том, что эти профили создают специально, чтобы обходить стандартные защиты. Системы KYC видят реальные данные — например, валидный номер паспорта — и пропускают их. Фейковые же элементы, вроде имени, сами по себе не триггерят тревог. Нет ни единой заблокированной кредитной истории, ни жалоб от клиентов. Это чистый лист, который мошенники сами медленно «разукрашивают».
Второй вызов — долгая игра. Часто используется схема credit piggybacking, когда синтетический аккаунт прикрепляют к легальному, чтобы набрать положительную кредитную историю через мелкие платежи. Так профиль «созревает» и выглядит всё надёжнее. Плюс, сейчас в ходу ИИ, который генерирует убедительные поддельные документы и цифровой след, которые сложно отличить от настоящих с первого взгляда.
1.3. Масштаб проблемы
Это один из самых быстрорастущих видов мошенничества в финансовом секторе. В США потери от него уже перевалили за $20 миллиардов, и они растут на 20-30% каждый год. Банки сталкиваются с тем, что до 80% fraud в сфере необеспеченного кредитования — это как раз синтетические личности. Глобальные убытки оцениваются в $6–10 миллиардов ежегодно.
В России и СНГ проблема особенно актуальна из-за массовых утечек паспортных данных и СНИЛС. Эти данные продаются на даркнете за копейки и становятся «строительным материалом». Синтетическое мошенничество здесь активно используется для получения микрозаймов, кредитных карт и обхода онлайн-верификации. Масштабные базы данных позволяют создавать тысячи таких фантомных профилей, а несовершенство проверок пока даёт мошенникам фору.
2. Схема создания synthetic ID
Мошенники действуют не хаотично, а по накатанной схеме. Их цель — создать максимально правдоподобный цифровой профиль, который пройдёт автоматические проверки. Для этого они проводят многоэтапную операцию, где каждый шаг добавляет легитимности. Это как прокачивать игрового персонажа, только для обмана банков.
2.1. Получение seed data (SSN, СНИЛС)
Всё начинается с «семени» — настоящих персональных данных. Это основа, на которой строится вся фейковая личность. Чаще всего мошенники ищут данные, которые используются для идентификации: SSN в США или СНИЛС и номер паспорта в России. Эти цифры — ключ к первичной верификации.
Эти данные не воруют точечно, а скупают оптом на даркнете. Источник — масштабные утечки из госорганов, банков или коммерческих баз. Например, база СНИЛС из какой-нибудь прошлой утечки может продаваться за пару тысяч рублей за миллионы записей. Эти данные «чистые» — они настоящие и не заблокированы, потому что их владельцы чаще всего даже не знают об утечке. Мошенник просто берёт случайный СНИЛС и приписывает к нему новое, выдуманное имя.
2.2. Credit piggybacking
С одним лишь номером СНИЛС много не сделаешь. Нужна кредитная история. Чтобы её создать с нуля, используется метод credit piggybacking. Дословно — “прокачка на чужих плечах”. Схема простая: мошенники находят человека с хорошей кредитной историей (часто через те же утечки или социальную инженерию) и добавляют синтетический профиль в качестве «авторизованного пользователя» (authorized user) на его кредитную карту или счёт.
Фишка в том, что история платежей по этой карте начинает учитываться и в кредитном досье нового, синтетического профиля. Если основной владелец аккуратно платил, то и фантом получает отличный рейтинг, ни разу не заплатив сам. Это даёт ему «путевку в жизнь» — возможность запросить собственный кредит. Прокачка может идти месяцами, чтобы не вызывать подозрений.
2.3. Authorized user abuse
Это более агрессивная и продвинутая стадия злоупотребления схемой «авторизованного пользователя». Если на этапе piggybacking мошенники пассивно “питаются” чужой историей, то здесь они начинают активные действия. Создаётся полноценный синтетический профиль, который уже имеет приличный скоринг благодаря прокачке. Затем этот профиль сам начинает добавлять к своим счетам другие синтетические или даже подставные профили в качестве авторизованных пользователей.
