デジタル化が進む世界では、詐欺の傾向は常に変化し、進化しており、消費者、電子商取引ベンダー、金融サービス組織に対する脅威は、数だけでなく巧妙さも増しています。 電子商取引詐欺による総コストは、2022年の410億ドル強から2023年には世界全体で480億ドルを超えると予測されています。 詐欺によるコストが増加した理由は、パンデミックによるオンライン決済やオンラインショッピングの急増、ウェブからユーザー情報を抽出するマルウェアやボットの蔓延、人間の脆弱性を狙ったソーシャルエンジニアリング詐欺など、多岐にわたります。
デジタル化以前の世界では、詐欺には慎重な計画と隠密さが必要でしたが、今日では、個人や企業を騙すために必要なツールはオンラインで簡単に入手できるため、参入障壁が低くなっています。 仮想マーケットプレイス、デジタルウォレット、そしてあらゆるものの継続的な自動化により、犯罪者はこれまで以上に大きな標的を持つだけでなく、企業に侵入して個人のアカウントを攻撃するのに役立つ高度なツールとテクノロジーも手に入れています。
2023 年に詐欺と戦うための 5 つのヒントを確認し、サイバー犯罪者が今年、電子商取引や金融サービス組織を狙うために使用する最新の脅威やエクスプロイトに先手を打ってください。
- 複数のセキュリティ戦略を調整および統合することで、顧客エクスペリエンスを損なうことなく、より効果的に不正行為に対処します。
小売業者や金融サービス組織は、組織全体のセキュリティ、顧客 ID およびアクセス管理(CIAM)、不正検出、認証の各チーム間の連携を強化する必要があります。 犯罪者は、サイロ化されたチームや、CAPTCHA や多要素認証 (MFA) 技術に過度に依存したセキュリティ戦略によってもたらされた脆弱性を簡単に悪用できます。 これらのメカニズムは、ログイン試行によって生じるリスクのレベルに関係なく、ユーザー エクスペリエンスを継続的に中断します。
透明性が高く継続的なリスクベースの認証アプローチにより、小売業者や金融サービス企業は、組織内の複数のチーム間でより効果的に連携し、ユーザーエクスペリエンスに悪影響を与えることなく、俊敏で信頼性が高く、ノイズの少ない不正検出戦略を実装できます。
- 不正行為を防止するための従来のオムニタッチポイント戦略を拡張し、顧客体験全体にわたる総合的な可視性と洞察を取り入れます。
この戦略では、見落とされがちな 3 つの主要領域に重点を置く必要があります。
- 最初のチャネルエンゲージメントから始めましょう: 顧客がチャネルにアクセスしたりアカウントを作成した瞬間から、顧客のアクティビティに焦点を当てます。 これにより、デジタルスキミングやフォームジャッキングなどのクライアント側の攻撃に対する可視性が向上します。これらの攻撃は、新規アカウントの作成時に認証情報やカード情報を収集するためによく使用され、最終的にはアカウントの乗っ取りや詐欺につながります。
- サードパーティの API 統合を調べます。 ウェブ アプリやモバイル アプリに加えて、小売業者や金融サービス企業は、セキュリティ戦略に API 保護も組み込む必要があります。 API は、Web アプリを標的とするのと同じ攻撃、つまりデータ侵害や詐欺につながる悪用や悪用、サードパーティの統合やエコシステムからの意図しないリスクの導入の対象となります。
- カード非提示 (CNP) 取引による不正の可能性を確認します。 近接ベースのチェックアウト、オンライン購入・店舗受け取り (BOPIS)、今すぐ購入・後払い (BNPL) などの新しいサービスを提供する小売業者は、これらの取引に伴うリスクを理解し、詐欺防止戦略でそれらに対処する必要があります。 これには、不正行為のパターンに関する洞察を得て、それをすべてのチャネルで共有することが含まれます。
- 不況環境における新たなフレンドリー詐欺の課題に注意してください。
