Itt a tavaszi csalási szezon: Vegye számba a csalás elleni védekezését

A tavasz a levegőben van, és mindannyian érezzük. A virágok kivirágoznak, a nap később nyugszik, és máris viszket a vágy, hogy kitakarítsuk otthonunkat és újrakezdjük.

A pénzintézetek is tavaszi nagytakarítást végeznek a csalárd tevékenységek és az innovatív hacker módszerek új hulláma miatt - és sokan felfedezték, hogy szükség van az alapvető biztonsági gyakorlatok felülvizsgálatára. A folyamat magában foglalja a meglévő biztosítékok felmérését az ember által vezérelt csalások gyakori típusai ellen, amelyek két fő kategóriába sorolhatók: (1) a downstream számlaátvételi csalások és (2) a coaching csalások.

Azt mondják, hogy az áprilisi zápor májusi virágot hoz, és ez az elképzelés a kiberbiztonságra is igaz. A tavaszi csalási szezon kellős közepén a ma bevezetett védekezés biztosíthatja a biztonságosabb holnapot.

A csalások első széles kategóriája, amely mélyreható tisztítást igényel, az ember által irányított fiókátvételi csalásokat foglalja magában, amelyek során a csalók a felhasználókat saját fiókjuk hitelesítő adatainak megadására csábítják. Egy csaló például felhívhatja az ügyfelet, és a bank alkalmazottjának adhatja ki magát. A csaló figyelmezteti az ügyfelet, hogy a fiókját veszélybe sodorták, és azonnal kéri a hitelesítő adatokat, hogy új fiókot hozhasson létre az ügyfél nevében. Ezen hitelesítő adatok megszerzése lehetővé teszi a csaló számára, hogy átvegye az ügyfél folyószámláját, pénzt mosson, és más pénzügyi csalásokat hajtson végre.

A telefonhívások a számlaátvételi csalások kedvelt támadási csatornája, és ennek jó oka van: A telefonos átverések gyűjtik a legmagasabb, 1400 dolláros bejelentett pénzveszteséget személyenként. A szöveges üzenetekkel és az e-mailekkel ellentétben, amelyek lehetőséget adnak a célpontoknak arra, hogy szünetet tartsanak és megkérdőjelezzék az üzeneteket, a telefonhívások azonnaliak és sürgősek. A felhasználónak abban a pillanatban kell reagálnia a csaló hangjára, és kevés ideje van arra, hogy kritikusan átgondolja, mi történik, vagy ellenőrizze a kéréseket. A hideghívás előtt a csalók néha még egy adathalász SMS-t is küldenek, hogy teszteljék a vizet, és növeljék a siker esélyét az utólagos telefonhívásnál.

A számlaátvételi csalások hatékonyságának korlátozása érdekében a pénzintézetek nem támaszkodhatnak kizárólag a bot-felderítő eszközökre, mivel e biztonsági intézkedések közül sok csak az automatizált támadásokra korlátozódik. Ehelyett kritikus fontosságú, hogy a pénzügyi
az intézményeknek olyan viselkedésalapú biometrikus technológiába kell befektetniük, amely mind a kézi, mind az automatikus támadásokat képes felismerni.

Minden felhasználónak más a gépelési ritmusa, a gépelési sebessége és az egér mozgása - ezeket a részleteket hihetetlenül nehéz reprodukálni. A viselkedési biometrikus eszközök passzívan követik ezeket a mintákat, biztosítva a pénzügyi intézmények számára, hogy
lehetőségük van arra, hogy a számlaátvételi kísérlet kezdeti szakaszában beavatkozzanak.

