Cómo detener los ataques de adquisición de cuentas con monitoreo continuo y autenticación multifactor adaptativa

Sarah Dixon, 14 de Mayo de 2020
How to Stop Account Takeover Attacks with Continuous Monitoring and Adaptive Multi-Factor Authentication

Las instituciones financieras invierten millones cada año para proteger a los clientes de estafas y ataques de fraude. A pesar de esta inversión, las pérdidas por ataques de fraude continúan aumentando.

Para proteger a los clientes del fraude digital, las instituciones financieras (IF) suelen autenticar a los usuarios al iniciar sesión. En los Estados Unidos, una encuesta de 2019 encontró que 96% de las organizaciones encuestadas utilizó alguna forma de nombre de usuario y contraseña para autenticar a los usuarios, junto con otros métodos de autenticación, como la autenticación basada en el conocimiento (65%) y las contraseñas de un solo uso (OPT) (50%). En Europa, PSD2 exige una autenticación fuerte.

Sin embargo, nombres de usuario, contraseñas, respuestas secretas e incluso Autenticación de dos factores (2FA), puede ser vulnerable a ataques de acceso no autorizados a través de phishing, ataques de superposición y malware. En su artículo sobre cómo los atacantes evitan el 2FA moderno mediante phishing y herramientas avanzadas de imitación de navegador , Ben Balthazar ilustra cómo se pueden modernizar los ataques de phishing para derrotar la autenticación de dos factores al iniciar sesión, y afirma que "La implementación de 2FA por sí sola no ofrece protección completa contra el phishing".  

Los consumidores y los reguladores ahora están presionando a las IF para que adopten métodos de autenticación más fuertes y sin contraseña para iniciar sesión para mejorar la seguridad de la cuenta y la experiencia del usuario. En una encuesta reciente de Visa de 1,000 US consumidores, El 52% afirmó que cambiarían de banco si su banco no ofrecía autenticación biométrica en el futuro.

Si bien los métodos de autenticación sin contraseña, como la biometría, pueden ayudar a detener a los atacantes en el punto de acceso, el aprendizaje automático y el monitoreo continuo de fraudes pueden ayudar a las IF a detectar y detener los ataques de adquisición de cuentas, incluso cuando se han omitido los métodos de autenticación segura como 2FA. Esto se puede lograr a través de la seguridad progresiva y la adaptación contextual autenticación multifactor (MFA) desafíos.

El monitoreo continuo de fraude también permite a las IF conocer el contexto (razón) detrás de cada solicitud de autenticación. Esto les permite determinar no solo si las credenciales de autenticación son correctas, sino también si el contexto de cada autenticación solicitada es genuino o sospechoso. Esto crea barreras adicionales para los estafadores mientras protege al usuario.

Estado actual de fraude de adquisición de cuenta

En 2020, la Comisión Federal de Comercio de los Estados Unidos (FTC) informó que los consumidores estadounidenses sufrieron $ 1.9 mil millones en pérdidas por fraude en 2019 - un aumento de $ 293 millones con respecto a 2018. En un informe encargado por la Unión Europea, los analistas estimaron que podrían haberse incurrido aproximadamente 24 mil millones de euros de pérdidas financieras por la población adulta de la UE como resultado de estafas y fraudes entre 2018-2020.

El fraude de adquisición de cuenta (ATO) es una de las principales causas de pérdidas por fraude para bancos e instituciones financieras. En un video de 2019 Julie Conroy, directora de investigación de Aite Group, explica que "la adquisición de cuentas aparece como una de las principales preocupaciones en casi todas las conversaciones que tenemos con instituciones financieras, FinTechs y comerciantes de comercio electrónico".

Greg Hancell, experto en fraude de OneSpan, está de acuerdo: “La adquisición de cuentas está aumentando porque la forma en que los actores maliciosos pueden llegar a la información personal es mucho más rápida ahora. El año pasado y el año anterior, aproximadamente 3.200 millones de registros de datos personales se vieron comprometidos. Nuestra identidad no es nuestra. Si eres un atacante, puedes obtener fácilmente información personal y realizar un ataque de toma de control de cuenta ".

Una toma de control de la cuenta se produce cuando la cuenta bancaria de un cliente se "divide" digitalmente y un atacante actúa sobre ella. Los métodos y esquemas que usan los atacantes para obtener acceso de manera fraudulenta a las credenciales de la cuenta de un cliente evolucionan continuamente. Estos incluyen la obtención de datos de violaciones de datos, malware, phishing y otros ataques de ingeniería social, como estafas telefónicas ( Lea más sobre esquemas comunes de fraude )

Para el cliente bajo ataque, estos ataques pueden resultar en pagos fraudulentos a los beneficiarios recién agregados, o el atacante puede solicitar un nuevo producto utilizando las credenciales del cliente. Algunos ataques de adquisición de cuentas dan como resultado que el cliente quede bloqueado por completo de su cuenta y que su correo electrónico y número de teléfono de recuperación se modifiquen o se vean comprometidos.

