במהלך קיץ וסתיו 2018, חסן חאכים בראון, תושב פלורידה בשנות ה-40 המוקדמות לחייו, הגיש בקשות מקוונות לקבלת הלוואות עבור זהויות וחברות מזויפות שהקים. הוא נחל הצלחה חלקית: הוא קיבל יותר ממיליון דולר מבנק בטקסס, אבל כמה מהמטרות האחרות שלו סימנו את הבקשות שלו כחשודות. הן עשו זאת תוך שימוש בתוכנה של הסטארט-אפ SentiLink, שבסיסו בסן פרנסיסקו, בגלל שיותר מדי מספרי Social Security (המקבילים למספרי תעודת זהות בישראל) היו משויכים לאותה כתובת.
בראון, התברר, החל לייצר "זהויות סינתטיות" – מספרי Social Security גנובים (אך אמיתיים) שהתמזגו עם שמות בדויים. מאוחר יותר הוא שכלל את הטכניקה שלו ושילם לטכנאי מחשבים באטלנטה עבור גישה לרשת, שאפשרה לו לנהל בו-זמנית שולחנות עבודה וירטואליים מרובים מכתובות IP שונות, ובכך להתחמק מתוכנות זיהוי הונאה מסוימות.
בשנת 2020, כשפרצה מגפת הקורונה והקונגרס האמריקני הקצה מיליארדי דולרים לתוכנית חירום למתן הלוואות לעסקים שנפגעו, בראון היה מוכן. לפי רישומי בית המשפט הפדרלי, כולל הודאות באשמה, בראון ושישה מעמיתיו הפעילו 700 זהויות סינתטיות, עשרות חברות קש וחשבונות בנק קשורים. בסך הכל הוציאה החבורה במרמה יותר מ-20 מיליון דולר ממנהל העסקים הקטנים ומבנקים אמריקניים שונים. בראון נידון ל-60 חודשי מאסר.
בעוד בראון היה עסוק בהונאה, מייסדי סנטילינק, נפתלי האריס ומקסוול בלומנפלד, שניהם בני 31 היום, חשבו גם הם על הונאות תעודות זהות סינתטיות. אבל הם הפכו את התובנות המוקדמות שלהם לעסק נישה שצומח יפה. "בהתחלה כולם אמרו לנו שזה סוג הונאה בלתי אפשרי, ושכנראה לא הבנו משהו", נזכר האריס, מנכ״ל החברה.
בשנה שעברה הכניס הסטארט-אפ בן השש של האריס ובלומנפלד כ-25 מיליון דולר, יותר מכפול מהסכום בשנה הקודמת, לפי הערכת פורבס. בין יותר מ-300 לקוחותיה נמנים שבעה מ-15 הבנקים הגדולים בארה"ב ושישה מתוך 10 איגודי האשראי הגדולים במדינה, כמו גם חברות פינטק גדולות כמו Ramp ו-Plaid. סנטילינק גייסה 70 מיליון דולר ביולי 2021 לפי שווי של 430 מיליון דולר, לפי PitchBook. האריס אומר שהיא ״שורפת״ רק מיליון דולר בחודש ויש לחברה מספיק מזומנים כדי להמשיך לפעול ללא מימון נוסף במשך יותר מחמש שנים. הוא ובלומנפלד בוגרי רשימת 30Under30 של פורבס לשנת 2020, והשנה סנטילינק עושה את הופעת הבכורה שלה ב-Fintech 50, הרשימה השנתית של סטארט-אפים פרטיים בתחום הפינטק.
בינה אנושית
בינה מלאכותית היא, כמובן, חלק מרכזי בעסק של סנטילינק. אבל האריס ובלומנפלד למדו שיעור מכריע מהאופן בו זיהו לראשונה הונאה סינתטית: אדם, לא מחשב, יצר את קשר המפתח. באוגוסט 2016 עבדו שני החברים מהקולג' כמדעני נתונים בסטארט-אפ הפיננסי Affirm. הצוות של האריס בנה מודלים לאישור או דחיית לווים פוטנציאלים, ותפקידו של בלומנפלד היה לחפש הונאות. יום אחד הבחין בלומנפלד שלשני מועמדים יש את אותו השם ותאריך הלידה, אבל מספרי תעודת הזהות שלהם שונים.
הוא חיפש את השם במחשב ומצא ש-12 אנשים בשם זה הגישו בקשה להלוואות, כולם עם מספרי תעודת זהות שונים. מה שמפתיע יותר הוא שכל ה-12 נבדקו על ידי Credit Bureau, חברת איסוף נתונים המבצעת בדיקות אשראי, ולכולם היו דירוגי אשראי טובים. לאחת מהזהויות הפיקטיביות היה כרטיס אשראי עם תקרה של 20 אלף דולר. אחרת קיבלה הלוואה אישית של 35 אלף דולר. שלישית קיבלה הלוואה של 80 אלף עבור רכישת BMW.
