Tìm kiếm Blog này

Thứ Sáu, 9 tháng 5, 2025

Gian lận tín dụng & hành vi đánh cắp danh tính

Yêu cầu Chủ đề An ninh mạng IIA: Tổng quan, Chi tiết và Tác động

CHECK THE WHITE PAGES FOR FRAUD



Nguồn tiếng Anh: IIA Magazine (ia202212-dl)


Nhiều khiếu nại về việc kiểm tra tín dụng không có sự đồng ý của người được kiểm tra cho thấy công ty chuyên cung cấp hệ thống an ninh (Sun Security) có hành vi trộm cắp danh tính.

Giới thiệu về Sun Security

Sun Security là một nhà cung cấp hệ thống an ninh gia đình có giám sát trên toàn quốc. Trong những năm gần đây, Sun đã mở rộng dòng sản phẩm của mình từ các hệ thống báo động an ninh gia đình cơ bản sang các hệ thống an ninh tiên tiến tích hợp tiện ích của các thiết bị Internet of Things.

Các hệ thống bao gồm các sản phẩm như bộ điều chỉnh nhiệt kỹ thuật số, cửa garage tự động và rèm cửa sổ có thể mở và đóng có hẹn giờ; tất cả đều được giám sát 24 giờ một ngày, 365 ngày một năm. Chi phí lắp đặt hệ thống an ninh gia đình có giám sát có thể dao động từ ít nhất là 1.000 đô la đến 10.000 đô la, tùy thuộc vào quy mô của ngôi nhà và mức độ an ninh và các thiết bị sử dụng trong nhà mà khách hàng mong muốn. Trong những tháng gần đây, Sun đã bắt đầu nhận được những khiếu nại từ khách hàng và các cơ quan nhà nước về hành vi bán hàng lừa đảo. Ngoài ra, một số người không phải là khách hàng đã cáo buộc rằng Sun đã chạy kiểm tra tín dụng đối với họ mà không có sự đồng ý của họ. Trưởng bộ phận Kiểm toán nội bộ (CAE) của Sun, Chandler Fritz, quyết định bắt đầu một cuộc điều tra.

Cuộc Điều tra của Fritz và Bối cảnh Tài chính

Fritz biết rằng kể từ khi Sun mở rộng, chi phí cao của các hệ thống đã bắt đầu hạn chế số lượng khách hàng có thể mua chúng, và chi phí lắp đặt tăng cao đang tạo gánh nặng tiền mặt cho Sun. Giải pháp của công ty là ký một thỏa thuận với một tổ chức ngân hàng lớn và cho phép khách hàng của mình tài trợ chi phí hệ thống của họ trong suốt thời gian hợp đồng năm năm. Tuy nhiên, khách hàng trước tiên phải đủ điều kiện để được tài trợ.

Đối với những khách hàng quan tâm đến hình thức tài trợ tài chính, đại diện bán hàng của Sun sẽ thực hiện kiểm tra tín dụng sơ bộ hay còn gọi là kiểm tra tín dụng mềm để xác định xem họ có đủ điều kiện hay không. Kiểm tra tín dụng mềm được thực hiện bằng cách nhập thông tin cá nhân về khách hàng tiềm năng vào nền tảng của cơ quan báo cáo tín dụng tiêu dùng. Cơ quan báo cáo tín dụng sẽ so sánh ngay lập tức thông tin với cơ sở dữ liệu của mình và trả về điểm số cho đơn vị chạy báo cáo tín dụng. Tuy nhiên, kết quả của kiểm tra tín dụng không xác định dựa trên một danh tính cụ thể. Thay vào đó, cơ quan báo cáo tín dụng sẽ chạy dữ liệu được cung cấp so với cơ sở dữ liệu của mình và thuật toán sẽ trả về kết quả phù hợp nhất hoặc có khả năng đúng nhất.

Trong quá trình xem xét các khiếu nại của khách hàng, Fritz nhận thấy sự không nhất quán giữa hợp đồng khách hàng và dữ liệu kiểm tra tín dụng. Tên khách hàng trên hợp đồng khớp với tên trên kiểm tra tín dụng, nhưng địa chỉ nhà lại khác với địa chỉ trên kiểm tra tín dụng. Để giải quyết sự khác biệt này, Fritz muốn phỏng vấn các đại diện bán hàng đã bán hệ thống.

Anh ấy đã gặp Daisy Mobley ở bộ phận nhân sự và cung cấp cho cô ấy danh sách những người anh ấy muốn nói chuyện. Fritz rất ngạc nhiên khi Mobley xem xét danh sách và trả lời rằng các đại diện bán hàng không còn làm việc cho công ty nữa. Cô ấy giải thích rằng hầu hết họ là thành viên của một chương trình mùa hè.

Trong mùa hè, Sun đã thuê sinh viên đại học đi bán hệ thống an ninh tận nhà. Mobley chia sẻ rằng mỗi năm, một vài sinh viên mới tốt nghiệp sẽ được đề nghị các vị trí bán hàng toàn thời gian. Fritz đã yêu cầu một danh sách các sinh viên mới tốt nghiệp để thẩm vấn.

