Czym jest oszustwo związane z przejęciem konta (ATO)?
Oszustwo polegające na przejęciu konta (ATO) ma miejsce, gdy cyberprzestępca uzyskuje dostęp do danych logowania ofiary w celu kradzieży środków lub informacji. Oszuści włamują się cyfrowo na finansowe konto bankowe, aby przejąć nad nim kontrolę i mają do dyspozycji różne techniki, takie jak phishing, złośliwe oprogramowanie oraz ataki typu man-in-the-middle. ATO jest głównym zagrożeniem dla instytucji finansowych i ich klientów ze względu na straty finansowe i wysiłki związane z ograniczaniem ryzyka.
Oszuści mogą przejmować istniejące konta, takie jak konta bankowe, karty kredytowe i konta w sklepach internetowych. Niektóre przejęcia kont zaczynają się od tego, że oszuści zbierają dane osobowe z naruszeń danych lub kupują je w ciemnej sieci. Dane osobowe, takie jak adresy e-mail, hasła, numery kart kredytowych i numery ubezpieczenia społecznego są cenne dla cyberzłodziei w celu osiągnięcia korzyści finansowych. Kiedy atak przejęcia konta jest udany, może prowadzić do oszukańczych transakcji, oszustw z użyciem kart kredytowych i nieautoryzowanych zakupów z zagrożonych kont klientów. Przejęcie konta jest często określane jako forma kradzieży tożsamości lub oszustwa dotyczącego tożsamości, ale przede wszystkim jest to kradzież danych uwierzytelniających, ponieważ wiąże się z kradzieżą danych logowania, które następnie umożliwiają przestępcy kradzież w celu osiągnięcia korzyści finansowych. Oszustwa polegające na przejęciu konta stale się rozwijają i stanowią stałe zagrożenie, które przybiera różne formy. Udany atak przejęcia konta prowadzi do oszukańczych transakcji i nieautoryzowanych zakupów z zagrożonych kont finansowych ofiary.
Oszuści próbują pozostać niezauważeni w ATO
W przypadku udanego scenariusza przejęcia konta, oszuści starają się unikać wszelkich nietypowych działań, które doprowadziły do kompromitacji kont. Zamiast tego, często próbują zmienić informacje o koncie, hasło, a nawet powiadomienia, aby prawowity właściciel nie był świadomy nielegalnych działań, które mają miejsce na jego koncie. Sprawcy często kradną pieniądze z konta bankowego, dokonując płatności na rzecz nieuczciwej firmy lub przelewając środki na inne konto. Oszuści mogą również złożyć wniosek o wydanie nowej karty kredytowej, nowego konta lub innego produktu finansowego. Oprócz tego typu działań, mają oni uprawnienia do przeprowadzania dowolnej liczby nieautoryzowanych transakcji, które powodują szkody finansowe.
Złodzieje mogą również uzyskać numery kont na wiele sposobów, w tym poprzez włamania internetowe, kradzież poczty, wyrywanie portfeli, a także poprzez skimmery bankomatów i kart. Istnieją jednak pewne oznaki oszustwa polegającego na przejęciu konta. Jeśli wielu użytkowników nagle zażąda zmiany hasła lub jeśli nagromadzi się wiele nieudanych prób logowania, może to wskazywać na oszustwo polegające na przejęciu konta. Kiedy posiadacz karty odkryje ATO, sprzedawca może spodziewać się wielu obciążeń zwrotnych i sporów dotyczących transakcji klienta. Udane próby przejęcia konta mogą nadwyrężyć relacje między posiadaczem konta a instytucją finansową, a także zaszkodzić marce banku. Na przykład, jeśli wielu użytkowników nagle zażąda zmiany hasła lub jeśli nastąpi nagromadzenie nieudanych prób logowania, może to świadczyć o przejęciu konta.
eBook
Account Takeover Fraud: How to Protect Your Customers and Business
Help prevent account takeover fraud and secure customers at every stage of their digital journeys.