Hogyan néz ki ez a gyakorlatban? Tegyük fel, hogy egy csaló sikeresen megszerzi a felhasználó bejelentkezési adatait. A felhasználó bejelentkezési adatainak megadása és felhasználása eltér az ügyfél ismert viselkedésétől. Például az ügyfélnek jellemzően több másodpercig is eltarthat a jelszó megadása, és néha két vagy három próbálkozásra is szükség lehet, míg a csaló ugyanezt az információt másodpercek alatt és hiba nélkül adja meg. Ez az eltérés azt jelzi, hogy a vállalkozásnak alaposabban meg kell vizsgálnia a hozzáférési kérelmet, és szükség esetén további biztonsági intézkedéseket kell bevezetnie.

A pénzügyi intézmények számára sok csalás nyomon követése nagy kihívást jelent, főként azért, mert a vállalkozásokat eltávolítják a csalók és az ügyfelek közötti interakcióktól. Tegyük fel, hogy a csaló ahelyett, hogy elkérné az ügyféltől a hitelesítő adatait, azt mondja az ügyfélnek, hogy a fiókja veszélybe került. De nincs ok az aggodalomra, mert a csaló vette a bátorságot, hogy új számlát hozzon létre az ügyfél számára, majd arra kéri, hogy lépjen be az e-banking alkalmazásba, és kezdjen el átutalni pénzt az új, "biztonságos" számlára.

Ez a forgatókönyv csak egy példa a tipikus coaching-csalásra - és ez egy olyan megközelítés, amelyet a pénzintézetnek nehéz kezelni és megelőzni, mivel a csalás offline történik. A felszínen úgy tűnik, mintha egy megbízható felhasználó egy törvényes tranzakciót hajtott volna végre, amelynek során egy jóváhagyott számláról egy másikra utal át pénzeszközöket. A fizikai és nem fizikai viselkedési biometrikus jelek kombinációjának mélyebb feltárása azonban lehetővé teszi a pénzügyi intézmény számára, hogy felismerje a potenciálisan csalárd viselkedést, és ennek megfelelően beavatkozzon.

Ebben az esetben a nem fizikai biometria elemzi az egyes felhasználók banki interakcióinak körülményeit és ismert viselkedését. Például a felhasználó jellemzően egy adott napszakban használja a banki alkalmazást? Gyakori, hogy nagy összegeket utalnak át egy új címzettnek? Az ezekre a kérdésekre adott válaszok segíthetnek a pénzintézeteknek felismerni a viselkedésbeli eltéréseket, még akkor is, ha ugyanaz a felhasználó ül a volán mögött.

Fizikai szempontból a banki interakció során tapasztalható tétovázás is jelezheti, hogy csalás folyik a háttérben. Gondoljon bele, mennyire más lenne a gépelési mintája és a beviteli ritmusa, ha egy adathalász e-mailből olvasna utasításokat, vagy ha telefonon keresztül követné valakinek az utasításait, mint ahogyan általában bejelentkezik és végrehajtja a kívánt műveleteket. A számlaátvételi csalásokhoz hasonlóan a gépelés vagy az egérmozgás szüneteinek vagy késedelmeinek aggodalomra kell okot adniuk a pénzügyi intézményeknek, és lehetőséget kell biztosítaniuk arra, hogy baráti súrlódásként további biztonsági intézkedéseket vezessenek be.

A rosszindulatú szereplők új technológiákkal és taktikákkal - például a ChatGPT használatával - folyamatosan fejlesztik stratégiájukat, hogy felgyorsítsák és méretarányosan növeljék az e-mailek, hamis weboldalak és más, a végfelhasználók megtévesztésére szolgáló tartalmak létrehozását. De még ha a csalók új módszereket is találnak az ügyfelek átverésére, az ügyfelek biztonságának megőrzésére legalkalmasabb alapvető védelmi eszközök változatlanok maradnak. Csak egy kis megerősítésre van szükségük.

Idén tavasszal - és azon túl - a pénzintézeteknek be kell fektetniük a viselkedési biometrikus technológiákba, amelyek megvédik az ügyfeleket a tréningektől, a számlaátvételi csalásoktól és bármi mástól, ami az utat követi. Itt a tavaszi csalási szezon. Készen áll a vállalkozása?