Phát hiện về Hành vi Gian lận (""White Paging"")

Sau khi nói chuyện với họ, Fritz đã rất ngạc nhiên trước những gì anh phát hiện ra. Anh phát hiện rằng đội ngũ bán hàng mùa hè được đào tạo để hỗ trợ khách hàng đạt được việc kiểm tra tín dụng thành công. Sun bán hệ thống an ninh của mình thông qua một mạng lưới đại diện bán hàng chỉ hưởng hoa hồng. Khi các đại diện bán hàng báo giá hệ thống an ninh cho khách hàng tiềm năng, họ được đào tạo để cung cấp những lựa chọn tài chính.

Nếu khách hàng quan tâm đến hệ thống an ninh nhưng không được duyệt tín dụng, nhân viên kinh doanh sẽ tìm một người sống trong khu vực có cùng tên với khách hàng. Sau đó, nhân viên kinh doanh chạy lại việc kiểm tra tín dụng với ngày sinh và số An Sinh Xã Hội của khách hàng thực tế, nhưng sử dụng địa chỉ của người trùng tên. Sự thay đổi nhỏ này thường đủ để thuật toán của cơ quan tín dụng trả về điểm tín dụng của người trùng tên thay vì khách hàng ký hợp đồng.

Các đại diện bán hàng gọi hành vi này là “white paging”. Lãnh đạo bộ phận bán hàng của Sun thậm chí còn sử dụng phần mềm để hỗ trợ các đại diện bán hàng tìm kiếm tên để sử dụng cho việc kiểm tra tín dụng nếu khách hàng ký hợp đồng không đáp ứng được điểm tín dụng tối thiểu.

Vấn đề Tuân thủ và Đào tạo

Khi xem xét tài liệu đào tạo được cung cấp cho đội ngũ bán hàng mùa hè, Fritz không tìm thấy bất kỳ nội dung đào tạo nào về đánh cắp danh tính. Anh ấy biết Sun phải tuân thủ các quy tắc và quy định của Ủy ban Thương mại Liên bang Hoa Kỳ. FTC yêu cầu một số tổ chức nhất định phải tạo một Chương trình Phòng chống Đánh cắp Danh tính bằng văn bản được thiết kế để xác định, phát hiện và ứng phó với các dấu hiệu cảnh báo có thể cho thấy hành vi đánh cắp danh tính.

Phản ứng của Lãnh đạo và Hậu quả Pháp lý

Khi Fritz báo cáo phát hiện của mình cho CEO Nathan Gilroy và Giám đốc tài chính Mike Waters của Sun, anh ấy đã kinh hoàng trước phản ứng của họ. Mối quan tâm chính của họ không phải là tình trạng đánh cắp danh tính tràn lan đang diễn ra. Thay vào đó, họ lo lắng về việc bỏ lỡ thu nhập và không đạt được các mục tiêu tài chính hàng quý nếu quy trình này dừng đột ngột.

Khi Fritz đang cân nhắc bước đi tiếp theo, Bộ Tư pháp Hoa Kỳ đã thông báo cho Sun rằng công ty đang bị điều tra. Cuộc điều tra kết thúc với việc Sun phải nộp phạt gần 20 triệu đô la.

LESSONS LEARNED

Các tổ chức nên có một chương trình chống đánh cắp danh tính bao gồm bốn yếu tố cơ bản:

  1. Xác định các dấu hiệu cảnh báo (red flags) đánh cắp danh tính đặc thù cho từng loại hình kinh doanh.
  2. Xác định quy trình phát hiện các dấu hiệu cảnh báo trong hoạt động hàng ngày.
  3. Hành động để ngăn chặn tác hại khi các dấu hiệu cảnh báo được xác định.
  4. Duy trì chương trình và đào tạo nhân viên.

Các tổ chức nên chứng minh rằng họ đã đào tạo nhân viên và đang thực thi chương trình.

Nên thực hiện các kiểm tra phân tích dữ liệu trên toàn bộ dữ liệu kiểm tra tín dụng để đảm bảo không có hành vi trộm cắp danh tính xảy ra. Một thử nghiệm xác định nhiều lượt kiểm tra tín dụng được thực hiện đối với một địa chỉ, tên khách hàng hoặc ngày sinh duy nhất có thể đã dẫn đến việc phát hiện sớm hành vi gian lận.

Các tổ chức nên có các biện pháp kiểm soát phát hiện và phòng ngừa để giảm khả năng trộm cắp danh tính. Ví dụ:

  • Hạn chế số lượng kiểm tra tín dụng mà một nhân viên có thể thực hiện đối với một khách hàng tiềm năng.
  • Khóa việc chạy kiểm tra thứ hai sau khi lần kiểm tra đầu tiên trả về điểm số.
  • Phát triển các báo cáo ngoại lệ để xem xét khi có vẻ như số lượng kiểm tra đã được thực hiện là quá mức.
Học CIA Online 🇻🇳
Người đăng:

Nhãn

CIA (98) CISA (27) Học CIA Online (112) INTERNAL AUDIT (110) INTERNAL CONTROL (35) OTHERS (11) RISK (21) SAMPLING (5)