零售商尋找先進的網路安全策略,來打擊節日期間的在線上詐欺
隨著世界花更多時間在網上購物,欺詐者將更多時間用於針對電子商務商家。最近的 FIS/Worldpay 風險緩解調查發現,2020 年 11 個國家,超過一半的商戶出現合成身份詐欺、賬戶接管詐欺和身份盜竊/新賬戶欺詐。為了保護他們的收入和客戶體驗,商戶需要了解這些攻擊的工作原理,以及如何降低其風險。
合成身份詐欺
當詐欺者將來自多個受害者的數據,組合成一個新的角色時,就會發生合成身份詐欺 —— 這個角色看起來像一個好消費者,但只是詐欺者的化身。憑藉拼湊而成的身份,犯罪分子可以開設銀行賬戶、申請貸款、獲得信用卡,並透過購物來玩漫長的遊戲,直到賬單到期。
風險解決調查中 55% 的高管報告說,2020 年的合成身份詐欺比 2019 年更多,而亞太國家 (APAC) 高管的這一數字上升至 61%。然而,這種詐欺在大流行之前就已經成為趨勢。麥肯錫 2019 年 1 月的一份報告稱合成身份詐欺,是「美國成長最快的金融犯罪類型」。
合成 ID 欺詐給商家帶來了許多問題 —— 他們損失了貨物,以及處理和運輸成本,欺詐者有時也會提出退款申請。如果商家向這些合成客戶提供信貸額度,他們可能會浪費金錢,試圖從不存在的購物者那裡收回收入。
由於合成身份詐欺者,首先針對銀行和信用卡發卡機構,因此麥肯錫建議金融機構,使用更多第三方數據來審查新客戶。透過檢查申請人是否使用與其他人相關的電子郵件地址、社會安全號碼和雇主等數據,銀行更有可能在開戶前發現詐欺者。
商家可以透過在訂單篩選過程中使用人工智慧、客戶數據和行為生物辨識技術,來驗證首次客戶的身份,從而降低合成詐欺的風險。該評估可以尋找潛在的詐欺指標,例如新的手機帳戶、新的電子郵件地址和使用 VOIP(通常透過「燃燒器」電話)下訂單。商家還可以實施批量分析,來查找具有不同客戶姓名,但地址和電話資訊相同的訂單 —— 這是可能的合成詐欺的另一個跡象。
帳戶接管詐欺
50% 的受訪高管表示,他們的公司在 2020 年遭受的 ATO 欺詐比 2019 年要多。不幸的是,ATO 欺詐是利用被盜或破解的憑據實施的,而且越來越容易發生。這部分是因為有太多的數據洩露會暴露登錄憑據,而且多達 65% 的人對多個帳戶使用相同的密碼。當一批密碼在洩露中暴露時,欺詐者會使用機器人在其他帳戶中測試它們,直到他們找到可以登錄的其他商店,冒充洩露受害者,並使用受害者的付款方式進行購買。
機器人也以其他方式支持 ATO 詐欺。安全公司 Imperva 描述了詐欺者如何在目標商家處創建「金絲雀」賬戶,然後使用機器人嘗試使用一批被盜憑據登錄。如果在嘗試該批次後,詐欺者無法使用他們的 Canary 帳戶重新登錄,他們就知道「觸發了安全規則,機器人操作員應該改變他們的行為。」這種策略類似於卡片測試,犯罪分子為被盜卡號輸入不同的 CVV,直到他們找到可以使用的匹配項。解決方案也類似:限制用戶在阻止 IP 地址之前必須正確輸入登錄(或卡)數據的嘗試次數和速度。
為了檢測詐欺者已經正確登錄的情況,商家可以使用歷史客戶數據、行為生物辨識、位置和設備數據、客戶的訂單新近度和速度來標記可能的 ATO。
身份盜竊和新賬戶詐欺
52% 的受訪高管報告稱,2020 年的身份盜竊和新賬戶欺詐比前一年更多。根據 Javelin Strategy & Research 的數據,僅在美國,去年消費者身份盜竊損失就達到了 560 億美元。分析師表示,這一激增的部分原因,是與大流行相關的網路釣魚詐騙有所增加。
無論竊賊是透過網路釣魚還是數據洩露,獲取社會安全號碼等個人資訊,他們都可以使用這些資訊,以受害者的名義開立賬戶,然後進行購買,直到受害者意識到發生了什麼並通知銀行。與 ATO 詐欺一樣,最有效的預防方法是通過行為生物識別技術對客戶進行身份驗證,例如他們的購買歷史、網站行為、訂單新近度和速度,以及他們的設備和 IP 數據,以檢測異常情況。
創建更全面的反欺詐計劃
重要的是要記住,儘管詐欺行為有所增加 —— 儘管需要阻止正在測試登錄或卡數據的機器人 —— 但客戶行為中的異常不應導致訂單自動拒絕。這是因為自 2020 年 3 月以來,我們購物、工作和生活的方式一直在迅速發展,錯誤地拒絕了好客戶,他們很可能永遠不會回來。相反,標記的訂單應該由可以批准或拒絕,它們的詐欺分析師進行審查。
透過將 AI 驅動的客戶身份驗證工具和專家分析,與其他欺詐評分實踐分層,商家可以防止欺詐損失、阻止機器人攻擊並阻止詐欺者瞄准他們的商店,同時為優質客戶保持積極和高效的購物體驗。
按此回今日3S Market新聞首頁
沒有留言:
張貼留言