"זה היה מטורף", נזכר האריס בגילוי המטריד. "האנשים האלה לא קיימים, אבל הם רימו את החברות לקבלת דירוגי ודוחות אשראי". השימוש באותו שם ותאריך לידה היה טיפשי, אבל האסטרטגיה הבסיסית הייתה חכמה וסבלנית: הנוכלים גנבו מספרי תעודות זהות מאנשים שלא סביר שיעשו קניות אקטיביות באשראי, כמו ילדים, אסירים ודיירי בית אבות. הם שילבו את המספרים האלה עם שמות בדויים וכתובות אמיתיות. לאחר מכן שיפרו את דירוגי האשראי עבור היצירות שלהם על ידי פתיחת חשבונות עו"ש ותשלום בזמן על הלוואות וכרטיסי אשראי. בסופו של דבר, הם יכלו להשתמש בהיסטוריות האשראי כדי לקבל הלוואות גדולות שהם לא היו מחזירים – אירוע שמכונה כעת "Bust-out".
סוג כזה של הונאה לא היה מוכר, אפילו למומחים, כשהאריס ובלומנפלד נתקלו בו לראשונה. "הם אמרו לנו שלחברות האשראי יש רישומים מדויקים של כל האמריקנים הפעילים ושכל עוד לזהות קיים רישום, זה לא יהיה אפשרי", נזכר האריס. אבל זה היה. וזה עדיין קורה, למרות השקת מסד נתונים פדרלי מעט מגושם בשנה שעברה (בו סנטילינק משתמשת) המאפשר למשתמשים מורשים להצליב מספרי תעודת זהות ושמות.
כיום, לסנטילינק, המונה 78 אנשים, יש שמונה עובדים במשרה מלאה המקדישים את זמנם לבדיקה ידנית של ניסיונות הונאה פוטנציאליים, ועובדים אחרים נדרשים להשקיע לפחות שעה בשבוע בחיפוש כדי לזהות דפוסים חדשים – זוויות הונאה חדשות או אפילו מועמדים לגיטימיים שעלולים להידחות באופן לא הוגן על ידי האלגוריתם. "יש תפיסה מוטעית גדולה לגבי בינה מלאכותית – שהיא מסוגלת לגלות את ההונאות האלה בעצמה", אומר בלומנפלד, שמכהן כמנהל התפעול הראשי ומוביל המחקר והפיתוח בסנטילינק. "במקרה שלנו, מודל הבינה המלאכותית מנסה לחקות את מה שבן אדם היה עושה. הוא מתאים עצמו במהירות".
חדשנות ומהירות היו המפתח להצלחת הצמד עד כה. האריס, שגדל בלוס אנג'לס, פנה לתריסר ממוסדות הלימוד המובילים בארצות הברית מבלי שסיים תיכון. אוניברסיטת שיקגו הייתה אחת מחמשת המוסדות שקיבלו אותו. בימיו הראשונים שם פגש את בלומנפלד, בנם של מורה לאומנות ועורך דין מסים.
האריס סיים בשלוש שנים את לימודיו בשיקגו עם תואר בסטטיסטיקה והחל בלימודי דוקטורט. הוא עשה זאת באוניברסיטת סטנפורד, אבל מצא את התחום תיאורטי מדי, והשלים במקום תואר שני בסטטיסטיקה. ביוני 2014, מקס לבצ'ין, המייסד המשותף של Affirm, שכנע אותו להיות מדען הנתונים הראשון של החברה. האריס, אומר לבצ'ין, "לא לקח שום דבר כמובן מאליו, העריך דברים מאפס והיה מאוד מאוד מוכשר מבחינה מתמטית". בלומנפלד הצטרף לחברה שישה חודשים לאחר מכן.
במרץ 2017, שבעה חודשים בלבד לאחר המפגש הראשוני שלהם עם הונאת תעודות זהות סינתטיות, החליטו האריס ובלומנפלד לבנות סביב המקרה חברה משלהם. הם קיבלו 575 אלף דולר במימון ראשוני – 300 אלף דולר מקרן ההון סיכון Goldcrest ואת השאר מלבצ'ין. הם התחילו לעבוד מתוך משרד חסר חלונות במרתף באזור המפוקפק של סן פרנסיסקו. "זה היה המשרד הזול ביותר שיכולנו למצוא באותו הזמן. זה הרגיש הולם, חברה שנלחמת בהונאה צריכה לעבוד ממשרד במרתף״, מספר בלומנפלד.