Download Now
Metody stosowane w oszustwach polegających na przejęciu konta
Phishing:
Ludzie pozostają najsłabszym ogniwem bezpieczeństwa ze względu na ich naturalną skłonność do zaufania, która jest niezbędna do skutecznych ataków socjotechnicznych. Oszustwa phishingowe podszywają się pod znane i zaufane marki oraz osoby. Wyglądają na legalne i mogą prosić o datki za pomocą emocjonalnych apeli, które nakłaniają użytkowników do kliknięcia na linki przekierowujące ich do fałszywego portalu bankowego lub do otwarcia załącznika, który zainstaluje złośliwe oprogramowanie zbierające dane uwierzytelniające. Najczęstszą formą phishingu jest poczta elektroniczna, ale można również korzystać z wiadomości tekstowych (SMS) i serwisów społecznościowych. W przypadku użytkowników mobilnych, nie muszą oni nawet pobierać załącznika. Link w wiadomości SMS może przekierować użytkownika na stronę internetową, która automatycznie instaluje złośliwe oprogramowanie na jego urządzeniu.
Credential Stuffing:
Oszuści zazwyczaj kupują listę skradzionych danych uwierzytelniających w ciemnej sieci. Mogą to być, między innymi, adresy e-mail i odpowiadające im hasła, często pochodzące z naruszenia danych. Ataki polegające na upychaniu danych uwierzytelniających (ang. credential stuffing) zazwyczaj dotyczą botów, które wykorzystują zautomatyzowane skrypty do próby uzyskania dostępu do konta. Informacje te mogą być również wykorzystane do uzyskania nieautoryzowanego dostępu do wielu kont, w oparciu o założenie, że wiele osób wielokrotnie używa tych samych nazw użytkowników i haseł. Jeśli jednak proces uwierzytelniania w instytucji finansowej obejmuje uwierzytelnianie wieloczynnikowe, takie jak odcisk palca i hasło jednorazowe, uzyskanie dostępu staje się trudniejsze. Inna istotna metoda, znana jako credential cracking, jest również określana jako atak "brute force", ponieważ polega na próbie odgadnięcia poprawnego hasła do konta poprzez wielokrotne próby logowania z innym hasłem za każdym razem.
Zamiana kart SIM:
Zamiana karty SIM jest legalną usługą oferowaną przez operatorów telefonii komórkowej, gdy klient kupuje nowe urządzenie, a stara karta SIM nie jest już z nim kompatybilna. Oszuści mogą nadużywać tej usługi za pomocą stosunkowo prostego hakowania. W przypadku oszustwa polegającego na zamianie karty SIM oszust wykorzystuje techniki socjotechniczne, aby przenieść numer telefonu komórkowego ofiary na nową kartę SIM. Oszust kontaktuje się z operatorem telefonii komórkowej klienta i podszywając się pod niego, przekonuje pracownika centrum obsługi telefonicznej do przeniesienia numeru telefonu komórkowego na nielegalną kartę SIM. W ten sposób aplikacja bankowa użytkownika może zostać aktywowana na telefonie oszusta. Jeśli mechanizm uwierzytelniania banku obejmuje wiadomości tekstowe jako sposób przekazywania haseł jednorazowych, to przejęcie numeru ofiary staje się dla przestępcy atrakcyjnym sposobem na dokonywanie oszukańczych transakcji, dodawanie odbiorców lub wykonywanie innych operacji podczas sesji bankowej.
Złośliwe oprogramowanie:
Złośliwe oprogramowanie to kolejny sposób na przejęcie kontroli nad kontem bankowym poprzez zainstalowanie złośliwego oprogramowania lub "malware" na komputerze lub urządzeniu mobilnym ofiary. Dzieje się to poprzez pobieranie aplikacji z niezaufanych źródeł lub w innych programach, na przykład podszywając się pod aktualizację Flash Playera. Niektóre złośliwe programy, zwane key loggerami, przechwytują wszystkie dane wpisywane przez użytkownika, w tym jego dane bankowe.