Получается пирамида: один «прокачанный» фантом легитимизирует нескольких новых. Это позволяет быстро масштабировать мошенническую сеть. Кроме того, этот метод иногда используют для отмыва: через счета авторизованных пользователей проводят транзакции, “обогащая” историю или выводя деньги. Банкам сложно отследить такие связи, потому что формально всё выглядит как семья или бизнес-партнёры, делящие одну кредитную линию.
3. Lifecycle атаки
Синтетическое мошенничество — это не разовая операция, а долгая игра с чётким сценарием. Мошенники не просто создают фейк и сразу просят крупный кредит. Они инвестируют время и небольшие ресурсы, чтобы вырастить «идеального клиента». Весь этот цикл можно разбить на три ключевых этапа: создание, взращивание и финальный «кидок».
3.1. Creation phase
На старте всё выглядит почти легально. Мошенник собирает «биоконструктор»: берёт реальный номер СНИЛС или паспорта из утечки и пришивает к нему выдуманные ФИО, адрес и номер телефона. Часто для правдоподобия создаётся легенда: молодой специалист, недавно переехавший в город, или фрилансер без официальной кредитной истории. Это самый уязвимый этап для систем защиты.
Но и здесь есть лайфхаки. Например, для адреса используется реальный дом, но несуществующая квартира. Или номер телефона регистрируется на подставное лицо. Иногда даже создаётся минимальный цифровой след: страничка в соцсети с парой фото и скриптовой активностью. Цель — пройти первую линию KYC в финтехе или микрофинансовой организации, где проверки не самые строгие.
3.2. Nurturing: building credit — прокачка персонажа
После успешной регистрации начинается самая важная фаза — прокачка. Представьте, что вы качаете персонажа в RPG: нужно медленно повышать его уровень и репутацию, выполняя квесты. Здесь «квесты» — это финансовые операции. Мошенник заводит дебетовую карту на синтетика, начинает делать мелкие покупки и, главное, аккуратно их оплачивать. Это создаёт положительный cash flow.
Параллельно может запускаться classic piggybacking: синтетика добавляют как авторизованного пользователя к легальной кредитной карте с хорошей историей. Это резко поднимает его кредитный скоринг. Через 6-12 месяцев таких операций в профиле уже есть история расходов, возможно, пара мелких займов, которые были вовремя погашены. Для банковских алгоритмов это выглядит как поведение добросовестного новичка, который только начинает свой финансовый путь. Его риск-скоринг падает, а доверие растёт.
3.3. Bust-out: максимизация fraud
И вот после месяцев или даже лет тихой прокачки наступает час «икс» — финальный bust-out, или «взрыв». В один момент все созданные синтетические профили перестают быть тихими и законопослушными. Мошенник, который вёл их, резко меняет тактику. С помощью «прокачанных» аккаунтов он одновременно подаёт заявки на максимальные кредитные лимиты в нескольких банках, получает кредитные карты и мгновенно выводит все доступные деньги на криптокошельки или через денежные переводы.
Это всегда скоординированная атака. Пока один банк только проверяет заявку, деньги уже сняты в другом. Системы просто не успевают среагировать, потому что вчера ещё “благонадёжный клиент” сегодня вдруг демонстрирует агрессивное хищение средств. После этого синтетические профили «бросают» — они больше не нужны. Банкам остаётся только констатировать убытки и пытаться преследовать цифровых фантомов, которые бесследно испаряются.
4. Методы детекции
Старые методы уже не работают. Простые проверки по чёрным спискам не ловят синтетиков. Нужны более хитрые системы, которые смотрят на связи между данными и странное поведение. Хорошая комбинация правил и AI-моделей может сократить убытки на 30–50%. Главное — ловить мошенников в реальном времени, до финального “взрыва” (bust-out).