不況時に小売業者が増加を予測すべき新しいタイプの友好的詐欺の主なものは「偽の友好的詐欺」です。これは、犯罪者が合成 ID を作成して実際の顧客のように見せかけ、購入した商品の支払いを意図せずに取引を行う場合に発生します。 偽のフレンドリー詐欺の実行者は、盗んだ個人情報を簡単に再利用し、新しい合成 ID を作成して新しいアカウントを開設し、拒否リストによるブロックを回避できるため、防止対策を巧みに回避することができます。 これらのフレンドリー詐欺行為には、BNPL プログラムの悪用、ロイヤルティ ポイントおよび払い戻し詐欺、バストアウト詐欺などが含まれます。
機械学習で強化された行動生体認証パターンからの洞察を活用して、セキュリティチームと詐欺チームの両方に侵害されたアカウントに関する洞察を提供し、合成 ID による新規アカウント登録を防ぎます。
- デジタル決済に関する新しい規制を含む EU の決済サービス指令 3 (PSD3) に備えてください。
決済サービス指令が 2018 年に最初に導入されて以来、小売業者と銀行に対する脅威、決済、規制の状況は劇的に変化しました。 PSD3 の強化された規制に備えるために、小売業者と銀行は、最近導入した新しいサービス、チャネル、支払いオプションを把握する必要があります。 たとえば、現在デジタルウォレットや暗号通貨による支払いをサポートしていますか? サードパーティ プロバイダーからのさまざまな形式の新しい API をシステムや Web プロパティにいくつ統合しましたか?
小売業者や金融サービス組織は、既存の API および認証戦略に対するコンプライアンス リスクの考え方にのみ重点を置くのではなく、脱却する必要があります。 最新の API 環境がもたらすセキュリティおよび詐欺のリスクを全面的に予測し、管理する必要があります。
- シャドー API と JavaScript サプライチェーン攻撃、そして今後のPCI DSS (Payment Card Industry データ セキュリティ Standard) 4.0に備えましょう
組織がサードパーティのエコシステムを拡大し、サイト上のスクリプトの数が増えると、デジタルスキミング、フォームジャッキング、Magecart 攻撃などのクライアント側攻撃につながる可能性のある新たな潜在的な脆弱性が生じます。 デジタルスキミング攻撃は、犯罪者が 1 つまたは複数の悪意のあるスクリプトを挿入するか、正当なページまたはapplication上の既存のスクリプトを操作して、ソフトウェアサプライチェーンのマン・イン・ザ・ブラウザ攻撃を作成するときに発生します。 これらのスクリプトは第三者によって頻繁に更新され、組織がセキュリティレビューを実行するプロセスがない場合が多いため、これらの攻撃を検出することは困難です。
さらに、新しい PCI DSS 4.0 要件では、支払い処理 iFrame、チャットボット、広告、ソーシャル共有ボタン、追跡スクリプトなどの機能を有効にするために電子商取引 Web サイトに組み込まれているブラウザベースのサードパーティ JavaScript ライブラリを監視および管理する必要性に重点が置かれます。 新しい PCI DSS 4.0 要件への準拠は2025 年まで義務付けられていませんが、クライアント側への攻撃は現在ますます一般的になっているため、強化された保護をできるだけ早く導入してください。
組織は、Webapplicationsで実行されているJavaScript ライブラリを可視化する必要があるだけでなく、GDPR や CCPA などのデータ プライバシー規制に違反するのを防ぎ、新しい PCI DSS 4.0 要件 6.4.3 および 11.6.1 への準拠を維持するために、スクリプトが収集するデータを把握する必要もあります。
ほとんどの組織では、スクリプト管理に対する集中的な制御とガバナンスが確立されていません。 サイト上のサードパーティ スクリプトに脆弱性があり、そのことに気付いていない場合は、パッチを適用することはできません。 犯罪者は、多くの組織が現在 Web サイトに埋め込まれているスクリプトの量、範囲、規模の管理、追跡、保護に苦労していることを知っており、これらのスクリプトを悪用して利益を得る方法も知っています。