Технологический мир постоянно развивается и относительно недавнее широкое применение двухфакторной аутентификации (2FA) - она появилась немногим больше 10 лет назад - или мульти-факторной аутентификации (MFA) уже стало привычным. Массовое применение решений на основе 2FA позволило существенно снизить риски мошенничества и эффективнее противостоять фрод-атакам в цифровой среде. Если Вы читаете эту статью и только думаете о внедрении решений на основе 2FA, мы можем однозначно сказать, что внедрение такого решения с большой вероятностью принесет Вам и Вашим клиентам существенную пользу.
Онлайн-мошенники постоянно разрабатывают новые методы кражи персональных данных клиентов. Из-за этого все больше онлайн-бизнесов приходят к заключению, что внедрение двухфакторной аутентификации становится неотъемлемой частью повышения уровня безопасности систем и учетных записей пользователей. Двухфакторная аутентификация предоставляет дополнительный уровень защиты для получения доступа к веб-сайту, приложению или ресурсу, обеспечивая подтверждение личности пользователя через два разных фактора, например, такие как пароль и одноразовый код, получаемый через SMS или приложение. Это помогает предотвратить несанкционированный доступ к аккаунтам и защитить ценные персональные данные клиентов от онлайн-мошенников.
Мы написали эту статью в первую очередь для тех, кто уже давно освоил и активно использует решения на основе 2FA/MFA. К сожалению, онлайн-мошенники постоянно разрабатывают новые методы обхода систем безопасности и системы 2FA/MFA не являются исключением. В последние несколько лет мы активно изучаем возникающие риски как связанные с заявочным фродом, так и с проблемами защиты личных кабинетов. Мы столкнулись с ростом большого числа новых форм угроз и атак, которые стали проявляться с распространением систем защиты на основе 2FA. Какие это риски? Приведем несколько групп примеров:
Технический фрод - синтетические аккаунты, социальный инжиниринг, удаленный доступ, total account takeover и ряд других форм фрод-атак;
Социальный фрод - семейный фрод (например, когда внучка берет кредит на свою бабушку), множественные учетные записи (multi-accounting), кредитный шоппинг и ряд других форм.
Какие подходы существуют к противодействию данным группам-рисков? Приведем наиболее часто встречающиеся и наиболее эффективные решения:
Анализ риск-сигналов логина или использования учетной записи;
Построение системы мониторинга и снижения числа дублирующих или дополнительных учетных записей у пользователя (если это излишне для предоставления услуг клиенту);
Проверка на совпадение деталей логина/ использования учетной записи с предыдущей сессией пользователя, включая детали устройства и интернет соединения;
Введение скоринга риск-событий и/или сигналов для выявления наиболее рискованных сессий в случаях, когда речь идет о риске материальных потерь (например, открытие кредитной карты онлайн или взятие кредита);
Введение 3FA+ как дополнительного инструмента проверки в случае наличия риска выше среднего. Какие возможны решения: дополнительные вопросы пользователю о том, что должно быть известно только владельцу учетной записи и желательно не должно быть связано с персональными деталями учетной записи (например, сколько счетов в банке оформлено у человека).
Кроме того, следует особо отметить индексы и маркеры высокого риска JuicyScore, которые позволяют выявить дополнительно фрод-сегменты совместно с инструментами 2FA.
- IDX1 Stop Markers - Комбинация из 50+ редких событий с высокой вероятностью мошенничества через технические манипуляции с устройством;
- IDX2 User Behaviour Markers - Комбинация поведенческих маркеров, включая частотные характеристики и параметры онлайн-поведения виртуального пользователя;
- IDX3 Device Markers - Комбинация вторичных маркеров риска по устройству, включает в себя различные параметры устройства и аномалии по устройству;
- IDX4 Connection Markers - Комбинация сетевых параметров и аномалий;
- Duplicating device - Повторное заявление с того же устройства в течение минимального срока действия займа по настройкам учетной записи кредитора;
- Same device - Соответствие устройства предыдущего и текущего заявлений для связанных устройств и пользователей;
- Total num of applications with browser hash in 1 hour (/ 1 / 7/ 30 days) - Общее дополнительное количество заявлений (для текущего подписчика сервиса) к данному пользователю с указанным хешом браузера за последние 1 час (1/7/30 дней);
- Less tenor days - Признак того, является ли данная заявка повторной за период меньший, чем количество дней, указанных в предыдущей заявке;
- Time on page - Продолжительность заполнения страницы с формой и др.
Каких результатов можно достичь после внедрения дополнительной защиты в рамках работы 2FA?
Внедрение решений на основе JuicyID для усиления защиты личных кабинетов дает не только снижение рисков мошенничества, но и повышает экономическую эффективность онлайн-бизнесов за счет снижения операционных и кредитных потерь.
JuicyID – это облегченная версия JuicyScore. Продукт предназначен для защиты аккаунтов в онлайн-сервисах и отличается высокой скоростью ответа.
Возвращаемые в ответе Device ID, самый стабильный и устойчивый на рынке цифровой отпечаток устройств и вектор из 100 атрибутов, позволяют выстраивать различные правила предотвращения риска мошенничества и недобросовестных действий виртуального пользователя и соблюсти баланс окупаемости и затрат, учитывая, что предотвращение риска мошенничества в онлайн-канале является одной из основных проблем бизнеса на сегодняшний день.
Стоп-маркеры позволят выявить сегмент заявок с риском мошенничества и с высоким риском на ранних этапах фильтрации заявок: переменные вектора JuicyID позволят снизить уровень социального фрод риска в потоке, Индексы IDX1 - IDX4 могут быть использованы при построении моделей кредитного скоринга для заявок, успешно прошедших все этапы предварительной фильтрации. Данные модели способствуют выделению сегментов как с высоким риском дефолта для автоматического отсева, так и сегмегментов низкого риска для увеличения уровня одобрения.
JuicyID является оптимальным решением для защиты личных кабинетов пользователей, особенно в случае, если физический пользователь не привязан к одному виртуальному личному кабинету. Также JuicyID отлично помогает выявлять случаи мультиаккаунтинга, а также выявляет любые случаи использования множественного набора персональных данных для недобросовестных целей. JuicyID также отлично подходит для продуктов, где есть требование по скорости ответа.
Это только первая статья посвященная нашим исследованиям в области риск-менеджмента по защите учетных записей и личных кабинетов с использованием 2FA. В следующем году мы затронем ряд других аспектов существующих рисков.