4.1 Link analysis
Здесь суть в связях. Вместо проверки одного профиля, система строит граф. Она смотрит, как связаны между собой номера телефонов, адреса, устройства и документы. У настоящего человека эти связи образуют уникальную и логичную сеть. У синтетиков — всегда будет странность.
Например, один и тот же номер СНИЛС вдруг привязан к пяти разным именам в разных банках. Или с одного IP регистрируется двадцать «студентов» из разных городов. Это явный признак фабрики фейков (fraud ring). Для такого анализа используют графовые базы вроде Neo4j. Они помогают визуализировать целые сети мошенников и вычислить их по аномальному количеству связей.
4.2 Velocity и pattern checks
Эти методы ловят мошенников по скорости и шаблонам действий. Настоящий клиент не будет за час подавать заявки в десять разных банков. А синтетик — запросто. Velocity checks как раз отслеживают неестественную скорость событий: частые регистрации, быстрые смены данных, резкий всплеск активности после месяцев затишья.
Pattern checks ищут странные совпадения в данных. Например, дата рождения 01.01.1980 встречается у каждого второго «клиента». Или адреса все как на подбор из домов, известных в базах утечек. Такие правила легко внедрить, и они отлично работают против массового fraud в МФО. Но их нужно тонко настраивать, чтобы не блокировать нормальных пользователей.
4.3 ML-модели
Машинное обучение — это главный козырь в этой гонке. Алгоритмы учатся на огромных массивах данных и начинают видеть то, что не заложено в правилах. Они анализируют тысячи параметров: как человек двигает курсором, с какой скоростью печатает, какие данные сочетаются в заявке.
Модели вроде XGBoost оценивают риск того, что профиль синтетический, с точностью выше 95%. Они умеют находить новые, ещё неизвестные схемы (unsupervised learning). Например, могут заметить, что сканы паспортов от разных «людей» сделаны с одного и того же фона или имеют одинаковые цифровые артефакты. Для эффективной работы им нужны качественные данные и постоянное обучение, особенно с учётом локальных особенностей вроде утечек баз СНИЛС.
5. Проверка документов
Без качественной проверки документов ловить синтетиков бесполезно. Это самый первый и критически важный рубеж. Мошенники постоянно совершенствуют подделки: используют фотошоп, нейросети и готовые сканы из утечек. Просто «считать» данные из паспорта уже недостаточно. Нужно доказывать, что документ настоящий, а человек перед камерой — это тот, кто в нём указан. Современные системы combо-check документов в реальном времени, снижая риски на 40–60%.
5.1. Liveness detection
Задача — отличить живого человека от картинки или видео. Система просит выполнить случайное действие: моргнуть, повернуть голову, улыбнуться. Она анализирует микродвижения, блики в глазах и 3D-структуру лица. Это ломает большинство простых схем, когда мошенники показывают фотографию на экране другого телефона или используют статичное AI-изображение.
Современный liveness идёт ещё дальше. Пассивные методы умеют анализировать пульсацию сосудов на лице (rPPG-технологии), чтобы подтвердить, что перед камерой живой человек с кровообращением. Точность таких систем достигает 99%. Для российских банков это особенно важно при интеграции с Единой биометрической системой (ЕБС), чтобы синтетик не прошёл верификацию на этапе создания.
5.2 Document forensics
Это цифровая криминалистика для документов. Речь не только о водяных знаках и голограммах. Специальные инструменты вроде Regula проводят глубокий анализ файла. Они ищут следы редактирования в метаданных (EXIF), несовпадение шрифтов, артефакты клонирования в фотошопе или неестественные тени. Всё, что выдаёт цифровую подделку.
Система также делает кросс-чек с базами утечек и госреестрами. Например, проверяет, не числится ли этот паспорт или СНИЛС в списке скомпрометированных. Это эффективно против фабрик фейков, где один шаблон подделки используется для массовой регистрации. Всё автоматизировано и работает в облаке, давая antifraud-командам готовые улики для блокировки.
