アカウント乗っ取り詐欺や顧客との摩擦のリスクを冒さずにデジタル イノベーションを導入するための 4 つのヒント
多くのオンライン商人やサービス組織は、次のような矛盾に直面しています。 電子商取引やオンライン サービスを狙ったサイバー攻撃の数と影響が急増する一方で、顧客はより便利なデジタル サービスを求めています。 これにより、オンライン ビジネスは、デジタル イノベーションに対する顧客の好みを取り入れようとする一方で、詐欺やその他のサイバー犯罪のリスクが高まるという不幸な立場に置かれています。
この難問の中心には、3 つの主な要因があります。 まず、組織が展開する新しいデジタル サービスや電子商取引サイトごとに既存の攻撃対象領域が拡大し、犯罪者の標的が拡大し、検出と軽減がより複雑になります。 次に、ほとんどの組織では、サイバー犯罪に対する防御に最も重点を置いているグループはセキュリティ チームと詐欺対策チームですが、これらのチームはそれぞれ独自のサイロ内に存在していることが多く、サイバー戦略や防御戦術について連携することはほとんどありません。 これにより、攻撃を制限または防止し、侵害や詐欺をより迅速に阻止できるサイバーセキュリティへの協調的なアプローチが妨げられます。
最後に、皮肉なことに、特定の顧客の習慣や行動により、オンラインベンダーやサービスプロバイダーの露出が無意識のうちに増加します。 Google の調査によると、消費者の約 3 分の 2 が複数の Web サイトで同じ認証情報 (ユーザー名とパスワード) を再利用しています。 そして、誰が彼らを責めることができるでしょうか? BuiltWith の電子商取引利用分布レポートによると、インターネット上には 3,300 万近くの電子商取引サイトがあり、ほぼすべてのサイトで購入時に何らかのユーザー名とパスワードが必要になります。
ただし、認証情報を繰り返し再利用すると、サイバー犯罪者やその自動ボットの軍団によって簡単に悪用される脆弱性が生じます。 Hacker News によると、盗難または侵害された認証情報は、すべてのセキュリティ侵害の 54% を占めており、最も影響力の大きいサイバー脅威ベクトルの 1 つであるアカウント乗っ取り (ATO) につながる可能性があります。 攻撃者は、多数のボットを使用して、大規模な自動ログイン試行(クレデンシャル スタッフィングと呼ばれる手法)を実行し、複数のログイン フォームでどのクレデンシャル ペアが有効であるかを検出します。 侵害された認証情報の大部分は他のサイトのアカウントへのアクセスにも使用されるため、攻撃者はアカウントを乗っ取り、認証情報を変更して正当なアカウント所有者を締め出し、資産を流出させ、アカウントを使用してさらなる詐欺行為を実行することができます。
VentureBeatのレポートによると、 ATOは2022年上半期に急増し、前年同期比131%増加した。 影響は現実です: Javelin 2022 ID詐欺調査によると、米国の成人の22%がATOの被害者であり、 American Bankerのレポートによると、2023年から2027年の間にデジタル詐欺による損失は世界全体で3,430億ドルを超えると予想されています。
多くの電子商取引やオンライン サービスでは、デジタル イノベーションを導入すると、サイバー攻撃や詐欺による損失のリスクも高まることは明らかです。 しかし、それは組織が新しいデジタル顧客サービスや体験へのイノベーションや投資を制限するべきだという意味ではありません。 これは、組織がセキュリティや詐欺の脅威からデジタル チャネルを保護するために技術革新を採用する必要があることを意味します。
デジタルイノベーションを守るための4つのステップ
ここでは、企業がデジタル チャネル内のリスクを軽減するために実行できる 4 つの予防策を紹介します。
