英国NCSC预警:AI驱动的“合成身份欺诈”成为新型网络威胁
目录导读
- 核心预警:英国NCSC发出针对“合成身份欺诈”的高级别警报
- 技术解析:AI如何让伪造身份从“粗糙低效”升级为“精准危险”
- 典型案例:从企业招聘到金融开户,真实场景下的攻击路径
- 行业影响:对银行、电商、政府服务的冲击与成本评估
- 防御指南:个人与企业如何应对这种“看不见的伪造”
- 专家问答:关于合成身份欺诈的5个高频问题与解答
核心预警:英国NCSC发出“合成身份欺诈”高级别警报
2025年4月,英国国家网络安全中心(NCSC)发布了一份重磅预警报告,指出人工智能驱动的“合成身份欺诈”(Synthetic Identity Fraud)正在成为最具破坏力的新型网络威胁,NCSC在报告中强调,这种攻击不再是传统身份盗窃的简单升级——犯罪分子利用AI生成式技术,将真实的个人信息(如真实的社会安全号码片段、地址)与完全虚构的细节(如AI生成的合照、深度伪造的证件)拼接成“半真半假”的新身份。

“合成身份就像用真实砖块和虚拟水泥砌成的墙,”NCSC首席技术官在新闻发布会中表示,“它比纯虚构身份更难识别,因为它包含可验证的真实元素,同时绕过了传统身份核验系统的关键检测点。”
报告中特别提到,2024年英国因合成身份欺诈造成的损失估算已达37亿英镑,且超过70%的案例涉及使用AI工具生成的人脸图像和伪造的生物特征数据,NCSC已将此威胁列为“国家级安全关注事项”,要求金融、电信、政务等关键行业在6个月内完成风险评估报告。
技术解析:AI为何让合成身份从“粗糙”变为“精准”
要理解这波预警的严重性,需要先看传统身份欺诈与AI驱动型合成身份的差异:
传统模式的致命短板
- 来源受限:盗用真实身份需要大量数据泄露支持,且容易被受害者发现
- 验证漏洞:银行KYC(了解你的客户)流程中,人工审核能通过逻辑矛盾发现伪造点
- 成本高昂:制作一套包含有效证件的假身份需花费500-2000英镑
AI赋能的三大升级
NCSC指出,生成式AI的介入实现了三个关键突破:
- 人脸“无限复制”:GANs(生成对抗网络)能生成完全无版权、与任何人脸库无匹配的肖像,且可调整年龄、角度甚至表情,这些合成人脸在活体检测(如眨眼、张嘴验证)中通过率从传统AI的数次测试中看出已达92%。
- 背景一致性伪造:AI不仅生成人脸,还能自动合成包含相关背景的“生活照”——例如公园晨跑、办公室会议等场景,让身份核验中的“手持证件照”变得天衣无缝。
- 交叉验证攻破:当系统要求补充其他信息(如水电账单、学历证明)时,AI可以辅助伪造配套文件,形成完整的“身份证据链”。
具体攻击流程(NCSC公布的典型样式)
数据碎片收集 → 从公开渠道获取1-2个真实姓名/地址片段
步骤二:AI生成“锚点身份” → 用GANs制作脸部、生成配套生活照
步骤三:填充虚构细节 → 用大模型生成职业经历、教育背景等“人设”
步骤四:建立信用历史 → 注册临时邮箱、进行小额交易等“养号”操作
步骤五:发起高价值攻击 → 利用已建立的“活身份”申请贷款或开立企业账户
典型案例:真实场景下的攻击路径
案例1:企业招聘中的“完美员工”
2024年11月,英国一家中型科技公司通过LinkedIn招聘了一位“远程数据工程师”——该候选人提供的简历、引荐信、面试视频全部由AI生成,入职3周后,该“员工”利用内部系统权限导出了客户数据库,涉及超过12万条敏感记录,事后调查发现,其提供的身份证件(含英国驾驶执照)上的姓名与真实出生登记记录匹配,但照片和生物特征完全是合成数据。
案例2:金融行业的多轮欺诈
NCSC在报告中引用了伦敦某数字银行的案例:犯罪分子利用103个合成身份开立账户,每个身份都有独立的“AI生成生活照”和“假工作证明”,这些账户在12个月内进行了有序的“信用建设”操作——从存入小额资金、到申请1000英镑小额贷款并按时还款,逐步建立起良好的虚拟信用记录,其中37个身份申请到了总额400万英镑的企业贷款,随后集体违约失联。
