Je jarná sezóna podvodov: Zhodnoťte svoje možnosti obrany proti podvodom

Jar je vo vzduchu a všetci to cítime. Kvety kvitnú, slnko neskôr zapadá a máme chuť vyčistiť si domovy a začať odznova.

Finančné inštitúcie tiež vykonávajú jarné upratovanie v reakcii na novú vlnu podvodných aktivít a inovatívnych metód hackerských útokov – a mnohé z nich odhalili potrebu prehodnotiť základné bezpečnostné postupy. Proces zahŕňa zhodnotenie existujúcich ochranných opatrení proti bežným typom podvodov páchaných ľuďmi, ktoré spadajú do dvoch kľúčových kategórií: (1) podvody s prevzatím účtu na strane dodávateľov a (2) podvody s koučovaním.

Hovorí sa, že aprílové dažde prinášajú májové kvety a tento koncept platí aj v kybernetickej bezpečnosti. Uprostred jarnej sezóny podvodov môžu obranné opatrenia zavedené dnes zabezpečiť bezpečnejší zajtrajšok.

Prvá široká kategória podvodov, ktoré si vyžadujú dôkladné vyčistenie, zahŕňa podvody s ovládaním účtov ľudskou silou, pri ktorých podvodníci oklamú používateľov, aby poskytli svoje vlastné prihlasovacie údaje k účtu. Napríklad podvodník môže zavolať zákazníkovi a vydávať sa za zamestnanca banky. Podvodník upozorní zákazníka, že jeho účet bol napadnutý, a okamžite si vyžiada jeho prihlasovacie údaje, aby si mohol v jeho mene vytvoriť nový účet. Prijatie týchto prihlasovacích údajov potom umožňuje podvodníkovi prevziať kontrolu nad bežným účtom zákazníka, prať špinavé peniaze a vykonávať iné formy finančných podvodov.

Telefonické hovory sú preferovaným kanálom útoku pri podvodoch s cieľom získať kontrolu nad účtami a to z dobrého dôvodu: Telefonické podvody spôsobujú najvyššiu hlásenú stratu peňazí na osobu, a to 1 400 dolárov. Na rozdiel od textových správ alebo e-mailov, ktoré umožňujú cieľovým skupinám pozastaviť a spochybniť správy, telefonáty sú okamžité a naliehavé. Používateľ musí v danom okamihu reagovať na hlas podvodníka a mať málo času na kritické premýšľanie o tom, čo sa deje, alebo na overenie požiadaviek. Pred samotným telefonátom podvodníci niekedy dokonca pošlú phishingovú textovú správu, aby otestovali situáciu a zvýšili šance na úspech pri následnom telefonáte.

Aby sa obmedzila účinnosť podvodov s ovládaním účtov, finančné inštitúcie sa nemôžu spoliehať len na nástroje na detekciu botov, pretože mnohé z týchto bezpečnostných opatrení sú obmedzené na automatizované útoky. Namiesto toho je to kritické pre financie
inštitúcie investovať do behaviorálnej biometrickej technológie, ktorá dokáže odhaliť manuálne aj automatizované útoky.

Každý používateľ má inú kadenciu písania, rýchlosť písania a pohyby myši – detaily, ktoré je neuveriteľne ťažké napodobniť. Nástroje behaviorálnej biometrickej analýzy pasívne sledujú tieto vzorce, čím zabezpečujú, že finančné inštitúcie
majú možnosť zasiahnuť v počiatočných fázach pokusu o prevzatie účtu.

Ako to vyzerá v praxi? Predpokladajme, že podvodník úspešne získa prihlasovacie údaje používateľa. Spôsob, akým zadávajú a využívajú prihlasovacie údaje používateľa, sa bude líšiť od známeho správania zákazníka. Napríklad zákazníkovi môže zadanie hesla zvyčajne trvať niekoľko sekúnd a niekedy sú potrebné dva alebo tri pokusy, zatiaľ čo podvodník zadá rovnaké informácie za pár sekúnd a bez chýb. Táto nezrovnalosť signalizuje, že podnik by sa mal bližšie pozrieť na žiadosť o prístup a v prípade potreby zaviesť ďalšie bezpečnostné opatrenia.

Mnohé podvody sú pre finančné inštitúcie náročné na sledovanie, najmä preto, že podniky sú vylúčené z interakcií medzi podvodníkmi a zákazníkmi. Povedzme, že namiesto toho, aby sa od zákazníka pýtal na jeho prihlasovacie údaje, podvodník mu povie, že jeho účet bol napadnutý. Ale nie je dôvod na obavy, pretože podvodník si dovolil vytvoriť pre zákazníka nový účet a potom ho požiada, aby vošiel do svojej aplikácie elektronického bankovníctva a začal prevádzať finančné prostriedky na nový, „zabezpečený“ účet.

Tento scenár je len jedným príkladom typického koučovacieho podvodu – a je to prístup, ktorý je pre finančnú inštitúciu ťažké zvládnuť a predchádzať mu, pretože k podvodu dochádza offline. Na prvý pohľad sa zdá, že dôveryhodný používateľ vykonal legitímnu transakciu prevodom finančných prostriedkov z jedného schváleného účtu na druhý. Hlbšie skúmanie kombinácie fyzických a nefyzických behaviorálnych biometrických signálov však umožňuje finančnej inštitúcii odhaliť potenciálne podvodné správanie a podľa toho zasiahnuť.

V tomto prípade nefyzická biometria analyzuje okolnosti týkajúce sa bankových interakcií a známeho správania jednotlivých používateľov. Napríklad, používa používateľ zvyčajne svoju bankovú aplikáciu v konkrétnom čase dňa? Je bežné, že prevádzajú veľké sumy peňazí novému príjemcovi? Odpovede na tieto otázky môžu pomôcť finančným inštitúciám odhaliť odchýlky v správaní, aj keď za volantom sedí ten istý používateľ.

Z fyzického hľadiska môže byť váhanie počas bankovej interakcie tiež znakom toho, že prebieha podvodná činnosť. Zamyslite sa nad tým, aký rozdiel by vyzeral váš spôsob písania a kadencia vstupu, keby ste čítali pokyny z phishingového e-mailu alebo postupovali podľa pokynov od niekoho cez telefón, v porovnaní so spôsobom, akým sa bežne prihlasujete a vykonávate požadované akcie. Rovnako ako v prípade podvodov s ovládaním účtov, pauzy alebo oneskorenia pri písaní alebo pohyboch myši by mali finančným inštitúciám vzbudiť obavy a poskytnúť príležitosť zaviesť dodatočné bezpečnostné opatrenia ako formu priateľského trenia.

Zločinci neustále vyvíjajú svoje stratégie s novými technológiami a taktikami, ako je napríklad používanie ChatGPT, aby urýchlili a rozšírili vytváranie e-mailov, falošných webových stránok a iného obsahu vytvoreného s cieľom oklamať koncových používateľov. Ale aj keď podvodníci nachádzajú nové spôsoby, ako oklamať zákazníkov, základné ochrany, ktoré sú najlepšie vhodné na ochranu zákazníkov, zostávajú rovnaké. Potrebujú len malé posilnenie.

Túto jar – a aj neskôr – musia finančné inštitúcie investovať do technológií behaviorálnej biometrie, ktoré chránia zákazníkov pred koučovaním, podvodmi s prevzatím účtu a čímkoľvek ďalším, čo môže v budúcnosti prichádzať. Jarná sezóna podvodov je tu. Je vaša firma pripravená?