- 悪意のあるボットを軽減します。 インターネット上のトラフィックの半分以上はボットによるもので、その一部は有用なもの(チャットボット、検索エンジンクローラー)ですが、大部分は悪意のあるものです。 悪質なボットは、商品を奪い取り、在庫を蓄え、詐欺を働くための偽のアカウントを作成し、Web やアプリのパフォーマンスを低下させ、クレデンシャル スタッフィングによる ATO を実行する自動攻撃を拡大します。 豊富なクライアント側シグナル収集、集約データ収集、機械学習を活用した高度なボット緩和ソリューションを使用して、ネットワークおよび Web プロパティ上のボット アクティビティを制御し、ATO 防止を自動化することでボット攻撃をリアルタイムで防止します。
- 手動による詐欺行為を止めましょう。 ROI が十分に高くなると、攻撃者は監視がより困難な手動詐欺によって自動化防止制御を回避します。 デジタル チャネルで手動の ATO 詐欺を特定するには、ユーザーの身元の真実性を評価し、その意図を確立する必要がありますが、正当な顧客のユーザー エクスペリエンスに影響を与えずに実行する必要があります。 今日の高度な不正防止ソリューションでは、検証済みの人間のデータでトレーニングされた AI ベースのシステムを使用して真実と意図を評価し、実際の顧客のカスタマー ジャーニーを中断することなく、手動による不正をリアルタイムで阻止します。
- セキュリティ チームと不正対策チーム間の組織的なサイロを解消します。 詐欺対策チームとセキュリティチームはどちらもサイバー攻撃の複雑さに対処していますが、多くの場合、異なる角度から、異なるツールを使用して問題にアプローチします。 セキュリティ チームは、コンピューティング ネットワークと外部向けアプリケーションを侵入や悪用から保護し、詐欺対策部門はオンライン デジタル トランザクションの保護とインシデント対応に重点を置いています。 両方のチームが同じインシデントやエクスプロイトの影響に対処している可能性がありますが、チーム間でコミュニケーションが取れない場合、脅威インテリジェンスが失われ、攻撃の規模が明らかにならなくなる可能性があり、これは攻撃者にのみ有利な状況となります。 詐欺対策チームとセキュリティ チームの連携により、攻撃の可視性が向上し、監視と検出が改善され、より集中的な対応が可能になります。
- 顧客体験を中断することなく不正行為を削減します。 組織が自動化されたボット トラフィックを軽減し、手動による不正行為に対する保護を設定し、不正行為とセキュリティ チームを統合して連携を強化し、エクスプロイトに対してより効果的な対応を行うための措置を講じれば、顧客体験プロセスに摩擦を加える従来の不正行為防止防御を縮小できるようになります。 言い換えれば、詐欺リスクが制御されると、企業は煩わしい CAPTCHA パズルやその他の煩わしいチャレンジ レスポンス テストを大幅に排除し、デジタル チャネルに詐欺リスクを持ち込むことなく、正当な顧客に対して大幅に改善されたユーザー エクスペリエンスを提供できるようになります。
電子商取引サイトやその他のデジタル サービスを拡大しても、サイバー攻撃のリスクが拡大する必要はありません。 F5 Distributed Cloud Bot Defenseなどの高度なボットおよび詐欺対策ソリューションは、攻撃者より一歩先を行くと同時に、煩わしいセキュリティ上の摩擦を排除し、顧客のオンラインでの安全性とエクスペリエンスを向上させるのに役立ちます。 Distributed Cloud Bot Defense は、脅威インテリジェンス モデリングや機械学習などの高度なテクノロジーを使用して攻撃者の手法を検出し、詐欺や ATO に最大限の効果で対抗するための適切な対策をリアルタイムで展開します。これにより、組織は詐欺や顧客からの摩擦のリスクを負うことなくデジタル イノベーションを導入できます。
ボットが組織に与える経済的影響を知るには、無料のボット管理ビジネスROI コンサルティング セッションをスケジュールしてください。 アカウント乗っ取りにつながるクレデンシャル スタッフィング攻撃の詳細については、F5 の電子書籍「Credential Stuffing 2022」をお読みください。 最新の攻撃傾向とツール。 または、このソリューションの概要を読んで、F5 Distributed Cloud Bot Defense がオンライン チャネルを攻撃や詐欺から保護するのにどのように役立つかを学んでください。