L’inspecteur général du département américain du Travail a déclaré cette semaine qu’environ 100 millions de dollars de demandes d’assurance-chômage frauduleuses avaient été versées en 2020 à des criminels déjà en prison. C’est une infime part des dizaines de milliards de dollars estimés en allocations de chômage que les États ont accordées aux voleurs d’identité au cours de l’année écoulée. Pour aider à inverser cette tendance, de nombreux États se tournent maintenant vers une société privée peu connue appelée ID.moi. Cet article examine une partie de ce que cette entreprise voit dans ses efforts pour contrecarrer la fraude au chômage.
Ces prisonniers ont essayé de demander des allocations de chômage. Les informations personnelles des identifiants des détenus ont été expurgées. Image : ID.me
Un nouveau rapport (PDF) du Bureau de l’inspecteur général (OIG) du Département du travail a révélé que de mars à octobre 2020, quelque 3,5 milliards de dollars d’allocations de chômage frauduleuses – près des deux tiers des fausses demandes qu’il a examinées – ont été versées à des personnes bénéficiant de la sécurité sociale numéros déposés dans plusieurs États. Près de 100 millions de dollars sont allés à plus de 13 000 personnes inéligibles qui sont actuellement en prison.
L’OIG reconnaît que les pertes totales de tous les États s’élèveront probablement à des dizaines de milliards de dollars. En effet, un seul État – la Californie – a révélé le mois dernier que des pirates informatiques, des voleurs d’identité et des réseaux criminels étrangers avaient volé plus de 11 milliards de dollars en allocations de chômage à l’État l’année dernière. Cela représente environ 10 % de toutes les réclamations.
Loi Bloomberg rapports qu’en réponse à un flot de demandes de chômage qui exploitent le manque de partage d’informations entre les États, le ministère du Travail a exhorté les États à utiliser un centre financé par le gouvernement fédéral conçu pour partager les données des candidats et détecter les demandes frauduleuses déposées dans plus d’un État. Mais comme le note le rapport de l’OIG, la participation au hub est volontaire, et jusqu’à présent, seuls 32 des 54 agences de main-d’œuvre d’État ou de territoire aux États-Unis l’utilisent.
Une grande partie de cette fraude exploite les méthodes d’authentification faibles utilisées par les États qui cherchent depuis longtemps à vérifier les candidats à l’aide d’informations statiques et largement disponibles telles que les numéros de sécurité sociale et les anniversaires. De nombreux États n’avaient pas non plus la capacité de dire quand plusieurs paiements allaient sur les mêmes comptes bancaires.
Pour aggraver les choses, alors que la pandémie de coronavirus s’est installée, un certain nombre d’États ont considérablement réduit la quantité d’informations nécessaires pour demander avec succès une demande d’allocations de chômage.
77 000 NOUVEAUX UTILISATEURS (AB) CHAQUE JOUR
En réponse, 15 États se sont désormais alliés à ID.me, basé à McLean, en Virginie, pour renforcer leurs efforts d’authentification, avec six autres États sous contrat pour utiliser le service dans les mois à venir. C’est un coup mineur pour une entreprise lancée en 2010 dans le but d’aider les sites de commerce électronique à valider l’identité des clients à des fins de accorder des remises pour les anciens combattants, les enseignants, les étudiants, les infirmières et les premiers intervenants.
ID.me indique qu’il compte désormais plus de 36 millions de personnes inscrites à des comptes, avec environ 77 000 nouveaux utilisateurs s’inscrivant chaque jour. Naturellement, une grande partie de cette croissance est venue de chômeurs cherchant des allocations de chômage.
Pour éliminer les fraudeurs, ID.me demande aux candidats de fournir beaucoup plus d’informations que celles demandées auparavant par les États, telles que des images de leur permis de conduire ou d’une autre pièce d’identité émise par le gouvernement, des copies des factures de services publics ou d’assurance et des détails sur leur téléphone portable. service téléphonique.
