博客

2023 年打击欺诈的五大技巧

Angel Grant 缩略图
安吉尔·格兰特
2023 年 2 月 15 日发布

在日益数字化的世界中,欺诈趋势不断变化和发展,对消费者、电子商务供应商和金融服务组织的威胁不仅在数量上不断增加,而且越来越复杂。 预计到 2023 年,全球电子商务欺诈的总成本将超过 480 亿美元,高于 2022 年的 410 亿美元。 造成欺诈成本增加的原因有很多,包括疫情导致的在线支付和购物激增、无处不在的从网络上窃取用户信息的恶意软件和机器人,以及利用人类弱点的社会工程骗局。

在前数字时代,欺诈需要精心策划和隐秘进行,而如今,欺诈个人和企业所需的工具在网上很容易获得,从而降低了进入的门槛。 随着虚拟市场、数字钱包以及一切的持续自动化,犯罪分子不仅目标越来越大,而且还拥有先进的工具和技术来帮助渗透企业并攻击个人账户。

回顾我们关于 2023 年打击欺诈的五条建议,并提前了解网络犯罪分子今年将用来针对电子商务和金融服务组织的最新威胁和漏洞。

  1. 协调和融合多种安全策略,以更有效地打击欺诈,同时不损害客户体验。

    商家和金融服务组织必须在整个组织的安全、客户身份和访问权限管理(CIAM)、欺诈检测和身份验证团队之间实现更好的协作。 犯罪分子可以轻松利用由孤立团队和过度依赖 CAPTCHA 和多因素身份验证 (MFA) 技术的安全策略所引入的漏洞。 这些机制不断中断用户体验,通常不考虑登录尝试带来的风险级别。

    透明且持续的基于风险的身份验证方法使商家和金融服务公司能够更好地在其组织内的多个团队之间进行协作,并实施灵活、可靠、低噪音的欺诈检测策略,而不会对用户体验产生负面影响。

  2. 扩展传统的全接触点欺诈预防策略,以涵盖整个客户旅程的整体可视性和洞察力。

    该战略应重点关注三个经常被忽视的关键领域: 

    • 从初始渠道参与开始: 从客户进入渠道或创建账户的那一刻起关注客户的活动。 这应该会提高对客户端攻击(如数字盗刷或表单劫持)的可见性,这些攻击通常用于在开设新账户时收集凭证和卡信息,最终导致账户接管和欺诈。

    • 检查第三方 API 集成: 除了网络和移动应用程序之外,商家和金融服务公司还必须确保其安全策略中包括 API 保护。 API 面临与 Web 应用相同的攻击,即导致数据泄露和欺诈的漏洞和滥用,以及引入来自第三方集成和生态系统的意外风险。

    • 审查无卡(CNP)交易的潜在欺诈行为: 提供新服务(例如邻近结账、网上购买店内取货(BOPIS)以及先买后付(BNPL))的商家必须了解这些交易所带来的风险,并在其欺诈预防策略中解决这些风险。 这包括深入了解欺诈行为模式并通过所有渠道分享。
       
  3. 在经济衰退的环境中,要警惕新的友好欺诈挑战。

    商家应该预见到在经济衰退期间会出现一种主要的新型友好欺诈行为,即“假友好欺诈”,即犯罪分子创建合成身份冒充真实客户,然后进行交易而无意支付所购买商品的情况。 假冒友好型欺诈者可以成功绕过预防工作,因为他们可以轻松回收被盗的身份信息并创建新的合成身份来开设新账户,并避免被拒绝列表阻止。 这些友好欺诈活动包括 BNPL 计划滥用、忠诚度积分和退款欺诈以及破产欺诈。

    利用通过机器学习增强的行为生物特征模式洞察,防止使用合成身份进行新账户注册,从而让安全和欺诈团队能够洞察受感染的账户。 

  4. 为欧盟支付服务指令 3 (PSD3) 做好准备,其中包含有关数字支付的新规定。

    自《支付服务指令》于 2018 年首次推出以来,商家和银行面临的威胁、支付和监管环境发生了巨大变化。 为了应对PSD3的加强监管,商家和银行应该对他们最近采用的新服务、渠道和支付选项进行盘点。 例如,您现在是否支持数字钱包和加密支付? 您在系统和 Web 资产中集成了多少来自第三方提供商的不同格式的新 API?

    商家和金融服务机构需要摆脱仅仅关注现有 API 和身份验证策略的合规风险思维。 他们应该主动预测和管理现代 API 环境带来的全部安全和欺诈风险

  5. 为应对影子 API 和 JavaScript 供应链攻击以及即将出台的支付卡行业数据安全标准 (PCI DSS) 4.0做好准备

    随着组织扩大其第三方生态系统并且其网站​​上的脚本数量增加,它们引入了新的潜在漏洞点,可能导致客户端攻击,例如数字掠夺、表单劫持和 Magecart 攻击。 当犯罪分子在合法页面或应用上注入一个或多个恶意脚本或操纵现有脚本以创建软件供应链中间浏览器攻击时,就会发生数字窃取攻击。 这些攻击很难被发现,因为这些脚本经常由第三方更新,而且您的组织通常没有执行安全审查的流程。

    此外,新的 PCI DSS 4.0 要求将重点关注监控和管理基于浏览器的第三方 JavaScript 库的需要,这些库被整合到电子商务网站中,以实现支付处理 iFrames、聊天机器人、广告、社交分享按钮和跟踪脚本等功能。 虽然直到 2025 年才强制遵守新的 PCI DSS 4.0 要求,但目前客户端攻击越来越普遍,因此应尽快实施增强的保护措施。

    组织不仅需要了解其 Web应用中运行的 JavaScript 库,还需要了解脚本正在收集哪些数据,以防止违反 GDPR 和 CCPA 等数据隐私法规,并保持符合新的 PCI DSS 4.0 要求 6.4.3 和 11.6.1

    大多数组织对脚本管理没有集中控制和治理。 如果您网站上的第三方脚本存在漏洞而您却不知道,那么您就无法修补它。 犯罪分子知道许多组织都难以管理、跟踪和保护目前嵌入到网站中的脚本的数量、范围和规模,并且他们知道如何利用这些脚本来谋取私利。

阅读 Aite 报告《面对有组织的网络犯罪如何预防网络欺诈》来了解更多打击欺诈的新策略,并访问我们的网站了解有关F5 网络欺诈预防解决方案的更多信息。