継続的な監視と適応型多要素認証でアカウント乗っ取り攻撃を阻止する方法

Sarah Dixon, 2020年5月14日
How to Stop Account Takeover Attacks with Continuous Monitoring and Adaptive Multi-Factor Authentication

金融機関は毎年数百万ドルを投資して、詐欺や詐欺攻撃から顧客を保護しています。この投資にもかかわらず、詐欺攻撃による損失は増え続けています。

顧客をデジタル詐欺から保護するために、金融機関(FI)は通常、ログイン時にユーザーを認証します。米国では、2019年の調査で、調査した組織の96% は、ユーザー認証に何らかの形式のユーザー名とパスワードを使用し、知識ベース認証(65%)やワンタイムパスワード(OPT)(50%)などの他の認証方法を使用しました。ヨーロッパでは、強力な認証がPSD2によって義務付けられています。

ただし、ユーザー名、パスワード、秘密の答え、さらには二要素認証 (2FA)、フィッシング、オーバーレイ攻撃、マルウェアを介した不正アクセス攻撃に対して脆弱である可能性があります。彼の記事で攻撃者がフィッシングと高度なブラウザ模倣ツールを使用して最新の2FAを回避する方法ベンバルタザールは、ログイン時に2要素認証を無効にするためにフィッシング攻撃を近代化する方法を示し、「2FAを単独で実装してもフィッシングからの完全な保護は提供されない」と述べています。 

消費者と規制当局は現在、アカウントのセキュリティとユーザーエクスペリエンスを向上させるために、ログインに強力でパスワード不要の認証方法を採用するようFIに要求しています。最近のビザ調査で1,000 US 消費者、 52%は、銀行が生体認証を提供しない場合、銀行を変更すると主張しました将来は。

バイオメトリクスなどのパスワードなしの認証方法は、アクセスポイントで攻撃者を阻止するのに役立ちますが、機械学習と継続的な不正監視は、2FAなどの安全な認証方法がバイパスされている場合でも、FIがアカウント乗っ取り攻撃を検出して阻止するのに役立ちます。これは、ステップアップセキュリティと状況に応じた適応により実現できます。多要素認証 (MFA)の課題。

継続的な不正監視により、FIは各認証要求の背後にあるコンテキスト(理由)を知ることもできます。これにより、認証資格情報が正しいかどうかだけでなく、要求された各認証のコンテキストが本物であるか疑わしいかを判断できます。これは、ユーザーを保護しながら、詐欺師のための追加の障壁を作成します。

アカウント乗っ取り詐欺の現状

2020年に、米国連邦取引委員会(FTC)は、米国の消費者が 2019年の詐欺による損失は19億ドル – 2018年と比較して2億9,300万ドルの増加。欧州連合の委託による報告では、アナリストは、約240億ユーロの経済的損失が発生した可能性があります 2018年から2020年の間の詐欺および詐欺の結果としてのEUの成人人口による。

アカウント乗っ取り(ATO)詐欺は、銀行や金融機関の詐欺被害の主な原因の1つです。に 2019ビデオ 、Aite GroupのリサーチディレクターであるJulie Conroy氏は、「金融機関、FinTechs、eコマースマーチャントとの会話のほとんどすべてにおいて、アカウントの乗っ取りが最大の懸念事項の1つとして浮上しています」と説明しています。

OneSpanの詐欺の専門家であるGreg Hancellは同意します。「悪意のある俳優が個人情報に到達する方法が今よりはるかに速くなっているため、アカウント乗っ取りが増加しています。昨年とその前の年に、約32億の個人データ記録が侵害されました。私たちのアイデンティティは私たちのものではありません。攻撃者であれば、非常に簡単に個人情報を入手して、アカウント乗っ取り攻撃を実行できます。」

アカウントの乗っ取りは、顧客の銀行口座がデジタル的に「侵入」され、攻撃者によって操作されたときに発生します。攻撃者が顧客のアカウント資格情報へのアクセスを不正に取得するために使用する方法とスキームは、絶えず進化しています。これには、データ侵害、マルウェア、フィッシング、および電話詐欺などの他のソーシャルエンジニアリング攻撃( 一般的な詐欺スキームについてもっと読む )。

