Dijital bankacılık, alışveriş ve diğer hizmetlere yönelik pandemi ekseni önemli bir sağlık önlemiydi, ancak organize dolandırıcıların “işlerini” büyütmeleri ve tekliflerini bir hizmet olarak sahtekarlığı (FaaS) içerecek şekilde genişletmeleri için fırsatlar yarattı. FaaS, hem deneyimli hem de acemi suçluların dolandırıcılık yapmasını kolaylaştırmak amacıyla çeşitli biçimler alır. İşte tüccarların bu eğilim hakkında bilmesi gerekenler ve FaaS saldırılarının nasıl önleneceği.

Hizmet Olarak Dolandırıcılık Nasıl Çalışır?
FaaS’ın iki ana bileşeni vardır: botlar ve marka kimliğine bürünme. Her iki taktik de tamamen yeni değil. Dolandırıcılar yıllardır kart testi saldırıları için bot kullanıyor ve marka kimliğine bürünme, kimlik avı kimlik bilgileri ve ödeme verileri için klasik bir şemadır.

Şimdi ise dolandırıcılık “hizmet sağlayıcıları” daha da ileri gidiyor. Suçlular, web sitelerine ve kimlik avı kurbanlarına karşı büyük ölçekli dolandırıcılık kampanyaları başlatmak için ucuza bot ağları kiralayabilir. Ancak, iki faktörlü kimlik doğrulama (2FA), hırsızların çalınan verilerle bile hesaplara girmesini önleyebilir. SIM değiştirme, 2FA’yı aşmak için bir seçenektir, ancak zaman alıcıdır ve planlama gerektirir. Yani suçlular artık OTP (tek seferlik şifre) bot hizmetleri sunuyor. Dolandırıcılar kurbanların adlarını ve finans kurumlarını veya favori mağazaları girebilir ve gerisini bot halleder – kurbanın tek kullanımlık şifresini phishing, böylece dolandırıcılar ilgili hesabı ele geçirebilir – hepsi en az bir bedel karşılığında Bot araması başına 15 sent.

Hizmet Olarak Dolandırıcılık Saldırılarını Tespit Etme ve Önleme
İşletmeleri dolandırıcılıktan koruyan en iyi uygulamalar her zamankinden daha önemli. Kuruluşunuzun dolandırıcılıkla mücadele programının şu unsurları içerdiğinden emin olmak için iyi bir zaman:

1. Veri girişi denemelerini ve hızını sınırlayın: Bir bot saldırısının açıklayıcı işaretlerinden biri, hareket hızıdır. Botlar, arabaları yükleyebilir, kontrol edebilir ve siparişleri insanlardan çok daha hızlı verebilir. Ayrıca bir eşleşme bulana kadar art arda farklı şifreler ve tek seferlik kodlar girebilirler.

Web siteniz müşterilerin verilerini doğru girmek için sınırsız deneme yapmalarına izin veriyorsa, kilitlenmeden önce deneme sayısı için bir sınır belirlemek mağazanızı botlara karşı koruyabilir. Benzer şekilde, hız için siparişleri işaretlemek, tanıdık ürünleri yeniden sipariş eden meşgul alışverişçileri, mümkün olduğu kadar çok öğeyi olabildiğince hızlı bir şekilde toplayacak şekilde programlanmış botnetlerden ayırmaya yardımcı olabilir.

2. Her siparişi tarayın: Çünkü var milyarlarca güvenliği ihlal edilmiş kimlik bilgisi
FaaS dolandırıcıları artık daha fazla kimlik bilgisi topladığı için ve FaaS botları bu kimlik bilgilerini hesapları geniş ölçekte kırmak için kullanabildiğinden, işletmeler artık geri dönen müşterilerin göründükleri gibi olduklarını varsayamazlar.

Bu, bilinen müşterilerden gelen siparişleri otomatik olarak onaylamanın artık güvenli olmadığı anlamına gelir. Müşteriyi doğrulamaya veya siparişi olası hesap ele geçirme sahtekarlığı olarak işaretlemeye yardımcı olmak için her siparişin ödeme verilerinin yanı sıra cihaz, coğrafi konum ve davranışsal biyometri için taranması gerekir.

