アカウント乗っ取り詐欺(ATO)とは何ですか?
アカウント乗っ取り詐欺(ATO)は、サイバー犯罪者が被害者のログイン資格情報にアクセスして資金や情報を盗むときに発生します。 詐欺師はデジタルで金融銀行口座に侵入してそれを管理し、フィッシング、マルウェア、中間者攻撃など、これを実現するためのさまざまな手法を自由に利用できます。 ATOは、金融損失とそれに伴う軽減努力のために、金融機関とその顧客にとって最大の脅威です。
詐欺師は、銀行、クレジットカード、eコマースなどの既存のアカウントを乗っ取ることができます。 一部のアカウント乗っ取りは、詐欺師がデータ侵害から個人情報を収集したり、ダークウェブで購入したりすることから始まります。 収集された電子メールアドレス、パスワード、クレジットカード番号、社会保障番号などの個人情報は、金銭的利益のためにサイバー泥棒にとって貴重です。 アカウント乗っ取り攻撃が成功すると、不正な取引、クレジットカード詐欺、および侵害された顧客アカウントからの不正なショッピングにつながる可能性があります。 アカウントの乗っ取りは、個人情報の盗難または個人情報の詐欺の一種と呼ばれることがよくありますが、ログイン情報の盗難が含まれるため、何よりもまず資格情報の盗難であり、犯罪者は金銭的利益のために盗むことができます。 アカウント乗っ取り詐欺は絶えず進化しており、さまざまな形で発生する絶え間ない脅威です。 アカウント乗っ取り攻撃が成功すると、被害者の侵害された金融アカウントからの不正な取引や不正な買い物につながります。
詐欺師はATOで見過ごされ続けようとします
アカウント乗っ取りのシナリオが成功すると、詐欺師はアカウントを危険にさらした異常な活動を回避しようとします。 代わりに、彼らはしばしばアカウント情報、パスワード、さらには通知を変更しようとするので、正当な所有者は自分のアカウントで起こっている違法行為に気付かないでしょう。 加害者は、詐欺会社に支払いをしたり、別の口座に資金を送金したりして、銀行口座からお金を盗むことがよくあります。 詐欺師は、新しいクレジットカード、新しいアカウント、または別の金融商品を要求することもできます。 これらの種類の行動に加えて、彼らは経済的損害を引き起こす無許可の取引をいくつでも実行する力を持っています。
泥棒はまた、オンラインハッキング、メールの盗難、財布の持ち上げ、ATMやカードスキマーなど、さまざまな方法でアカウント番号を取得できます。 ただし、アカウント乗っ取り詐欺の兆候がいくつかあります。 複数のユーザーが突然パスワードの変更を要求した場合、またはログイン試行の失敗が累積した場合、これらはアカウント乗っ取り詐欺の兆候である可能性があります。 カード所有者がATOを発見すると、マーチャントは多くのチャージバックと顧客取引の紛争が発生することを期待できます。 口座の乗っ取りが成功すると、口座名義人と金融機関の関係に負担がかかり、銀行のブランドを傷つける可能性があります。 例えば、複数のユーザーが突然パスワードの変更をリクエストしたり、ログイン失敗の累積があれば、アカウント乗っ取りの兆候かもしれません。
アカウント乗っ取り詐欺で使用される方法
フィッシング:
ソーシャルエンジニアリング攻撃を成功させるために不可欠な、信頼する自然な傾向があるため、人々は依然として最も弱いセキュリティリンクです。 フィッシング詐欺は、有名で信頼できるブランドや個人になりすます。 彼らは合法であるように見え、偽の銀行ポータルにリダイレクトするリンクをクリックするか、資格情報を収集するマルウェアをインストールする添付ファイルを開くようにユーザーを説得する感情的な訴えを伴う寄付を求めることができます。 フィッシングの最も一般的な形式は電子メールですが、テキストメッセージ(SMS)やソーシャルメディアメッセージングサービスも使用できます。 モバイルユーザーの場合、添付ファイルをダウンロードする必要もありません。 SMS内のリンクは、デバイスにマルウェアを自動的にインストールするWebページにユーザーを誘導できます。
資格情報の詰め込み:
詐欺師は通常、ダークウェブから盗まれた資格情報のリストを購入します。 これらには、他の種類のデータの中でも、多くの場合データ侵害による電子メールアドレスと対応するパスワードが含まれる可能性があります。 資格情報の詰め込み攻撃には通常、自動化されたスクリプトを使用してアカウントへのアクセスを試みるボットが関与します。 この情報は、多くの人が同じユーザー名とパスワードを何度も再利用するという想定に基づいて、複数のアカウントへの不正アクセスを取得するためにも使用できます。 ただし、金融機関の認証プロセスに指紋やワンタイムパスワードなどの多要素認証が含まれる場合、アクセスの取得はより困難になります。 クレデンシャルクラッキングとして知られるもう1つの重要な方法は、「ブルートフォース」攻撃とも呼ばれます。これは、毎回異なるパスワードで複数のログインを試行することにより、正しいアカウントパスワードを推測しようとするためです。
SIMカードの交換:
SIMカードの交換は、顧客が新しいデバイスを購入したときに携帯電話会社が提供する合法的なサービスであり、古いSIMカードは互換性がなくなります。 詐欺師は、比較的簡単なハッキングでこのサービスを悪用する可能性があります。 SIMカード交換詐欺では、詐欺師はソーシャルエンジニアリング技術を使用して被害者の携帯電話番号を新しいSIMカードに転送します。 詐欺師は顧客の携帯電話会社に連絡し、顧客になりすまして、コールセンターのエージェントに携帯電話番号を違法なSIMカードに移植するように説得します。 その結果、ユーザーのバンキングアプリが詐欺師の電話でアクティブ化される可能性があります。 銀行の認証メカニズムにワンタイムパスワードを配信する手段としてテキストメッセージが含まれている場合、被害者の番号を乗っ取ることが、犯罪者が銀行のセッション中に不正な取引を実行したり、受取人を追加したり、その他の操作を実行したりするための魅力的な方法になります。
マルウェア:
マルウェアは、被害者のコンピューターまたはモバイルデバイスに悪意のあるソフトウェアまたは「マルウェア」をインストールすることにより、銀行口座を制御するもう1つの方法です。 これは、信頼できないソースからアプリをダウンロードすることによって行われます。または、他のプログラムに含めることもできます。たとえば、Flashプレーヤーのアップデートを装っています。 キーロガーと呼ばれる一部のマルウェアは、銀行の資格情報を含め、ユーザーが入力したすべてのものを傍受します。
モバイルバンキング型トロイの木馬:
モバイルバンキング型トロイの木馬が利用する一般的な手法の1つは、正規の銀行アプリケーションの上に偽の画面を配置するオーバーレイ攻撃です。 次にマルウェアは被害者の認証資格情報を取得し、他の銀行取引が実行されている間もアクティブなままでいることができます。 たとえば、マルウェアは、送金を傍受し、そのお金を不正なアカウントにリダイレクトすることで、トランザクションデータを変更できます。 これらの攻撃は、スマートフォンの使用が世界的に増加し続けるにつれて拡大する運命にあります。
Man-in-the-Middle攻撃:
Man-in-the-Middle攻撃では、詐欺師は、気付かれることなく通信を傍受、編集、送信、および受信するために、金融機関とユーザーの間に身を置きます。 たとえば、コーヒーショップのパブリックホットスポットとして悪意のあるWi-Fiネットワークを設定し、「パブリックコーヒー」のように無害でありながら正当な名前を付けることで、ユーザーのデバイスと銀行のサーバー間の通信チャネルを引き継ぐことができます。 。」人々は公共のホットスポットを利用しますが、悪意のある人物によって制御されているネットワークを介して支払いデータを転送している可能性があることに気づいていません。 Man-in-the-Middle攻撃は、安全ではない脆弱なモバイルバンキングアプリケーションを介して発生する可能性もあります。
アカウント乗っ取り詐欺を検出する方法
詐欺師は顧客の前向きな履歴の背後に隠れて、通常のログイン動作を模倣する可能性があるため、ATOの検出は困難な場合があります。 継続的な監視により、アカウント乗っ取り詐欺の兆候を開始前に検出することができます。
効果的な不正検出システムにより、金融機関は、取引前、取引中、取引後のユーザーの活動を完全に把握できます。 犯罪者がお金を盗む前に、新しい受取人の設定など、他のアクションを最初に実行する必要があるため、最善の防御策は銀行口座のすべての活動を監視するシステムです。 アカウントのすべてのアクションを監視すると、アカウント乗っ取り詐欺の可能性を示す行動パターンを特定するのに役立ちます。 犯罪者は口座から送金する前にこのような行動を取る必要があるため、継続的な監視を備えた不正検出システムは、顧客が攻撃を受けている可能性があるかどうかを判断するためのパターンと手がかりを見つけます。