Lorsqu’un demandeur n’a pas un ou plusieurs des éléments ci-dessus – ou si quelque chose dans sa demande déclenche des signaux de fraude potentiels – ID.me peut exiger une conversation vidéo en direct enregistrée avec la personne qui demande des prestations.
Cela a conduit à des tentatives assez amusantes pour contourner leurs processus de vérification, a déclaré le fondateur et PDG d’ID.me. Salle Blake. Par exemple, il n’est pas rare que les candidats apparaissant dans le chat vidéo de l’entreprise se déguisent. Le masque d’Halloween porté par le demandeur illustré ci-dessous n’est qu’un exemple.
Image : ID.me
Hall a déclaré que le service de l’entreprise bloquait une quantité importante de fraudes «de première partie» – quelqu’un utilisant sa propre identité pour déposer dans plusieurs États où il n’est pas éligible – ainsi que la fraude «de tiers», où les gens sont amenés à donner données d’identité que les voleurs utilisent ensuite pour demander des prestations.
« Il y a littéralement toutes les formes d’attaques, des États-nations et du crime organisé aux prisonniers », a déclaré Hall. « C’est comme le jour J de la fraude, c’est à Omaha Beach que nous sommes en ce moment. Le nombre de fraudes que nous combattons est vraiment stupéfiant.
Selon ID.me, l’un des principaux moteurs des fausses demandes de chômage provient de l’ingénierie sociale, où les gens ont donné des données personnelles en réponse à des escroqueries amoureuses ou à des tirages au sort, ou après avoir postulé pour ce qu’ils pensaient être un travail légitime à domicile.
« Une grande partie de cela cible les personnes âgées », a déclaré Hall. « Nous avons vu [videos] de personnes dans des maisons de retraite, où des personnes hors caméra parlent pour elles et brandissent des documents.
« Nous avons eu une vidéo où la personne postulant a dit: » Je suis ici pour le prix en argent « », a poursuivi Hall. « Une autre victime âgée s’est mise à pleurer lorsqu’elle a réalisé qu’elle ne trouvait pas d’emploi et qu’elle avait été victime d’une arnaque à l’emploi. En général, cependant, les arnaques à l’emploi frappent plus durement les jeunes et les histoires d’amour et de prix frappent plus durement les personnes âgées.
De nombreuses autres fausses demandes sont déposées par des personnes qui ont été approchées par des fraudeurs leur promettant une réduction de toute demande de chômage accordée en leur nom.
« On dit à cette personne de simplement prétendre qu’elle s’est fait voler son identité quand et si les forces de l’ordre se présentent », a déclaré Hall.
RÉACTIONS DU SOUTERRAIN
Les fraudeurs impliqués dans le dépôt de demandes d’allocations chômage ont définitivement remarqué les efforts d’ID.me. Peu de temps après que l’entreprise a commencé à travailler avec la Californie en décembre 2020, ID.me a fait l’objet d’une série d’attaques par déni de service (DDoS) visant à mettre le service hors ligne.
« Nous avons bloqué au moins cinq attaques DDoS soutenues et à grande échelle en provenance du Nigéria qui tentent de supprimer notre service parce que nous bloquons leur fraude », a déclaré Hall.
En mai 2020, BreachTrace a examiné les publications sur plusieurs canaux de discussion Telegram dédiés à la vente de services qui aident les personnes à demander frauduleusement des allocations de chômage. De nos jours, certains des messages les plus fréquents sur ces canaux annoncent la vente de diverses « méthodes » ou conseils sur la façon de contourner les protections ID.me.
Mentions d’id.me dans les forums sur la cybercriminalité, chaînes Telegram tout au long de 2020. Source : Flashpoint-intel.com
Interrogé sur l’efficacité de ces méthodes, Hall a déclaré que même si son service ne peut pas arrêter toutes les fausses demandes d’assurance-chômage, il peut garantir qu’un seul escroc ne peut déposer qu’une seule demande frauduleuse.