כדי לבנות מודל שימושי לזיהוי הונאה, צריך נתוני לקוחות, והרבה מהם. הם השתמשו בקיצור חכם כדי להתחיל, וקנו חובות אבודים שנמחקו בסך מיליוני דולרים ממלווים תמורת כ-10,000 דולר. הדבר אפשר להם לבנות פרופילי אשראי של הלווים ולחפש דפוסים חשודים. הם גם התחילו לקודד התנהגויות ספציפיות לתוך האלגוריתם שלהם – אם, למשל, מישהו הגיש בקשה עם כתובת אימייל שנוצרה רק חודש לפני או השתמש בכתובת IP ממיקום שונה מהכתובת הפיזית שלו, זה נחשב כדגל אדום.
בעוד הם נאבקים לבנות את המודל שלהם, הצורך בו גדל. חברת המחקר Aite-Novarica מעריכה שההפסדים של מוסדות פיננסיים בארה"ב מהונאות תעודות זהות סינתטיות שולשו מ-800 מיליון דולר ב-2017 ל-2.4 מיליארד דולר לפחות בשנה שעברה. עם זאת, החברה מציינת שההפסדים עשויים להיות יותר מפי שניים מהאומדן שלה, מכיוון שחלק מהמלווים עדיין מוחקים חובות אבודים. (Aite-Novarica לא מעריכה הפסדים שנגרמו על ידי הממשלה, טלקום או אתרי הימורים מקוונים, שהם גם קורבנות גדולים של השיטה).
בשנת 2019, האריס ובלומנפלד סוף סוף קיבלו את לקוח הבנק הגדול הראשון שלהם: Synchrony, המתמחה בהלוואות ומספק את כרטיסי האשראי הקמעונאיים המוצעים על ידי אמזון ו-JCPenney. באותה שנה גם גייסה סנטילינק את המימון המשמעותי הראשון שלה – 14 מיליון דולר מהקרנות Andreessen Horowitz ו-Felicis Ventures, בין היתר. הנס מוריס, שותף מנהל בחברת ההון סיכון NYCA, אחד המשקיעים, אומר שהצמד הנערי, הגיקי למראה, חביב במיוחד על בכירים פיננסיים. "הם כאלה חנונים ומקסימים, שסומכים עליהם״.
מקסימים או לא, הצמד התמקד בסוג הנכון של בעיות הונאה. האיום ממשיך לגדול ולהתרחב, אך הוא לא משמעותי מספיק כדי שיקומו מתחרים גדולים בתחום שיציגו מודלים אפקטיבים. ואז הגיעה הקורונה. הזינוק במסחר האלקטרוני ומבול הכסף הפדרלי היו ברכה הן לרמאים והן לסנטילינק, שגדלה מ-12 לקוחות בדצמבר 2019 ל-45 עד סוף 2020. בשנה שעברה היא עיבדה 323 מיליון בדיקות זהות ללקוחות, זינוק מ-148 מיליון בשנת 2021. ככל שהיא מעבדת יותר נתונים, כך המודלים שלה מאומנים טוב יותר – וכך היא מרוויחה יותר, שכן לקוחות רבים משלמים עמלת רישוי קבועה וגם דמי שימוש עבור כל בדיקת זהות.
סנטילינק התרחבה מעבר להונאות סינתטיות לגניבת זהות מיושנת והונאת צד ראשון, שבה אנשים משתמשים בזהותם האמיתית כדי לגנוב כסף או סחורות, לעתים קרובות על ידי האשמת הספק או נותן השירות. האריס אומר שהם הצליחו למכור ליותר מלמחצית הלקוחות שלהם מוצר שני או שלישי, וכ-60% מההכנסות מגיעות כעת מתחומים חדשים.
אולם למרות ההתרחבות, לסנטילינק רק חלק קטנטן משוק מניעת ההונאות, שמסתכם ב-15 מיליארד דולר בשנה, לפי הערכת חברת בדיקות האשראי (והמתחרה) Experian. למעשה, חלק מהבנקים עובדים עם עד 10 חברות למניעת הונאות בו זמנית. חברות כמו LexisNexis Risk Solutions ו-Socure מציעות כולן מערך שירותים רחב יותר מאשר סנטילינק.
ועומד בפניהם אתגר נוסף: התחום זז מהר. ככל שמודלי מניעת ההונאה מתרבים, נוכלים ממציאים שיטות וגרסאות חדשות יותר. ״אני שומע אלף חברות בשנה שמצהירות ׳אני טובה מכולם׳״, אומר מקס אקסלר, סמנכ״ל האשראי שלSynchrony . האריס ובלומנפלד יצטרכו להמשיך לעבוד קשה אם הם רוצים לעמוד בקצב – של המתחרים ושל הפושעים כאחד.