Para las IF, el impacto de los ataques de adquisición de cuentas puede ir mucho más allá de las pérdidas financieras. Pueden hacer que los clientes pierdan la confianza en el banco y pueden afectar la confianza y el crecimiento del consumidor. El tiempo y el esfuerzo humano para recuperar, apagar e investigar el ataque también pueden ser significativos. 

Cómo los bancos pueden mejorar en la detección y prevención de ataques de adquisición de cuentas

Los ataques de adquisición de cuentas le cuestan a los bancos y aseguradoras miles de millones en pagos y compensaciones a los clientes. Para reducir estas pérdidas, las IF deben encontrar formas de detectar cuándo un atacante intenta obtener acceso a una cuenta y cuándo un atacante intenta llevar a cabo una acción o transacciones de manera fraudulenta dentro de la cuenta de un cliente. También necesitan evitar que esto ocurra.

En resumen, deben abordar el tema de la confianza: ¿cuándo pueden confiar en que un usuario genuino está accediendo y usando su cuenta, y cómo pueden determinar cuándo se está produciendo un ataque? Para resolver este problema, las IF necesitan un enfoque profundamente innovador, que permita la recopilación y el análisis de vastos datos entre canales para detectar el fraude en tiempo real.

Greg Hancell explica cómo las IF pueden detectar el fraude de adquisición de cuentas a través de la supervisión continua y el aprendizaje automático:

“En el pasado, la forma en que autenticaríamos a los usuarios podría ser durante el inicio de sesión o una transacción. Mientras que ahora, tenemos una gran cantidad de datos porque los usuarios acceden a su cuenta a través de la web o la banca móvil, y hay eventos que se transmiten constantemente a las instituciones financieras a medida que el usuario avanza en su viaje de usuario.

Este movimiento hacia la banca digital se presta bien al monitoreo continuo, la capacidad de monitorear todos los eventos que están ocurriendo, no solo el inicio de sesión y la transacción, sino también solicitar un saldo o crear un nuevo beneficiario y / o crear un usuario o cambiando usuarios ".

Hancell continúa explicando cómo se puede utilizar el monitoreo continuo y el aprendizaje automático para analizar el comportamiento "normal" del usuario, como la forma en que interactúan con el dispositivo, cómo escriben, deslizan y arrastran a través de una página, y cómo normalmente establecer e interactuar con sesiones. Esto crea un perfil de su comportamiento normal.

El aprendizaje automático se puede utilizar para contrastar el comportamiento normal del usuario con el comportamiento sospechoso, como el comportamiento de un bot o atacante. Cuando se detecta un comportamiento sospechoso, las instituciones financieras pueden solicitar autenticación adicional del usuario para impugnar el acceso o las transacciones que tienen lugar. Si el usuario puede superar el obstáculo de seguridad y autenticarse, puede continuar. Si no pueden, el proceso se detiene y se evita el fraude.

Por qué las instituciones financieras deben hacer de la prevención de la ATO una prioridad

En marzo de 2019, un EE. UU. encuesta reveló que el 90% de los bancos encuestados rezagado en su capacidad para autenticar a los clientes y aumentar la seguridad dependiendo del riesgo de una acción o transacción. Los mayores desafíos para detectar y prevenir el fraude a través de la autenticación y la seguridad intensificada fue una excesiva dependencia de las credenciales, como los nombres de usuario y las contraseñas. La encuesta también reveló que el 44% de los encuestados fueron desafiados por el uso de credenciales legítimas expuestas en violaciones de datos y esquemas de ingeniería social en la autenticación de intentos de adquisición de cuentas.

Las credenciales estáticas, como los nombres de usuario, las direcciones de correo electrónico y las respuestas secretas, son vulnerables a los ataques, ya que los usuarios tienden a repetir credenciales en múltiples sitios web, perfiles de redes sociales y cuentas de registro. Una vez que un sitio web se ve comprometido, los atacantes tienen acceso a otras cuentas del usuario. Greg Hancell explica que "los usuarios tienden a tener una única cuenta de recuperación de falla (es decir, una cuenta de correo electrónico). Una vez superado esto, puede revisar sus correos electrónicos anteriores y realizar la toma de control de la cuenta en todas las cuentas vinculadas a él ".