Mobilne trojany bankowe:
Jedną z popularnych technik wykorzystywanych przez mobilne trojany bankowe jest atak typu overlay, w którym na legalną aplikację bankową nakładany jest fałszywy ekran. Złośliwe oprogramowanie przechwytuje następnie dane uwierzytelniające ofiary i może pozostać aktywne podczas wykonywania innych transakcji bankowych. Na przykład, złośliwe oprogramowanie może modyfikować dane transakcji, przechwytując przelew środków i przekierowując pieniądze na fałszywe konto. Ataki te będą się nasilać wraz z rosnącą popularnością smartfonów na całym świecie.
Ataki typu Man-in-the-Middle:
W ataku typu Man-in-the-Middle oszuści ustawiają się pomiędzy instytucją finansową a użytkownikiem, aby przechwytywać, edytować, wysyłać i odbierać komunikację w sposób niezauważony. Na przykład, mogą oni przejąć kanał komunikacyjny pomiędzy urządzeniem użytkownika a serwerem banku, ustawiając złośliwą sieć Wi-Fi jako publiczny hotspot w kawiarni i nadając jej niewinną, ale legalnie brzmiącą nazwę, taką jak "Public Coffee". Ludzie korzystają z publicznych hotspotów, nie zdając sobie sprawy, że mogą przesyłać swoje dane płatnicze przez sieć kontrolowaną przez złego aktora. Atak typu Man-in-the-Middle może również nastąpić poprzez podatną na ataki aplikację bankowości mobilnej, która nie jest bezpieczna.
Jak wykryć oszustwo polegające na przejęciu konta
ATO może być trudne do wykrycia, ponieważ oszuści mogą ukrywać się za pozytywną historią klienta i naśladować normalne zachowania podczas logowania. Ciągłe monitorowanie daje możliwość wykrycia oznak oszustwa polegającego na przejęciu konta zanim ono się rozpocznie.
Skuteczny system wykrywania nadużyć daje instytucjom finansowym pełny wgląd w aktywność użytkownika przed, w trakcie i po dokonaniu transakcji. Najlepszą obroną jest system, który monitoruje wszystkie działania na koncie bankowym, ponieważ zanim przestępca może ukraść pieniądze, musi najpierw wykonać inne czynności, takie jak ustanowienie nowego odbiorcy płatności. Monitorowanie wszystkich działań na koncie pomoże zidentyfikować wzorce zachowań, które wskazują na możliwość oszustwa polegającego na przejęciu konta. Ponieważ przestępcy muszą podjąć takie działania, zanim przeleją pieniądze z konta, system wykrywania oszustw z ciągłym monitoringiem znajdzie wzorce i wskazówki, które pozwolą określić, że klient może być atakowany.
Tego typu system wykrywania oszustw może również oceniać ryzyko na podstawie takich danych jak lokalizacja. Na przykład, jeśli klient najpierw uzyskuje dostęp do swojego konta w Ameryce Północnej, a następnie w ciągu 10 minut ponownie z Europy, jest to podejrzane i może wskazywać, że dwie różne osoby korzystają z tego samego konta.
Jeśli istnieje ryzyko oszustwa ze strony ATO, system zapobiegania oszustwom rzuci wyzwanie osobie dokonującej transakcji na koncie z prośbą o dodatkowe uwierzytelnienie. Może to obejmować zastosowanie podejścia znanego jako uwierzytelnianie adaptacyjne lub inteligentne uwierzytelnianie adaptacyjne. Wymagając wyższego poziomu uwierzytelnienia przed dokonaniem transakcji - np. biometrii odcisku palca lub skanu twarzy - bank może pomóc w zapobieganiu przejęcia konta. Jeśli uwierzytelnienie zakończy się sukcesem, transakcja może być kontynuowana. W przypadku przestępcy, nie będzie on w stanie sprostać wyzwaniu biometrycznemu i atak na oszustwo zostanie zatrzymany.
Jak banki mogą pomóc w zapobieganiu oszustwom związanym z przejmowaniem kont
Uwierzytelnianie jednoczynnikowe (np. statyczne hasła) naraża instytucje finansowe i użytkowników na ryzyko. Pierwszą linią obrony jest stosowanie uwierzytelniania wieloczynnikowego (MFA). Może to obejmować dane biometryczne, takie jak skanowanie odcisków palców lub rozpoznawanie twarzy, pod które trudno się podszyć.
