پنج نکته برای مبارزه با کلاهبرداری

فرشته گرانت، معاون امنیت در شرکت سایبری F5 نحوه مبارزه سازمان‌ها با تقلب را پوشش می‌دهد.

در دنیای دیجیتالی فزاینده، روندهای کلاهبرداری به طور مداوم در حال تغییر و تحول است، با تهدیدات برای مصرف کنندگان، فروشندگان تجارت الکترونیک و سازمان های خدمات مالی، هم از نظر تعداد و هم از نظر پیچیدگی. پیش‌بینی می‌شود که کل هزینه کلاهبرداری در تجارت الکترونیک در سال 2023 از 48 میلیارد دلار در سطح جهان فراتر رود که از 41 میلیارد دلار در سال 2022 بیشتر است. دلایل این امر شامل افزایش پرداخت‌های آنلاین و خرید به دلیل همه‌گیری، وجود بدافزارها و ربات‌هایی است که استخراج می‌کنند. اطلاعات کاربران از وب و کلاهبرداری های مهندسی اجتماعی که آسیب پذیری های انسانی را شکار می کند.

در دنیای قبل از دیجیتال، کلاهبرداری نیاز به برنامه ریزی دقیق و پنهان کاری داشت، در حالی که امروزه ابزارهای مورد نیاز برای کلاهبرداری از مردم و مشاغل به راحتی به صورت آنلاین در دسترس هستند و مانع ورود را کاهش می دهند. با بازارهای مجازی، کیف پول های دیجیتال و اتوماسیون مداوم همه چیز، مجرمان نه تنها هدف بزرگتری دارند، بلکه ابزارها و فناوری های پیچیده ای برای کمک به نفوذ به مشاغل و حمله به حساب های افراد دارند. در اینجا پنج نکته برای مبارزه با کلاهبرداری در سال 2023 و جلوتر از آخرین تهدیدها و سوء استفاده هایی که مجرمان سایبری برای حمله به تجارت الکترونیک و خدمات مالی در سال جاری استفاده خواهند کرد، آورده شده است.

1. استراتژی‌های امنیتی متعدد را برای مبارزه مؤثرتر با تقلب، بدون به خطر انداختن تجربه مشتری، تراز و همگرا کنید.

بازرگانان و سازمان‌های خدمات مالی باید به همکاری بهتری بین تیم‌های امنیت، هویت مشتری و مدیریت دسترسی (CIAM)، تشخیص تقلب، و تیم‌های احراز هویت در سراسر سازمان دست یابند. مجرمان می‌توانند از آسیب‌پذیری‌هایی که توسط تیم‌هایی که در سیلوها کار می‌کنند و استراتژی‌های امنیتی که بیش از حد به تکنیک‌های CAPTCHA و احراز هویت چند عاملی (MFA) متکی هستند، استفاده کنند. این مکانیسم ها به طور مداوم تجربه کاربر را قطع می کنند، اغلب بدون توجه به سطح خطر ارائه شده توسط تلاش برای ورود.

یک رویکرد احراز هویت مبتنی بر ریسک شفاف و مستمر به بازرگانان و شرکت‌های خدمات مالی اجازه می‌دهد تا در بین تیم‌های متعدد در سازمان خود بهتر همکاری کنند و یک استراتژی تشخیص تقلب چابک، قابل اعتماد و کم سر و صدا را بدون تأثیر بر تجربه کاربر پیاده‌سازی کنند.

2. احراز هویت مشتری را تقویت کنید و استراتژی‌های سنتی omni-touchpoint برای جلوگیری از تقلب را گسترش دهید تا دید و بینش در کل سفر مشتری را شامل شود.

این استراتژی باید بر سه حوزه کلیدی که اغلب نادیده گرفته می شوند تمرکز کند:

– از تعامل اولیه با کانال شروع کنید: از لحظه ای که مشتریان وارد کانال می شوند یا حساب کاربری ایجاد می کنند، روی فعالیت های مشتریان تمرکز کنید. این امر باید دید حملات سمت مشتری مانند skimming دیجیتال یا فرم جک را بهبود بخشد، که اغلب برای جمع‌آوری اعتبار و اطلاعات کارت در هنگام ایجاد حساب جدید استفاده می‌شود و منجر به تصاحب حساب و کلاهبرداری می‌شود.

– بررسی ادغام‌های API شخص ثالث: علاوه بر برنامه‌های وب و تلفن همراه، بازرگانان و شرکت‌های خدمات مالی نیز باید حفاظت API را در استراتژی‌های امنیتی خود لحاظ کنند. APIها در معرض همان حملاتی هستند که برنامه‌های وب را هدف قرار می‌دهند، یعنی سوءاستفاده‌ها و سوءاستفاده‌هایی که منجر به نقض داده‌ها و کلاهبرداری می‌شود و خطرات ناخواسته‌ای را از ادغام‌ها و اکوسیستم‌های شخص ثالث ایجاد می‌کند.

– بررسی پتانسیل کلاهبرداری از تراکنش‌های Card Not Present (CNP): تاجرانی که خدمات جدیدی مانند تسویه‌حساب مبتنی بر نزدیکی، خرید آنلاین و تحویل در فروشگاه (BOPIS) و خرید اکنون، پرداخت بعدا (BNPL) ارائه می‌دهند، باید خطرات را درک کرده و به آن رسیدگی کنند. که این تراکنش ها مستلزم و به اشتراک گذاری این بینش ها در همه کانال ها است.

