博客

拥抱数字创新的 4 个技巧,避免账户盗用欺诈和客户摩擦风险

Angel Grant 缩略图
安吉尔·格兰特
2023 年 2 月 9 日发布

许多网上商家和服务机构面临着一个悖论: 客户要求更加便捷的数字服务,同时针对电子商务和在线服务的网络攻击在数量和影响上也在急剧增加。 这使得在线企业陷入困境,一方面试图满足客户对数字创新的偏好,另一方面却面临更大的欺诈和其他形式的网络犯罪风险。

这一难题的核心在于三个主要驱动因素。 首先,组织推出的每个新的数字服务或电子商务网站都会扩大现有的攻击面,为犯罪分子提供更大的目标,并使检测和缓解措施更加复杂。 其次,在大多数组织中,最注重防御网络犯罪的团队是安全和欺诈团队,他们通常存在于自己的孤岛中,很少在网络战略或防御策略上进行合作。 这妨碍了采取协调一致的网络安全方法,而这种方法无法限制或阻止攻击,也无法更快地阻止违规和欺诈行为。

最后,有点讽刺的是,某些客户的习惯和行为会在不知不觉中增加在线供应商和服务提供商的曝光率。 根据谷歌的研究,大约三分之二的消费者在多个网站上重复使用相同的凭证(用户名和密码)。 谁又能责怪他们呢? 根据 BuiltWith 电子商务使用分布报告,互联网上有近 3300 万个电子商务网站,几乎所有网站都需要某种形式的用户名和密码才能进行购买。

然而,反复重复使用凭证会产生漏洞,网络犯罪分子及其自动机器人大军很容易利用这些漏洞。 据 Hacker News 报道,被盗或泄露的凭证占所有安全漏洞的 54%,为影响最大的网络威胁载体之一——账户接管(ATO)铺平了道路。 攻击者利用大量机器人进行大规模自动登录尝试,这种做法称为撞库攻击,以发现哪些凭证对在多个登录表单上有效。 由于很大一部分受损凭据也可以用来访问其他网站的账户,因此攻击者可以控制账户,更改凭证以锁定合法账户所有者,耗尽资产,并使用这些账户实施其他欺诈行为。

VentureBeat 的一份报告显示,2022 年上半年 ATO 激增,较去年同期增长了 131%。 这些影响是真实存在的: 据《美国银行家》报道,根据Javelin 2022 年身份欺诈研究显示,22% 的美国成年人曾成为 ATO 的受害者,预计 2023 年至 2027 年间全球数字欺诈损失将超过 3430 亿美元。

显然,对于许多电子商务和在线服务而言,拥抱数字创新也会增加网络攻击和潜在欺诈损失的风险。 但这并不意味着组织应该限制对新的数字客户服务和体验的创新和投资。 这意味着组织应该采用技术创新来保护其数字渠道免受安全和欺诈威胁。

保障数字创新的四个步骤

企业可以采取以下四种主动措施来帮助他们降低数字渠道内的风险:

  • 减轻恶意机器人的影响。 互联网上超过一半的流量来自机器人,虽然其中一些机器人是有用的(聊天机器人、搜索引擎爬虫),但大多数都是恶意的。 恶意机器人会扩大自动攻击的规模,抢购商品、囤积库存、创建虚假账户进行欺诈、降低网络和应用程序性能,并通过撞库攻击进行 ATO。 利用先进的机器人缓解解决方案控制您网络和网络资产上的机器人活动,该解决方案使用丰富的客户端信号收集、聚合数据收集和机器学习,通过自动化 ATO 预防来实时防止机器人攻击。   
  • 停止手动欺诈。 当投资回报率足够高时,攻击者将利用更难监控的手动欺诈来绕过反自动化控制。 识别数字渠道中的手动 ATO 欺诈需要评估用户身份的真实性并确定他们的意图,但必须在不影响合法客户的用户体验的情况下完成。 当今复杂的欺诈解决方案采用基于人工智能的系统,这些系统经过经过验证的人类数据训练,以评估真实性和意图,帮助实时阻止人工欺诈,而不会扰乱实际客户的客户旅程。  
  • 打破安全团队和反欺诈团队之间的组织孤岛。 虽然欺诈和安全团队都应对复杂的网络攻击,但他们通常从不同角度和使用不同的工具来解决问题。 安全团队保护计算网络和面向外部的应用免受渗透和攻击,而欺诈部门则专注于保护在线数字交易和事件响应。 两个团队可能都在处理同一事件或漏洞的影响,但如果团队之间不沟通,威胁情报可能会丢失,攻击规模也可能无法揭示,这种情况只会对攻击者有利。 欺诈和安全团队之间的协作可以更好地了解攻击,改进监控和检测,并实现更有针对性的响应。
  • 在不影响客户体验的情况下减少欺诈。 如果组织采取措施缓解自动机器人流量,设置针对手动欺诈的保护措施,并整合欺诈和安全团队,以实现更大的协作和更有效地应对漏洞,那么他们就能够缩减给客户旅程流程增加摩擦的传统反欺诈防御措施。 换句话说,当欺诈风险得到控制时,企业可以在很大程度上消除令人恼火的 CAPTCHA 谜题和其他烦人的质询-响应测试,为合法客户提供大大改善的用户体验,而不会将欺诈风险引入您的数字渠道。  

扩展您的电子商务网站和其他数字服务并不会扩大您遭受网络攻击的风险。 F5 分布式云机器人防御等先进的机器人和欺诈缓解解决方案可帮助您领先于攻击者,同时消除令人沮丧的安全摩擦,从而提高客户的安全性和在线体验。 分布式云机器人防御使用威胁情报建模和机器学习等先进技术来检测攻击者的技术,实时部署适当的对策,以最大效率应对欺诈和 ATO,使您的组织能够拥抱数字创新,而不会面临欺诈和客户摩擦的风险。

要了解机器人对您组织的经济影响,请安排免费的机器人管理业务投资回报率咨询会议。 要了解有关导致帐户接管的撞库攻击攻击的更多信息,请阅读 F5 电子书《撞库攻击2022》: 最新的攻击趋势和工具。 或者,阅读此解决方案概述,了解 F5 分布式云机器人防御如何帮助保护您的在线渠道免受攻击和欺诈。