攻撃を受けている顧客にとって、これらの攻撃は新たに追加された受益者への不正な支払いをもたらす可能性があり、または攻撃者は顧客の資格情報を使用して新製品を申請する可能性があります。一部のアカウント乗っ取り攻撃では、顧客がアカウントから完全にロックアウトされ、再設定用のメールアドレスと電話番号が変更または侵害されます。

FIの場合、アカウント乗っ取り攻撃の影響は、財務上の損失をはるかに超える可能性があります。彼らは顧客を銀行への信頼を失うように導き、消費者の信頼と成長に影響を与える可能性があります。攻撃を回復、シャットダウン、調査するためにかかる時間と人間の労力も重要な場合があります。 

銀行がアカウント乗っ取り攻撃を検出して防止する方法

アカウント乗っ取り攻撃は、銀行と保険会社に数十億ドルの支払いと顧客への補償をもたらします。これらの損失を減らすために、FIは攻撃者がアカウントへのアクセスを取得しようとしているとき、および攻撃者が顧客のアカウント内で不正にアクションまたはトランザクションを実行しようとしているときを検出する方法を見つける必要があります。また、これらが発生しないようにする必要もあります。

つまり、信頼の問題に対処する必要があります。正規のユーザーが自分のアカウントにアクセスして使用していることをいつ信頼でき、攻撃が行われているのかをどのように判断できますか?この問題を解決するために、FIは非常に革新的なアプローチを必要としています。これは、膨大なクロスチャネルデータを収集および分析して、リアルタイムで不正を検出できるようにするものです。

Greg Hancellは、FIが継続的な監視と機械学習を通じてアカウント乗っ取り詐欺を検出する方法を説明しています。

「以前は、ユーザーを認証する方法は、ログイン時またはトランザクション時でした。一方、ユーザーはWebバンキングまたはモバイルバンキングを介して自分のアカウントにアクセスするため、データが豊富にあります。また、ユーザーがユーザージャーニーを進むにつれて、金融機関に常にストリーミングされるイベントがあります。

このデジタルバンキングへの移行は、継続的な監視、つまり発生しているすべてのイベント(ログインとトランザクションだけでなく、残高の要求や新しい受益者の作成やユーザーの作成、あるいはその両方)の監視にも役立ちます。ユーザーを変える。」

Hancellは、継続的な監視と機械学習を使用して、ユーザーの「通常の」動作を分析する方法を説明します。たとえば、ユーザーがデバイスと対話する方法、ユーザーがページ上で入力、スワイプ、ドラッグする方法、および通常の方法を分析します。セッションを確立して対話します。これにより、通常の動作のプロファイルが作成されます。

次に、機械学習を使用して、ユーザーの通常の動作を、ボットや攻撃者の動作などの疑わしい動作と対比することができます。不審な行動が検出された場合、金融機関はユーザーに追加の認証を要求するアクセスまたは発生しているトランザクションに挑戦します。ユーザーがセキュリティのハードルを通過して認証できる場合、続行できます。それができない場合、プロセスは停止され、詐欺は防止されます。

金融機関がATO防止を優先事項にする必要がある理由

2019年3月、米国調査では、調査した銀行の90%がアクションやトランザクションのリスクに応じて、顧客を認証する能力とステップアップセキュリティに遅れをとっていました。認証とステップアップセキュリティによる不正の検出と防止の最大の課題は、ユーザー名やパスワードなどの資格情報への過度の依存でした。調査はまた、回答者の44%が、アカウントの乗っ取りの試みの認証において、データ侵害やソーシャルエンジニアリングスキームで公開された正当な認証情報の使用に挑戦していることも明らかにしました。

ユーザー名、電子メールアドレス、秘密の回答などの静的な資格情報は、複数のWebサイト、ソーシャルメディアプロファイル、およびサインアップアカウントで資格情報を繰り返す傾向があるため、攻撃に対して脆弱です。1つのWebサイトが侵害されると、攻撃者はユーザーの他のアカウントにアクセスできるようになります。グレッグ・ハンセル氏は次のように説明しています。これが克服されると、以前の電子メールを確認し、それにリンクされているすべてのアカウントに対してアカウント乗っ取りを実行できます。」