3. برای چالش های جدید تقلب دوستانه در یک محیط رکودی هوشیار باشید.

یک نوع جدید عمده از «کلاهبرداری تقلبی پسند» که بازرگانان باید انتظار داشته باشند در دوران رکود افزایش یابد، زمانی اتفاق می‌افتد که مجرمان هویت مصنوعی ایجاد می‌کنند که شبیه مشتریان واقعی است و بدون قصد پرداخت برای کالایی که خریداری می‌کنند، معامله می‌کنند. متخصصان کلاهبرداری دوستانه جعلی می‌توانند با بازیافت اطلاعات هویت دزدیده شده و ایجاد هویت مصنوعی جدید برای باز کردن حساب‌های جدید و جلوگیری از مسدود شدن توسط فهرست رد، تلاش‌های پیشگیری را دور بزنند. این فعالیت‌های کلاهبرداری دوستانه می‌تواند شامل سوء استفاده از برنامه BNPL، امتیاز وفاداری و کلاهبرداری‌های کلاهبرداری بازپرداخت، و از بین بردن کلاهبرداری باشد.

با بهره‌گیری از بینش‌های الگوهای بیومتریک رفتاری که با یادگیری ماشینی تقویت شده‌اند، در برابر این امر محافظت کنید تا به تیم‌های امنیتی و کلاه‌بردار بینش‌هایی در مورد حساب‌های در معرض خطر بدهد.

4. برای دستورالعمل خدمات پرداخت اتحادیه اروپا 3 (PSD3) با مقررات جدید برای پرداخت های دیجیتال آماده باشید.

تهدید، پرداخت و چشم انداز نظارتی برای بازرگانان و بانک ها از زمان عرضه اولیه دستورالعمل خدمات پرداخت در سال 2018 به طور چشمگیری تغییر کرده است. برای آماده شدن برای مقررات پیشرفته PSD3، بازرگانان و بانک‌ها باید هر گونه خدمات، کانال‌ها و گزینه‌های پرداختی که اخیراً اتخاذ شده‌اند، مانند کیف پول‌های دیجیتال و پرداخت‌های رمزنگاری شده را فهرست‌بندی کنند.

بازرگانان و سازمان‌های خدمات مالی نیز باید به طور فعال دامنه کامل خطرات امنیتی و کلاهبرداری را که محیط API مدرن به همراه دارد، پیش‌بینی و مدیریت کنند.

5. برای حملات Shadow API و زنجیره تامین جاوا اسکریپت و حملات آتی آماده شوید استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) 4.0

همانطور که سازمان‌ها اکوسیستم شخص ثالث خود را گسترش می‌دهند و تعداد اسکریپت‌ها در سایتشان افزایش می‌یابد، نقاط آسیب‌پذیری بالقوه جدیدی را معرفی می‌کنند که می‌تواند منجر به حملات سمت مشتری مانند اسکمینگ دیجیتال، فرم جک کردن، و حملات Magecart شود. یک حمله اسکیمینگ دیجیتال زمانی اتفاق می‌افتد که یک مجرم یک یا چند اسکریپت مخرب را تزریق کند یا یک اسکریپت موجود را در یک صفحه یا برنامه قانونی دستکاری کند تا یک حمله زنجیره تامین نرم‌افزار انسان در مرورگر ایجاد کند. شناسایی این حملات دشوار است زیرا این اسکریپت ها اغلب توسط اشخاص ثالث به روز می شوند، اغلب بدون فرآیندی برای سازمان شما برای انجام بررسی های امنیتی.

علاوه بر این، الزامات جدید PCI DSS 4.0 بر نیاز به نظارت و مدیریت کتابخانه‌های جاوا اسکریپت شخص ثالث مبتنی بر مرورگر که در وب‌سایت‌های تجارت الکترونیک گنجانده شده‌اند برای فعال کردن عملکردهایی مانند پردازش پرداخت iFrames، ربات‌های چت، تبلیغات، دکمه‌های اشتراک‌گذاری اجتماعی تمرکز خواهد کرد. و اسکریپت های ردیابی. اگرچه PCI DSS 4.0 در حال حاضر بهترین عمل در نظر گرفته می شود، اما تا سال 2025 اجباری نشده است. مجرمان منتظر عمل نخواهند بود، و شما نیز نباید!

سازمان‌ها نیاز به مشاهده کتابخانه‌های جاوا اسکریپت دارند که در برنامه‌های کاربردی وب خود اجرا می‌شوند، و باید بدانند که اسکریپت‌ها چه داده‌هایی را جمع‌آوری می‌کنند تا از نقض مقررات حفظ حریم خصوصی داده‌ها مانند GDPR و CCPA جلوگیری کنند و از الزامات جدید PCI DSS 4.0 6.4.3 و 11.6 پیروی کنند. 1. اکثر سازمان ها کنترل و حاکمیت متمرکزی بر مدیریت اسکریپت ندارند. اگر یک اسکریپت شخص ثالث در سایت شما دارای آسیب پذیری است و شما از آن آگاه نیستید، نمی توانید آن را وصله کنید. مجرمان می‌دانند که بسیاری از سازمان‌ها برای مدیریت، ردیابی و ایمن کردن حجم، دامنه و مقیاس اسکریپت‌هایی که اکنون در وب‌سایت‌ها تعبیه شده‌اند، مبارزه می‌کنند، و آنها می‌دانند که چگونه از این اسکریپت‌ها برای منافع خود سوء استفاده کنند.