6. Защита на onboarding
На этапе регистрации (onboarding) мошенник наиболее уязвим. Его профиль ещё "сырой", а цель — максимально быстро и дёшево пройти верификацию. Задача защиты — сделать это невозможным, усложнив и удорожив процесс создания синтетика. Ключевое — не ограничиваться одной проверкой, а создать несколько обязательных слоёв, которые должен преодолеть каждый новый пользователь.
Критически важны multi-bureau checks — перекрёстные запросы в различные бюро и источники данных. Синтетик часто имеет "нулевую" или специально созданную историю только в одной системе. Расхождение в данных между бюро — яркий красный флаг. Плюс, нужно подключать проверки по базам утечек (Data Leakage Intelligence), государственным реестрам (ФНС, ФМС) и даже открытым источникам.
Второй обязательный слой — device intelligence. Каждое устройство оставляет уникальный цифровой след: комбинация ОС, модели, IP-адреса, установленных шрифтов, параметров экрана. Система анализирует, не использовалось ли это устройство для десятков других регистраций под разными именами. Она проверяет, не является ли это эмулятором или виртуальной машиной, с которых часто работают мошеннические фермы. Если с одного "железа" за неделю создали пять аккаунтов с разными паспортными данными — это явная фабрика фейков. Такой аккаунт нужно блокировать до завершения регистрации.
7. Защита на кредитовании
Когда синтетик уже внутри системы и начинает запрашивать кредитные продукты, логика защиты меняется. Теперь важно отслеживать не статичные данные, а динамику поведения и выявлять нестыковки между заявленным и реальным положением дел. Цель — поймать момент подготовки к "взрыву" (bust-out), когда мошенник планирует максимизировать убытки.
На этом этапе незаменим непрерывный behavioral analysis — анализ поведения пользователя в цифровой среде. Система учится, как именно этот клиент обычно взаимодействует с приложением: в какое время заходит, как быстро заполняет поля, какие разделы просматривает перед подачей заявки. Для синтетика, которым управляет оператор-мошенник, поведение будет отличаться. Оно может быть слишком быстрым и целевым, лишённым случайных "человеческих" действий. Резкое изменение паттерна — например, после года мелких операций клиент вдруг начинает массово подавать заявки на кредиты — это прямой сигнал к ручной проверке и ужесточению лимитов.
Финансовая сторона — это income verification (подтверждение дохода). Синтетики часто указывают несуществующую работу и завышенный доход. Современные системы умеют проверять это автоматически. Они могут анализировать данные из открытых реестров (например, является ли человек действительно директором указанного ООО), подключаться к сервисам проверки справок 2-НДФЛ или анализировать движение средств по счёту. Если человек запрашивает крупный кредит, но на его счёт за последний год не поступало регулярных зарплатных платежей, а указанная компания-работодатель числится недействующей — это явный признак мошенничества. Такие проверки должны запускаться автоматически при превышении определённого лимита кредитования.
8. Кейсы и статистика
Хотя в России статистики по synthetic identity fraud пока мало, на западе уже есть конкретные цифры:
В 2025 году синтетическое мошенничество с идентичностью достигло рекордных масштабов, особенно в США и Европе, где рост подстегнул ИИ. По данным
Ссылка скрыта от гостей
за первый квартал 2025, synthetic identity document fraud в Северной Америке вырос на 311% по сравнению с первым кварталом2024, с пиком в e-commerce, healthtech и fintech.
Ссылка скрыта от гостей
сообщает, что synthetic identity fraud составил около 30% всех случаев identity fraud к концу 2025 года глобально. Experian зафиксировала в Великобритании рост false identity cases на 60% в 2024–2025, до 29% от всех fraud, благодаря ИИ для генерации ID.FiVerity
Ссылка скрыта от гостей
глобальные потери от synthetic fraud свыше $35 млрд в 2023, с дальнейшим ростом в 2025 за счет генеративного ИИ.
