Utiliser l'analyse des risques pour lutter contre la fraude et maintenir la conformité

Mark Crichton, novembre 2, 2020

La lutte contre la fraude financière est une bataille permanente. Un rapport récent a révélé qu'en 2019, la valeur totale des pertes dues à la fraude par carte au Royaume-Uni s'élevait à 706 millions d'euros, les achats à distance représentant 76% de ces pertes. Compte tenu de la croissance du commerce électronique, ce n'est pas surprenant, mais depuis la pandémie, les cybercriminels sont devenus plus actifs, car ils profitent des personnes utilisant les plates-formes numériques pour mener des interactions financières.

Depuis le début du verrouillage au Royaume-Uni, plus de 16,6 millions de livres sterling ont été perdues à cause de la seule fraude d'achat, et le nombre de sites Web liés au phishing a grimpé de 350% depuis le début de l'année. Ces attaques de phishing, combinées aux innombrables violations de données majeures, ont révélé plus de 15 milliards d'informations d'identification des consommateurs - y compris les identifiants de compte bancaire - qui circulent désormais sur le Dark Web, permettant aux criminels de mener des activités frauduleuses au nom de clients bancaires.

Pendant ce temps, les réglementations financières et de données ont mis plus que jamais l'accent sur la sécurité. Assurer le respect des réglementations telles que la PSD2 est essentiel pour les banques et les IF afin d'éviter de graves répercussions de la part des organismes industriels.

Le défi pour les banques et les IF est de trouver un équilibre entre les exigences de conformité et la nécessité de protéger les clients contre la menace croissante et en évolution rapide de la fraude, sans compromettre l'expérience client globale.

Augmentation de la fraude numérique et des attaques de prise de contrôle de compte

Lorsque des verrouillages ont été mis en place dans le monde entier, les consommateurs ont été contraints d'utiliser des formes bancaires mobiles et numériques pour se conformer aux mandats de distanciation sociale. Les criminels ont toujours cherché à suivre où se trouve l'argent, et alors que les transactions se déplaçaient vers ces royaumes en ligne, les formes numériques de fraude ont augmenté.

Dans le même temps, nous avons également vu des fraudeurs jouer sur les peurs et augmenter les communications pour inciter les consommateurs à tomber dans les escroqueries. Depuis le début de la pandémie, nous avons vu une abondance de campagnes de phishing liées aux coronavirus ciblant les consommateurs pour voler des informations sensibles, ainsi que plusieurs autres campagnes conçues pour inciter les individus à télécharger des fichiers malveillants tels que des logiciels malveillants. Par exemple, à mesure que l'utilisation des services bancaires mobiles augmentait, le canal a connu peu de temps après une augmentation des chevaux de Troie bancaires mobiles selon une étude de Kaspersky. Les attaques de phishing et de logiciels malveillants facilitent tous les types de fraude, y compris les attaques de reprise de compte.

Avec autant de données personnelles et d'identifiants déjà exposés, les consommateurs courent toujours le risque de voir leurs données utilisées sans leur consentement à des fins frauduleuses. Cependant, combiné à l'augmentation de l'activité numérique et des cyberattaques, il incombe aux banques d'adopter une infrastructure de sécurité capable de détecter la fraude en temps réel, avant que tout dommage ne soit causé.

Banques vs consommateurs

Cependant, la responsabilité ne peut être uniquement liée à l'individu. Les banques adoptent une approche agile et multicouche de la sécurité afin de protéger les comptes de leurs clients contre les attaques utilisant des informations d'identification volées. Les banques et les IF doivent déployer des systèmes de détection de la fraude basés sur les risques et alimentés par l'apprentissage automatique afin de détecter et de bloquer les tentatives de fraude en temps réel, sans nuire à l'expérience utilisateur.

Analyse des risques analyser d'énormes quantités de données à partir d'une gamme de canaux, tels que l'appareil utilisé, l'emplacement et l'historique des transactions. Les algorithmes d'apprentissage automatique peuvent surveiller en permanence les sessions bancaires et évaluer des points de données tels que l'heure de la journée, la durée d'une session et les habitudes de dépenses. Toutes ces informations peuvent être utilisées pour construire une image complète du comportement normal d'un individu. Tout comportement anormal qui pourrait être suspecté d'être frauduleux peut être repéré en temps réel et des mesures de sécurité supplémentaires mises en œuvre en conséquence. Par exemple, si un utilisateur s'écarte de la norme et envoie 1000 £ depuis un nouvel emplacement, au lieu de bloquer la transaction purement et simplement, ce qui pourrait causer de la frustration, le client peut être invité à fournir une empreinte digitale pour compléter un mot de passe.