このタイプの不正検出システムは、場所などのデータに基づいてリスクを評価することもできます。 たとえば、顧客が最初に北米のアカウントにアクセスし、次にヨーロッパから10分後に再びアクセスした場合、それは疑わしいことは明らかであり、2人の異なる個人が同じアカウントを使用していることを示している可能性があります。
ATO詐欺のリスクがある場合、詐欺防止システムは、アカウントで取引している人に追加の認証を要求します。 これには、適応認証またはインテリジェント適応認証と呼ばれるアプローチの使用が含まれる場合があります。 指紋の生体認証や顔のスキャンなど、トランザクションの実行を許可する前に、より高いレベルの認証を要求することで、銀行はアカウントの乗っ取りを防ぐことができます。 認証が成功すると、トランザクションを続行できます。 犯罪者の場合、彼らは生体認証の課題に対応することができず、詐欺攻撃は停止されます。
銀行が口座乗っ取り詐欺を防ぐのにどのように役立つか
単一要素認証(静的パスワードなど)は、金融機関とユーザーを危険にさらします。 防衛の第一線は、多要素認証(MFA)を使用することです。 これには、指紋スキャンなどの生体認証や顔認識、なりすましが難しい。
顧客の銀行口座をめぐる戦いは、口座乗っ取り詐欺を防ぐために、機械学習と継続的な監視、または発生するトランザクションの監視と戦う必要もあります。 顧客がバンキングセッションのWebページにアクセスしたとき、またはモバイルバンキングアプリを開いた瞬間から、継続的な監視により、顧客の通常のオンラインジャーニーと、アカウントおよびデバイスとのやり取りが識別されます。
機械学習を使用した継続的な監視により、攻撃者またはボットを示す可能性のある新しい動作を特定できます。 不正防止システムが分析する一般的なデータポイントには、新しいデバイス、Cookie、ヘッダー、リファラー、および場所が含まれます。 これらは、顧客の通常の行動と一致しない不一致がないかリアルタイムで監視できます。
これは、2要素認証(2FA)や動的リンク(トランザクションデータ署名またはトランザクション承認とも呼ばれます)を可能にするテクノロジーなど、他の保護レイヤーとシームレスに組み合わされます。 ダイナミックリンクは、ヨーロッパの改訂決済サービス指令(PSD2)の要件であり、トランザクションの金額と受信者に固有のトランザクションごとに一意の認証コードが存在することを保証します。
リアルタイムの不正検出と防止の重要性
機械学習は新たな攻撃を特定するのに非常に効果的ですが、詐欺ルールは既知の詐欺と戦うのに最適です。 機械学習を利用したリスクエンジンを使用してリアルタイムで不正を正確に検出する機能がなければ、不正チームはボットの活動やその他の高度で新しいアカウント乗っ取り詐欺手法に追いつくのに苦労しています。 たとえば、銀行口座、クレジットカード口座、eコマース口座、またはロイヤルティ口座に関連付けられている顧客の電子メールアドレス、電話番号、または自宅の住所が、銀行のシステムで突然変更されます。 このアクティビティはアカウントの乗っ取りを示しているのでしょうか、それともお客様が正当な理由で変更を要求したのでしょうか。 攻撃を止めるには、できるだけ早く知ることが不可欠です。 そのため、アカウント乗っ取り詐欺をリアルタイムで検出する機能が不可欠です。
攻撃シナリオは常に進化しており、ダークウェブで購入するための新しいツールが絶えず開発されているため、ATOは絶え間なく進化しています。 そこで、人工知能と、不正ルールを使用する継続的な不正検出システムを組み合わせることが役立ちます。
不正防止システムの戦略的重要性
犯罪者が被害者のアカウントにアクセスするために使用できる方法の数が多いため、アカウント乗っ取り詐欺の脅威の状況は絶えず拡大しています。 これは、金融機関がすべての可能なアカウント乗っ取りシナリオを阻止するための効率的なシステムを構築することを特に困難にします。 ただし、不正防止ルールと機械学習の組み合わせに依存する不正防止システムは、不正の検出、軽減、および管理に優れたリアルタイムのリスク分析を提供します。