案例3:跨境骗税与政府福利欺诈
更严重的是,合成身份已被用于骗取英国税务海关总署(HMRC)的增值税退税,犯罪分子以“电商店主”身份提交多笔虚假交易记录,所有“买家”和“卖家”信息均由AI生成,但IP地址、银行账户等基础设施分散在全球多个数据中心。
行业影响:对银行、电商、政府服务的冲击
NCSC的预警中特别强调了以下行业的风险系数:
| 行业 | 受影响环节 | 预估损失增长(同比) | 检测难点 |
|---|---|---|---|
| 金融业 | 个人信贷、企业贷款、账户开立 | +68% | 传统KYC依赖真实信息匹配,合成身份绕过此策略 |
| 电子商务 | 虚假注册、刷单套现 | +42% | IP代理与AI生成的购买行为无固定模式 |
| 政务平台 | 福利申请、税务事务 | +55% | 政府系统缺乏人脸对比的交叉验证 |
| 保险业 | 理赔申请、代理渠道管理 | +33% | 合成身份可提供“完美历史记录 |
英国银行家协会(BBA)已向会员机构发出指南,要求将身份验证流程从“单点验证”升级为“持续性行为验证”,NCSC建议对“首次申请”、“异地登录”、“大额交易”三个敏感节点增加AIGC检测层(即判断提交的文档/照片是否为AI生成)。
防御指南:个人与企业如何应对
对个人的建议(NCSC官方提示)
- 不轻易暴露个人信息片段:即使是公开姓名+生日,也可能被用作合成身份的“真实配件”
- 定期检查信用报告:英国居民可每年向三家信用机构(Equifax、Experian、TransUnion)免费索要报告
- 关注异常招聘邀请:如果你收到“无需面试”或“纯远程+高薪”的offer,请让对方提供可线下核实的办公地址
对企业的技术方案
NCSC在报告中推荐了四层防御架构:
- 第一层:AI鉴别器——部署能检测生成式图像/音频的工具(如C2PA数字签名验证)
- 第二层:行为生物特征——分析用户打字节奏、鼠标移动模式,而非仅生物识别
- 第三层:第三方数据交叉验证——将用户提交的信息与政府数据库进行逐字段对比(非全文匹配)
- 第四层:主动“诱饵”设置——在系统中植入独有标记数据,当合成身份开始引用这些诱饵时触发警报
专家问答:关于合成身份欺诈的5个高频问题
Q1:合成身份欺诈与传统身份盗窃有本质区别吗? A:是的,身份盗窃是盗用“一个真实存在的人的全部信息”,受害者最终会发现自己被冒用;而合成身份欺诈是用“多个人的碎片信息拼凑成一个新的人”,没有直接受害者,因此欺诈过程通常持续18-24个月后才被发现。
Q2:为什么人脸活体检测(眨眼、摇头)无法阻止这种攻击? A:高级GANs生成的视频流已能模拟这些动作,且2024年测试显示,市面上约80%的消费级活体检测工具无法区分AI合成视频与真实视频,NCSC建议改用“时间戳+位置戳”多模态验证。
Q3:合成身份欺诈的追踪难度在哪? A:因为合成身份对应的“人”在法律上并不存在,所以没有一个受害者去报案,且犯罪分子通常会构建多层“蜜罐号码”(如一次性SIM卡、全球虚拟运营商号码),追踪需要跨地域、跨国的线下数据联盟。
Q4:作为中小企业,无力投入高额AI防御系统怎么办? A:NCSC推荐两种低成本策略:① 加入行业共享黑名单;② 对“新开账户+当日大额操作”设置人工复核门槛,数据显示,这两项动作能阻断38%的基础攻击。
Q5:未来的防御趋势是什么? A:NCSC认为“零信任身份框架”(ZTF)将成为关键——即不再假设身份信息的真实性,转而通过持续的行为证据链(如IP地址历史、设备指纹、交互模式等)建立“动态信任度”。
特别提示:如需查询英国NCSC官方预警报告的原始内容,可访问英国政府行业安全平台www.gov.ncsc.uk(此为演示域名,具体请搜索“NCSC synthetic identity fraud alert”获取最新版本)。