Александр Холл , основатель Dispute Defense Consulting , объясняет, что такое экосистема мошенничества и что можно сделать, чтобы выявить слабые места ваших систем идентификации.
С высоты 30 000 футов экосистема мошенничества и киберпреступности проста, но разнообразна. Происходят три основных процесса: получение информации, продажа/обмен информацией и использование информации. В зависимости от положения преступника в цепочке операций эти процессы могут принимать самые разные формы, но в этом мыслительном процессе «информация» может означать разные вещи:
- идентификационная информация, такая как номер социального страхования, дата рождения, имя, адрес и т. д.
- платежная информация, такая как информация о кредитной/дебетовой карте и информация о чеке
- системные знания, такие как политики и системы проверки, используемые такими компаниями, как продавцы, банки, поставщики услуг и т. д.
Эти элементы представляют собой то, что я называю «тремя столпами мошеннической деятельности». Каждая транзакция имеет эти компоненты — например, интернет-магазин принимает оплату за заказ (платежная информация), получает информацию о доставке (идентификационная информация), и заказ проходит через систему продавца (системные знания).
Вот где экономика этой системы вступает в игру. Все, от продуктов и товаров до лекарств, услуг, предоплаченных подарочных карт, украденной информации об учетной записи и многого другого, обменивается на чужой кладезь украденной информации. Анонимность и уклонение от правоохранительных органов имеют решающее значение для обеих сторон, поэтому обе стороны принимают меры предосторожности.
Можно еще многое сказать, но это рисует довольно четкую картину того, что происходит в отношении экономики между мошенниками и киберпреступниками.
Обнаружение уязвимостей внутри компании, что приводит к разработке новых методов
За пару лет моей работы в качестве мошенника я накопил бесчисленное количество платежной и идентификационной информации, поэтому проведение транзакций методом проб и ошибок было обычной практикой при разработке новых методов борьбы с бизнесом. Небольшие покупки были введены в систему с различной информацией, чтобы выяснить, что работает.
Эти транзакции не будут связаны ни с одним из моих текущих адресов, ни с какой-либо реальной информацией, которую я сейчас использовал. Заказы выполнялись или не выполнялись, но я отслеживал посылки до их доставки или отмены и делал пометки. Это называется тестированием пера и созданием списка сайтов для карточных игр, однако, когда я был мошенником, я называл это «составлением контрольного списка».
Отмеченные результаты этих транзакций будут сильно различаться и могут применяться ко многим различным передачам стоимости внутри компании:
- в транзакциях я обнаружил использование сгенерированных номеров кредитных карт, сопровождаемых малой или отсутствующей проверяемой идентификационной информацией, а также потребность в полной и правильной платежной информации, наряду с месяцами создания профиля (необходимо связать новую информацию с личностью до запроса и получение новой кредитной линии);
- при взаимодействии со службой поддержки я узнал, что возможна переадресация пакетов, заказы по телефону могут обходить функции безопасности веб-сайта и многое другое;
- в бухгалтерском учете возмещение может быть выдано на разные имена, не связанные с первоначальной платежной информацией.
Вечный характер мошенничества
Каждая компания подвергается мошенничеству, это суровое напоминание. Компании существуют где-то вместе с неписаным списком, основанным на трудностях, с которыми сталкивается мошенник, пытаясь использовать их операции.
Организованные мошеннические операции гибки, устойчивы и динамичны, в то время как у продавцов есть процессы утверждения, правила соответствия и т. д., которые мешают им думать о своих мыслях и быстро реагировать.
Что продавцы могут сделать для выявления слабых сторон системы ДО того, как подвергнуться атаке
Ранее я использовал термин «передача стоимости». Идея заключается в том, что мошенники не ограничиваются формами оплаты для своих попыток использовать систему. То, что выглядит как хорошая транзакция во время оформления заказа, может адаптироваться и превратиться во что-то совершенно другое. Методы, которые я разработал, использовались для эксплуатации компаний любого размера, атакуя различные точки соприкосновения по пути. При этом важно понимать двойственность между путешествием клиента и непреднамеренным путешествием мошенника. Имея это в виду, я разработал 4-этапный процесс разработки стратегии, который я использую с продавцами и поставщиками услуг по всему миру.
Процесс разработки стратегии предотвращения мошенничества
Определить . Укажите ТОВ, в которых участвует ваша компания. Это могут быть розничные транзакции (как в магазине, так и в Интернете), оплата услуг, кредитные линии, возвраты, возмещения, сохраненная платежная информация и многое другое. Определив различные способы взаимодействия вашей компании с общественностью, вы получите хорошее представление о том, за чем могут прийти мошенники.
Установите данные/мониторинг . Обращая внимание на данные, связанные с каждым TOV на протяжении всей вашей деятельности, вы можете начать видеть эффект, который мошеннические/нечестные потребители оказывают на вашу прибыль. Это поможет вам понять свои потери/оправдать свой бюджет на решение вопросов.
Автоматизация . Поставщики услуг по предотвращению мошенничества проделывают потрясающую работу, распознавая тактику, которая существует в данных. Работая с торговыми сетями и агрегированными данными, они могут внедрить процессы динамического определения, которые помогут уменьшить потери и устранить затраты на ручной анализ транзакций.
Повторяю : ваша компания намерена расти, верно? При этом помните об изменениях в политике и процедурах, сопровождающих этот рост, и повторяйте процесс. Найдите и поддерживайте баланс между безопасностью продавца и удовлетворенностью клиентов.
Автор Александр Холл
Источник thepaypers.com