« Je dirais que dans cet espace, il ne s’agit pas d’être parfait, mais d’être meilleur », a-t-il déclaré.
C’est un euphémisme à une époque où pouvoir limiter chaque escroc à une seule réclamation frauduleuse peut être considéré comme un progrès. Mais Hall dit que l’une des raisons pour lesquelles nous sommes dans ce gâchis est que les États se sont trop longtemps appuyés sur des sociétés de courtage de données qui vendent des services d’authentification basés sur des données statiques qu’il est beaucoup trop facile pour les fraudeurs de voler, d’acheter ou d’inciter les gens à donner une façon.
« Il y a eu un véritable changement sur le marché de la vérification d’identité centrée sur les données à la vérification à travers quelque chose que vous avez et quelque chose que vous êtes, comme un téléphone, un visage ou une pièce d’identité », a-t-il déclaré. « Et ceux-ci ne sont pas dans la provenance des titulaires, les courtiers centrés sur les données. Lorsqu’il y a eu tellement de violations de données que le dentifrice est pratiquement sorti du tube, vous avez besoin d’une plate-forme d’orchestration complète.
UNE MEILLEURE PIÈGE À SOURIS ?
La collecte et le stockage d’autant de données personnelles sur des dizaines de millions d’Américains peuvent en faire une cible attrayante pour les pirates et les voleurs d’identité. Hall dit que ID.me est certifié contre le Directives d’identité numérique NIST 800-63-3utilise plusieurs couches de sécurité et sépare entièrement les données statiques des consommateurs liées à une identité validée d’un jeton utilisé pour représenter cette identité.
« Nous adoptons une approche de défense en profondeur, avec des réseaux partitionnés, et utilisons un schéma de cryptage très sophistiqué de sorte que quand et s’il y a une brèche, ce matériel est protégé par un pare-feu », a-t-il déclaré. « Il faudrait compromettre les jetons à grande échelle et pas seulement la base de données. Nous chiffrons tout cela jusqu’au niveau du fichier avec des clés qui tournent et expirent toutes les 24 heures. Et une fois que nous vous aurons vérifié, nous n’aurons plus besoin de ces données vous concernant de manière continue.
Avec un pourcentage aussi élevé de demandes de chômage déposées par des voleurs d’identité, de nombreux États ont institué de nouveaux filtres anti-fraude qui ont fini par rejeter ou retarder des millions de demandes légitimes.
Jim Pattersonun député républicain de Californie, a tenu une conférence de presse en décembre accusant le système d’ID.me de « problèmes continus et de rejeter les formes d’identification légitimes, obligeant les candidats à passer par le processus de vérification manuelle qui prend des mois ».
ID.me indique qu’environ huit utilisateurs passeront par son flux de libre-service automatisé pour chaque utilisateur qui a besoin d’utiliser la méthode de chat vidéo pour vérifier son identité.
« La majorité des demandeurs légitimes réussissent notre processus automatisé de vérification d’identité en libre-service en moins de cinq minutes », a déclaré Hall. « Pour les personnes qui échouent à ce processus, nous sommes la seule entreprise aux États-Unis à proposer une méthode sécurisée de vérification d’identité basée sur le chat vidéo pour garantir que tous les utilisateurs sont en mesure de prouver leur identité en ligne. »
Hall affirme que son entreprise dépasse également les normes de l’industrie en termes de validation de l’identité des personnes ayant peu ou pas d’antécédents de crédit.
« Si vous vous fiez uniquement aux bureaux de crédit ou aux courtiers en données pour cela, cela signifie que quiconque n’a pas d’antécédents de crédit ne passe pas », a-t-il déclaré. « Et cela a tendance à avoir un effet disproportionné sur ceux qui sont plus susceptibles d’être moins nantis, comme les communautés minoritaires. »