Systèmes de détection de fraude utilisant l'analyse des risques et apprentissage automatique sont capables de détecter les premiers signes d'une attaque de phishing. Les algorithmes peuvent déterminer la probabilité que le référent HTTP provienne d'une page de phishing, qui peut être complétée par des règles expertes mises en place. Ces règles détermineront comment le système doit répondre à une attaque de phishing.

Ces mécanismes de sécurité amélioreront la précision des banques lors de la détection des fraudes au fur et à mesure que davantage de données seront collectées, le tout sans impact sur l'expérience bancaire des utilisateurs. Pour les transactions à faible risque, il y a peu ou pas de friction ajoutée au parcours client, alors que des mesures de sécurité supplémentaires nécessaires ne sont prises que pour les transactions jugées risquées ou anormales.

Si les banques et la technologie ont un rôle important à jouer dans la lutte contre la fraude, les consommateurs doivent également rester sur leurs gardes. Les banques, les détaillants, les gouvernements et les autres organismes de l'industrie devraient informer leurs clients des menaces auxquelles ils peuvent être confrontés et des mesures qu'ils peuvent prendre pour fournir une défense active. Par exemple, les consommateurs doivent comprendre comment repérer un e-mail suspect qui peut être une tentative de phishing, ce qu'il faut faire s'ils cliquent accidentellement sur un lien malveillant et pourquoi ils ne doivent pas fournir d'informations personnelles identifiables par téléphone ou par e-mail.

Analyse des risques et maintien de la conformité

La mise en œuvre de l'analyse des risques aide également les banques et les IF à se conformer aux exigences PSD2 pour la surveillance des transactions. PSD2 rend obligatoire l'utilisation de la surveillance des transactions pour dissuader les paiements frauduleux et prévenir les menaces telles que la prise de contrôle de compte, la fraude sur les nouveaux comptes et la fraude mobile. Les institutions financières doivent également être en mesure de démontrer l'efficacité de leurs systèmes de contrôle aux auditeurs et aux régulateurs.
Grâce à l'analyse des risques, les données mobiles, d'application et de transaction sont analysées en temps réel pour détecter les types de fraude connus et émergents dans les canaux bancaires en ligne et mobiles. Cette analyse produit une plaie de risque de transaction, qui peut alors conduire des flux de travail intelligents qui déclenchent une action immédiate basée sur des politiques et des règles de sécurité prédéfinies et / ou définies par le client.
En prenant en compte un certain nombre de facteurs fondés sur les risques - y compris les scénarios de fraude connus, la détection des infections par des logiciels malveillants et le montant de la transaction - l'analyse des risques de transaction permet aux banques de se mettre en conformité, de mieux protéger leurs clients et de réduire leurs coûts opérationnels.
À mesure que les consommateurs s'habituent de plus en plus à la tendance déjà croissante de la banque numérique, les banques et les IF seront confrontés au défi de contrecarrer des formes de fraude de plus en plus sophistiquées et de maintenir la conformité réglementaire, le tout sans affecter l'expérience des utilisateurs. Les dernières technologies d'analyse des risques offrent aux organisations du secteur financier la capacité de relever ces défis et de prospérer dans des environnements numériques distants.

Analyse des risques pour la prévention de la fraude: principaux cas d'utilisation dans le secteur bancaire
Whitepaper

Analyse des risques pour la prévention de la fraude: principaux cas d'utilisation dans le secteur bancaire

Pour aider les dirigeants bancaires à mieux comprendre la valeur d'un système d'analyse des risques piloté par l'apprentissage automatique, ce livre blanc explique la surveillance continue de la fraude et l'évaluation dynamique des risques dans le contexte des principaux cas d'utilisation dans le secteur bancaire.

Télécharger

Cet article, rédigé par Mark Crichton, directeur principal de la gestion des produits de sécurité, a été publié pour la première fois le 22 octobre 2020 sur ITProPortal.com .

Mark Crichton is the Senior Director of Security Product Management at OneSpan, with over 20 years’ experience in architecting, deploying, developing and strategic consulting within the realm of global IT security and payment security solutions.