3. Büyük ölçekte sahtekarlığı tespit etmek için toplu analizler çalıştırın: Bot kiralama ve güvenliği ihlal edilmiş kimlik bilgileri, dolandırıcıların işletmelere yönelik saldırılarında yaratıcı olmalarına olanak tanır. Örneğin, bir çete, farklı ödeme yöntemleri kullanan farklı müşterilerden gelmiş gibi görünen bir dizi siparişle çevrimiçi bir mağazayı hedefleyebilir. Bu siparişlerin her biri, dolandırıcılık tarama çözümüyle bir araya gelebilir ve onaylanabilir.

Bununla birlikte, tüccar grup olarak analiz için rastgele siparişler de seçerse, dolandırıcılık çözümü suç faaliyetini gösteren kalıplar bulabilir. Belki de farklı müşterilerden gelen siparişlerin hepsi aynı adrese gönderiyordu. Ya da belki de ödeme yapmak için kullandıkları tüm kartların aynı banka kimlik numarasına sahip olması, müşterilerin sentetik kimlikler olabileceğini gösteriyordu. Toplu analiz, bu sorunları ortaya çıkarabilir, böylece sahte siparişler, ürünler gönderilmeden önce iptal edilebilir.

4. Otomatik reddetmelerden kaçının: Dolandırıcılığı durdurmak, ancak iyi müşterilerin siparişlerini tamamlamasını ve tekrar satın alımlar için geri gelmesini engellemezse bir şirket parasını kurtarabilir. Otomatik retler, sipariş karar verme sürecinde paradan ve zamandan tasarruf etmenin bir yolu gibi görünebilir, ancak bu yaklaşım genellikle yüksek oranda yanlış ret oranları üretir. Çevrimiçi alışveriş yapanlar arasında yakın zamanda yapılan beş ülkeyi kapsayan bir ClearSale anketi şunları buldu: %40’ı bir web sitesine asla geri dönmeyecek bu onların sırasını reddeder. Bu, çok sayıda kayıp müşteri yaşam boyu değerini temsil eder.

5. Manuel incelemeyi kullanın: Otomatik reddetmelerin alternatifi, sahtekarlık ile olağandışı ancak geçerli müşteri davranışı arasında ayrım yapabilen dolandırıcılık uzmanları tarafından yapılan manuel incelemedir. İşaretlenen siparişlerin manuel olarak gözden geçirilmesi, önden otomatik olarak reddedilmekten daha maliyetlidir, ancak yatırım getirisi, daha fazla onaylanmış sipariş ve yanlış reddetmeler nedeniyle daha az müşteri kaybı içerir.

6. ML’nizi sürekli olarak eğitin: Manuel inceleme sonuçları, otomatik dolandırıcılık çözümünün makine öğrenimi algoritmalarını besleyebilir ve beslemelidir. Bu, yapay zekanın karmaşık sahtekarlığı ve tamamen normal olmayan ama aynı zamanda sahtekar olmayan müşteri davranışlarını tespit etmede daha iyi olmasına yardımcı olur. Bu, daha az işaretlenmiş siparişle sonuçlanabilir ve uzun vadede manuel inceleme ihtiyacını azaltabilir.

7. Marka sözlerini izleyin: FaaS şemaları, tüketicileri kimlik bilgilerini ve hatta kimlik doğrulama kodlarını paylaşmaları için kandırmak için genellikle markaları taklit eder. Her işletme, markasını taklit eden sosyal medya hesaplarına, web sitelerine, e-posta kampanyalarına ve hatta SMS kampanyalarına dikkat etmelidir. Kanala bağlı olarak, bir şirket sahtekarları platforma, Web sunucusuna veya Federal İletişim Komisyonuna bildirebilir ve müşterilerini şirketin markası altında çalışan bir dolandırıcılık konusunda uyarabilir.

FaaS, dolandırıcılığın nasıl gelişmeye devam ettiğini ve müşteriler için hayatı daha kolay hale getiren teknolojilerin aynı zamanda dolandırıcılığı suçlular için nasıl kolaylaştırdığını gösteriyor. FaaS’ın nasıl çalıştığını anlayarak ve bunu önlemek için en iyi uygulamaları izleyerek işiniz müşterilerinizi, gelirinizi ve marka itibarınızı korumaya yardımcı olabilir.



siber-1