Julie Conroy explica cómo los nombres de usuario y las contraseñas son vulnerables a los ataques de fraude :

“Los consumidores son realmente flojos sobre el uso apropiado de nombre de usuario y contraseñas, por lo que tenemos múltiples encuestas que muestran que la mayoría de los consumidores usan el mismo puñado de nombres de usuario y contraseñas en todas sus relaciones en línea. Los malos también lo saben, y están aprovechando la tecnología para perpetrar y automatizar los ataques de relleno de credenciales.

Desde el inicio de la pandemia de COVID-19, los atacantes han lanzado un afluencia de ataques de phishing diseñado para capturar las credenciales de los consumidores y otra información personal. Una vez que se violan las credenciales, los atacantes pueden automatizar los ataques de relleno de credenciales para ver en cuántas cuentas de comercio electrónico o cuentas bancarias diferentes entrarán las credenciales violadas ".

La autenticación de usuarios al iniciar sesión y el uso de credenciales solo ya no es una opción. Firma analista KuppingerCole argumenta que "Solo requerir un nombre de usuario / contraseña para acceder a los sistemas bancarios en línea o móviles es extremadamente insuficiente para la seguridad de la cuenta". Las instituciones financieras deben monitorear continuamente las acciones y el comportamiento del usuario para detectar actores sospechosos y desafiar la seguridad de la configuración cuando se detecta un riesgo.

El banco comercial líder utiliza el monitoreo del fraude para detectar el fraude

Con el aumento dramático en los sofisticados esquemas de fraude, un banco comercial líder necesitaba la capacidad de analizar las transacciones y el comportamiento del cliente dentro de una plataforma centralizada de gestión de fraude. El Banco está recurriendo a la supervisión continua del fraude y al análisis de riesgos basado en el aprendizaje automático para detectar un amplio espectro de fraudes, incluidos intentos de inicio de sesión no autorizados, transferencias sospechosas de dinero y más, todo en tiempo real.

Cómo la tecnología inteligente de autenticación adaptativa puede detener las adquisiciones de cuentas

En su artículo 'Resolviendo el problema de prevención de fraude multimillonario', David Vergara, director de marketing de productos de seguridad de OneSpan, explica cómo autenticación adaptativa inteligente La tecnología se puede utilizar con monitoreo continuo y aprendizaje automático para proporcionar el nivel preciso de seguridad en el momento adecuado para cada transacción. La tecnología utiliza análisis de riesgos en tiempo real para determinar los métodos de autenticación más adecuados según el nivel de riesgo.

Adaptar el flujo de autenticación a cada transacción única hace que sea más difícil para los estafadores predecir y planificar sus ataques. Esta imprevisibilidad frustra el intento de un estafador de hacerse cargo de una cuenta y obtener ganancias. A medida que evolucionan los patrones y circunstancias contextuales particulares del usuario, la tecnología es lo suficientemente inteligente como para reconocer estos cambios y adaptarse.

Usados juntos análisis de riesgos y autenticación adaptativa Se puede resaltar eficazmente para mitigar el riesgo de ataques de adquisición de cuenta. La tecnología ha sido reconocida por empresas analistas como KuppingerCole , Gartner , ISMG y Forrester, como tecnología líder para las instituciones financieras que buscan abordar los desafíos de avanzar en las estrategias de delitos cibernéticos y la evolución de la legislación mientras se protegen los activos financieros.

La violación de datos, el phishing y los ataques de ATO están en constante evolución

El fraude de adquisición de cuentas es una causa importante de pérdida financiera para las instituciones financieras. En una encuesta realizada por Aite Group, el 89% de los ejecutivos de instituciones financieras señalaron que el fraude de adquisición de cuentas es causa más común de pérdidas en el canal digital .

Para disminuir las pérdidas por fraude debido a la toma de control de la cuenta, las instituciones financieras deben adoptar tecnología que aproveche el aprendizaje automático para monitorear y analizar continuamente el comportamiento de cada usuario para detectar actividades sospechosas y aumentar la seguridad con un desafío de autenticación cuando se detecta un riesgo.

Como Trace Fooshee, analista senior de Aite Group concluye en su investigación sobre Tendencias de adquisición de cuenta 2019 , "La era de los ataques ATO a escala industrial está aquí, y las apuestas para que las IF sigan siendo competitivas en la defensa contra el panorama de amenazas en constante evolución están aumentando".

Libro electrónico

Fraude de robo de cuenta: cómo proteger a sus clientes y su negocio

Evite el fraude de robo de cuenta y proteja a los clientes en cada etapa de su viaje digital.

Descargar ahora

Sarah es experta en marketing tecnológico con más de 9 años de experiencia en marketing en empresas de servicios profesionales y SaaS B2B de rápido crecimiento dentro de los servicios financieros y la ley.