Az elektronikus kereskedelem forgalmának bővülésével párhuzamos nő az az összeg, amelyet a csalók tesznek zsebre kihasználva az webáruházak és a piacterek biztonsági kiskapuit. Tudjuk milyen típusú csalások ellen kellene védekezni és hogyan, ám az is kihívás, hogy a vásárlótól várt óvintézkedések ne tegyék kényelmetlenné az e-shoppingolást.
Közhely, hogy a koronavírus-járvány nagy lendületet adott a digitalizációnak, ezen belül az elektronikus kereskedelemnek. Arról kevesebb szó esik, hogy ezzel párhuzamosan ugyanilyen dinamikusan növekedtek a csalások – írta elemzésében a VentureBeat. Az Egyesült Államokban az online kereskedelem értéke várhatóan az idei év végére meghaladja az 1,3 ezer milliárd dollárt.
A gyors növekedéssel sajnos együtt jár a csalások fellendülése is. Az amerikai vállalkozások becslések szerint csak 2023-ban százmilliárd dollárt veszítettek a kibertérben garázdálkodó bűnözők miatt. Az úgynevezett számlaátvételek (ATO) száma néhány év alatt megduplázódott és a mesterséges intelligencia jelentős lökést ad a social engineeringnek.
Az előbbi azt a bűncselekményt jelenti, amikor a csalók elérik, hogy hozzáférjenek áldozataik számlájához. Az utóbbi az Investopedia szócikke alapján azt, amikor gyanútlan embereket megtévesztő viselkedéssel rávesznek arra, hogy bizalmas adatokat adjanak át vagy lehetővé tegyék a hozzáférést személyes rendszereikhez.
A Telesign kiberbiztonsági cég „Reduce friction and combat fraud in ecommerce” (Csökkentse a súrlódásokat és küzdjön a csalás ellen az e-kereskedelemben!) című, nemrégiben megjelent fehér könyvének megállapításai alapján Michael Lappin és Bart Goethals, a vállalat vezető szakértői elárultak néhány tudnivalót az e-kereskedelem biztonsági helyzetéről. Emellett arról is beszéltek, hogyan kezelhetők a csalások.
Nem törődnek eleget a biztonsággal a platformok
„Ma is képes vagyok hamis fiókot létrehozni minden harmadik platformon, még akkor is, ha helyenként több milliárd dollár forgalmú vállalatról van szó. Ez sokkoló” – monda Lappin. „A világ minden vállalkozása felelős az adatai védelméért. Ehhez képest minden egyes percben történik egy online betörés a világban. Nevek, címek, számlainformációk érhetők el a sötét weben” – teszi hozzá Goethals.
Napjainkban hat kiemelkedő csalási kockázat létezik. Némelyik új keletű, a mesterséges intelligenciára épül, némelyik régi. A közös bennük az, hogy bármelyikkel nagy kárt lehet okozni.
Az egyik veszély az említett social engineering, amely magában foglalja az adathalászatot és a személyes hozzáférési kísérleteket is. A hamis fiókkal kapcsolatos csalások is egyre gyakrabban fordulnak elő, mivel a vállalkozások még mindig nem alkalmaznak kellő számú biztosítékot a regisztrálók személyazonosságának ellenőrzésére.
Továbbra is jelentős kockázatot jelent a meglévő fiókok átvétele (lásd a kakukk módszerét), csakúgy, mint a promóciós visszaélések, amelyek során a bűnözők jogosulatlan árkedvezményeket vesznek igénybe. A csalók könnyen felismerik a promóciók vagy a kuponos akciók gyenge pontjait és kiskapuit. Ezen a területen is hiányzik a megfelelő színvonalú védekezés.
A saját neve van a csaló MI-nek: fraudGPT
További tipikus csalásfajta a chargeback, amikor a bankoktól igényelnek visszatérítést indokolatlanul, vagy a mesterségesen felduzzasztott forgalom (AIT), amelyben botokkal nem valós forgalmat generálnak egyes weboldalak körül, besöpörve az ebből származó bevételt.
A mesterséges intelligencia mindezeket a módszereket végtelenül kifinomulttá teszi. Léteznek például olyan csalástámogató eszközök, mint a fraudGPT, amelyek a csaló utasításai alapján képesek adathalászkampányokat indítani. Emellett a csalók titkos ötletbörzéken osztják meg egymással tapasztalataikat, ami még több csalást tesz lehetővé.
Így nem csoda, hogy a biztonság erősítése további lépéseket igényel, például kétszeres hitelesítést vagy személyazonossági igazolványt a beléptetéshez. A nehézséget az jelenti, hogy a kritikus biztonsági ellenőrzések és az ügyfél elégedetté tétele ellentmond egymásnak. A kérdés az, hogy lehet megtalálni e két oldal egyensúlyát.
A kifinomult támadásokra kifinomult választ kell adni!
Mindig van feszültség a költségek és a biztonság között is – derül ki Goethals szavaiból. Ez nem jelenti azt, hogy ne lehetne jó megoldásokat találni. Például vannak olyan gépi tanulási rendszerek, amelyek képesek valós időben jelezni a kockázatot néhány olyan azonosító adat alapján, mint a telefonszám, az IP-cím vagy az e-mail-fiók. Erre alapozva blokkolás-engedélyezési protokollokat lehet kidolgozni.
Ugyanilyen fontos a többlépcsős azonosítás. Ezt főként az indokolja, hogy a csalók opportunisták. Az a webáruház, amely megnehezíti a dolgukat, már ezzel nyerhet valamit, mert a bűnözők keresnek helyette könnyebben „elejthető prédát”. Az ő tevékenységük ugyanis arról szól, hogy rengeteget próbálkoznak viszonylag kevés találat elérése érdekében. Ezért nem vesztegetik az idejüket a nehezen feltörhető rendszerekre.
Fontos még a belépési kódok változásának követése. A webáruházak biztonsági rendszerének ki kell szűrnie például, ha valaki, aki általában 200 dollárért szokott vásárolni, ám hirtelen ötezer dollárt költ. Mindennek automatikusan kell történnie. A Telesign szakértői szerint 2024-ben a webáruházak tulajdonosai a korábbinál is kevésbé tudhatják, ki keresi fel a platformjukat.
Pontosabban csak akkor lehetnek tisztában ezzel, ha konfigurált azonosítási-védekezési mechanizmusaik vannak. Ezekben a hagyományos eszközök az új módszereknek is jelen kell lenniük. Például az említett technológiának, amely képes követni az ügyfelek viselkedésének gyanús mintáit.