Walka o konta bankowe klientów musi być również prowadzona przy użyciu uczenia maszynowego i ciągłego monitorowania, czyli obserwowania transakcji na bieżąco, aby zapobiec oszustwom związanym z przejmowaniem kont. Od momentu wejścia klienta na stronę internetową sesji bankowej lub otwarcia aplikacji bankowości mobilnej, ciągły monitoring identyfikuje normalną podróż online klienta i interakcje z jego kontami i urządzeniami.
Ciągłe monitorowanie z wykorzystaniem uczenia maszynowego pozwala na identyfikację nowych zachowań, które mogą wskazywać na atakującego lub bota. Typowe punkty danych, które analizuje system zapobiegania oszustwom to: nowe urządzenia, pliki cookie, nagłówki, odsyłacze i lokalizacje. Mogą one być monitorowane w czasie rzeczywistym w poszukiwaniu rozbieżności, które nie pasują do zwyczajowego zachowania klienta.
Łączy się to bezproblemowo z innymi warstwami ochrony, takimi jak uwierzytelnianie dwuskładnikowe (2FA) i technologie umożliwiające dynamiczne łączenie (znane również jako podpisywanie danych transakcji lub autoryzacja transakcji). Dynamiczne łączenie jest wymogiem europejskiej dyrektywy w sprawie usług płatniczych (PSD2), która zapewnia istnienie unikalnego kodu uwierzytelniającego dla każdej transakcji, który jest specyficzny dla kwoty transakcji i odbiorcy.
Znaczenie wykrywania oszustw i zapobiegania im w czasie rzeczywistym
Uczenie maszynowe jest bardzo skuteczne w identyfikowaniu nowo powstających ataków, podczas gdy reguły oszustw są najlepsze w zwalczaniu znanych oszustw. Bez możliwości dokładnego wykrywania oszustw w czasie rzeczywistym przy użyciu mechanizmu ryzyka opartego na uczeniu maszynowym, zespoły ds. oszustw mają trudności z nadążaniem za aktywnością botów oraz innymi wyrafinowanymi i pojawiającymi się technikami przejmowania kont. Na przykład, adres e-mail, numer telefonu lub adres domowy klienta powiązany z jego kontem bankowym, kontem karty kredytowej, kontem ecommerce lub kontem lojalnościowym nagle zmienia się w systemie banku. Czy działania te wskazywały na przejęcie konta, czy też klient poprosił o zmiany z uzasadnionych powodów? Aby powstrzymać atak, należy jak najszybciej uzyskać informacje na ten temat. Dlatego właśnie zdolność do wykrywania oszustw związanych z przejmowaniem kont w czasie rzeczywistym ma kluczowe znaczenie.
ATO jest nieustanne, ponieważ scenariusze ataków ciągle ewoluują, a nowe narzędzia są ciągle opracowywane, aby można je było kupić w Dark Web. W tym właśnie może pomóc sztuczna inteligencja w połączeniu z systemem ciągłego wykrywania nadużyć, który wykorzystuje reguły nadużyć.
Strategiczne znaczenie systemu zapobiegania nadużyciom finansowym
Obszar zagrożeń związanych z oszustwami polegającymi na przejęciu konta stale się rozszerza ze względu na liczbę metod, które przestępcy mogą wykorzystać w celu uzyskania dostępu do kont swoich ofiar. To sprawia, że zbudowanie skutecznego systemu zabezpieczającego przed wszystkimi możliwymi scenariuszami przejęcia konta jest dla instytucji finansowych szczególnym wyzwaniem. Jednak system zapobiegania oszustwom, który opiera się na połączeniu reguł antyfraudowych i uczenia maszynowego, zapewnia analizę ryzyka w czasie rzeczywistym, która jest lepsza w wykrywaniu, ograniczaniu i zarządzaniu oszustwami.