有时,欺诈就像一场猫捉老鼠的游戏: 犯罪分子通常咄咄逼人,处于进攻状态,而公司则努力保护自己,处于防守状态。 对于企业来说,这场游戏变得越来越难玩了。 犯罪组织的工具越来越复杂,攻击方式也越来越复杂。 金融服务公司和商家发现很难不断调整其安全和欺诈防御措施以应对快速发展的攻击。 如果你不跟上,那么你就会落后。 危险在于损失更大、交易被放弃以及客户不满意。 失去金钱和客户——这不是一个好的组合。
现在是时候重新考虑你的防欺诈方法了。 但现在我能听到。 “我人手不足,资金也不足。 你怎么能指望我跟上更灵活、资金更充足的犯罪组织呢?” 在这种充满挑战的环境中,我们需要更加聪明地工作,而不是更加努力地工作。 商家和金融服务公司通过内部和外部的审视解决了这个问题。
回顾内部,成功的公司已经承认其安全和欺诈缓解效率低下。 通常会设立一个网络安全部门来保护计算网络和面向外部的应用免受渗透、漏洞和拒绝服务攻击,设立一个欺诈部门来专注于在线/数字交易、事件关联和事件响应。 这样就造成了责任的分离,以及两个拥有不同工具、数据集、绩效指标、人员和预算的部门。 让我们看看这会给公司带来什么损害。
数据泄露和凭证泄露已暴露数十亿个人身份信息记录,包括用户名/密码对。 在典型的攻击中,攻击者将使用高度分布的僵尸网络执行撞库攻击,以大规模测试这些对,以确定哪些用户名/密码对仍然有效。 有了有效的密码对,攻击者就可以轻松地成为网络犯罪分子,通过接管客户的在线账户来窃取资金、洗钱积分或进行未经授权的购买。 根据遇到的安全对策,网络犯罪分子可能会使用各种工具来修改攻击,这些工具包括网络脚本和僵尸网络,以及模拟人类行为的工具或可以对人工点击农场进行 API 调用以解决 CAPTCHA 的框架。
此类攻击涉及安全和欺诈团队的职责。 如果安全和欺诈团队或他们的工具无法沟通,威胁情报和背景信息就会丢失,而且很难(甚至不可能)看到整个攻击。 结果,欺诈者得以逃脱惩罚,公司及其客户遭受经济损失。
现在是打破组织孤岛的时候了。 跨团队和技术的协作可以成为融合、增加收入并最终实现公司成功的工具。 此外,汇集资源和数据可以提高可视性,从而可以将犯罪组织拒之门外,同时让优质客户顺利通过。 Aite-Novarica Group 最近对 110 家金融科技公司进行了一项研究,结果表明,相比拥有独立欺诈系统的公司,拥有集成欺诈系统的公司认为管理欺诈比较容易或非常容易的可能性是前者的两倍。
集成平台的好处是通过汇集和持续分析数据,可以了解更多欺诈状况。 有了更大的数据集和更多的欺诈信号,就有可能创建更具预测性和精确性的机器学习模型。 这不仅可以带来更主动、更可操作的情报,还可以带来更好的用户体验,因为提高的精度可以加快身份验证,为客户提供无缝的交易方式,而不会增加欺诈行为。
向外看对于建立有效的欺诈生态系统也很重要。 金融服务公司和商家购买工具并在内部管理欺诈行为,并由工作人员配置工具以防止欺诈,这是一种常见的做法。 随着欺诈攻击不断演变,公司必须调整其欺诈策略来应对,调整身份验证规则,并调查误报。 换句话说,公司必须先经历一次新的欺诈攻击(和一次财务损失),然后才能防止未来的欺诈攻击。 在内部部门调查和修复安全漏洞期间,这种被动策略会让公司处于危险之中。
为什么不积极主动一点呢? 提供商业解决方案的供应商利用其广泛的经验和知名度来保护他们的客户,比单个客户保护自己更好。 如何? 嗯,一个在多个地区和行业拥有庞大客户群的供应商对欺诈有着非常广泛的看法,尤其是当威胁情报在其集体防御网络中共享时。 如果出现新的欺诈攻击媒介,供应商可以快速修改其欺诈防御措施以保护所有客户。
防范日益复杂的犯罪组织及其攻击十分困难,特别是在人员和资源短缺的情况下。 现在是审视内心和外在的时候了。 将网络安全和欺诈管理整合成一个综合团队并利用外部专业知识可带来三大好处。 网络安全/欺诈管理得到简化,损失降低,客户获得更好的在线体验。 一个三赢的解决方案。
作者:David Mattei,Aite-Novarica 集团战略顾问
_____
如需更多观点,请阅读Aite 报告来了解最大限度减少欺诈损失的新策略。