ジュリー・コンロイは説明しますユーザー名とパスワードが詐欺攻撃に対してどのように脆弱であるか

「消費者はユーザー名とパスワードを適切に使用することに非常に怠惰なので、多数の消費者がオンライン関係のすべてで同じ少数のユーザー名とパスワードを使用していることを示す複数の調査があります。悪意のある人もこれを知っており、彼らはテクノロジーを利用してクレデンシャルのスタッフィング攻撃を実行および自動化しています。

COVID-19パンデミックの発症以来、攻撃者はフィッシング攻撃の流入消費者の資格情報やその他の個人情報を取得するように設計されています。資格情報が侵害されると、攻撃者は資格情報の詰め込み攻撃を自動化して、侵害された資格情報が侵入するさまざまなeコマースアカウントまたは銀行口座の数を確認できます。

ログイン時にユーザーを認証し、資格情報のみを使用することは、もはや選択肢ではありません。アナリスト会社 KuppingerColeが主張 「オンラインまたはモバイルバンキングシステムにアクセスするためにユーザー名/パスワードを要求するだけでは、アカウントのセキュリティには著しく不十分です。」金融機関は、ユーザーの行動と行動を継続的に監視して、不審なアクターを検出し、リスクが検出されたときにセットアップセキュリティに挑戦する必要があります。

大手商業銀行が不正監視を使用して不正を検出

洗練された詐欺スキームの劇的な増加に伴い、大手の商業銀行は、一元化された詐欺管理プラットフォーム内でトランザクションと顧客の行動を分析する機能を必要としていました。銀行は継続的な不正監視と機械学習ベースのリスク分析に転じています不正なログインの試み、不審な送金などを含む広範囲の詐欺行為をすべてリアルタイムで検出します。

インテリジェント適応認証技術がアカウント乗っ取りを阻止する方法

OneSpanのセキュリティ製品マーケティング担当ディレクター、David Vergaraは、彼の記事「数十億ドルの不正防止問題の解決」で次のように説明しています。インテリジェントな適応認証テクノロジーを継続的なモニタリングと機械学習とともに使用して、各トランザクションに適切なタイミングで正確なレベルのセキュリティを提供できます。このテクノロジーは、リアルタイムのリスク分析を使用して、リスクのレベルに基づいて最適な認証方法を決定します。

一意のトランザクションごとに認証フローを調整すると、詐欺師が攻撃を予測して計画することがさらに困難になります。この予測不可能性は、アカウントを乗っ取って利益を上げようとする詐欺師の試みを阻止します。ユーザーの特定のコンテキストパターンと状況が進化するにつれ、テクノロジーはこれらの変化を認識して適応するのに十分なほどインテリジェントになります。

一緒に使用すると、リスク分析そして適応認証アカウント乗っ取り攻撃のリスクを軽減する上で効果的なハイライトになる可能性があります。このテクノロジーは、以下のようなアナリスト企業から認められています。クッピンガーコールガートナー ISMG Forresterは、金融資産を保護しながらサイバー犯罪戦略の進展と法律の進化の課題に取り組むことを目指す金融機関向けの最先端テクノロジーとして。

データ侵害、フィッシング、ATO攻撃は常に進化しています

アカウント乗っ取り詐欺は、金融機関の財務上の損失の主な原因です。Aite Groupによる調査では、金融機関の幹部の89%が買収詐欺をデジタルチャネルの損失の最も一般的な原因

アカウント乗っ取りによる詐欺の損失を減らすために、金融機関は、機械学習を活用して、各ユーザーの行動を継続的に監視および分析し、疑わしいアクティビティを検出し、リスクが検出されたときに認証のチャレンジでセキュリティを強化する必要があります。

Trace Foosheeとして、Aite Groupのシニアアナリストは、 2019アカウント乗っ取りトレンド 、「産業規模のATO攻撃の時代が到来し、FIが常に進化する脅威の状況からの防御において競争力を維持するためのテーブルステークスが増加しています。」

電子ブックカバー
eブック

アカウント乗っ取り詐欺:お客様とビジネスを守るには

不正ななりすましを防ぎ、デジタルジャーニーのあらゆる段階で顧客の安全を守るお手伝いをします。

今すぐダウンロード

サラはテクノロジーマーケティングの専門家であり、金融サービスと法律の分野で急成長しているB2B SaaSおよびプロフェッショナルサービス企業で9年以上のマーケティング経験があります。