减少身份欺诈,同时改善金融服务中的数字客户体验 白皮书 目录 Introduction 确认开户和账户持有人的身份是金融部门迫在眉睫的一项昂贵责任。如果没有适当的监督和控制,它将导致巨额损失,政府罚款和声誉受损的威胁。 这场大流行将数百万人隔离在家中,企业和金融服务部门迫切希望为他们服务。这种情况推动消费者进入数字革命,在线支付和银行的采用率惊人。在线数字活动的爆炸式增长很快就引发了欺诈浪潮。肇事者发现了传统欺诈模式的弱点,让金融机构(FI)处理85-95%的欺诈性申请人企图。 因此,金融机构在欺诈检测措施方面投入了更多资金,但他们难以跟上身份盗窃和相关威胁的演变和后果,包括其日益普遍和复杂的攻击方法。 该行业面临的最大挑战之一是需要平衡从应用流程到交易的效率和积极的客户体验,同时无缝地转移欺诈。客户期望快速,无摩擦,实时的在线互动,尽管FI客户不如电子商务客户善变,但如果他们面临持续的障碍,他们会毫不犹豫地寻求其他服务。 但是,当并非所有客户都带来相同的风险时,您如何建立信任?将低风险客户与高风险客户进行相同的严格验证步骤不仅没有必要,而且价格昂贵 ,还会导致业务损失。幸运的是,新工具使FI能够减轻身份盗窃风险,同时简化用户体验。 身份欺诈的状态 最常见的应用程序欺诈形式 •开立支票账户 •获取信用卡 •购买手机 (来源:艾特,“美国身份盗窃:史塔克现实”,2021年) 帐户接管,新帐户开立和应用程序欺诈长期以来一直困扰着金融服务部门。为了反击,金融机构一直在部署更多的控制措施。然而,网络犯罪分子继续寻找新的和新颖的方式来实施数字欺诈。 在过去的一年中,接受调查的金融机构中有84%经历了帐户收购。这些欺诈活动对金融机构的主要后果包括: •欺诈性交易(45%的金融机构经历过) •创建新账户(31%) •资金转移或可替代价值(24%) 在美国,所有行业的身份被盗造成的损失增长了43%,从2019年的5025亿美元增长到2020年的7124亿美元。虽然推动这一增长的COVID-19计划预计将会减弱,但身份盗贼将继续利用新的全球趋势。 例如,由于大流行期间流动性有限,35%的消费者增加了对网上银行的使用。消费者行为的变化和对在线交易的更强依赖为身份欺诈创造了沃土。2021年第一季度,网上银行交易占金融机构活动的96%,也是最具针对性的攻击面,占所有欺诈企图的93%。 普通FI客户-甚至是那些技术更精通的客户-都依赖于组织来保护他们的帐户信息以防止欺诈。消费者通常: •使用较差的网络安全卫生条件,例如弱密码或重复使用的密码 •在没有足够安全性的设备上进行在线交易 •缺乏对最新社会工程和网络钓鱼技术的认识 反过来,不良行为者意识到,针对越来越多的数字服务消费者而不是试图绕过金融机构的安全控制要容易得多。尽管金融部门本身也看到了网络攻击的公平份额,但客户-而不是金融机构的安全漏洞-已成为最薄弱的环节。 然而,客户希望他们的FI能够保护他们免受邪恶活动的影响,53%的人说这是FI的工作(47%的人把责任推给政府,40%的人把责任推给他们自己) 。如果他们觉得机构没有充分保护他们的数据和隐私,他们会毫不犹豫地走开。 数字欺诈无止境。暗网上大量的廉价PII和被盗凭证,再加上欺诈者采用的自动化技术,使在线欺诈成为有利可图的工作。数据泄露事件的激增产生了滚雪球效应,将继续加剧帐户收购和新帐户欺诈-继续挑战金融机构保持领先的能力。 难以察觉的欺诈:你无法阻止你看不到的东西 欺诈检测解决方案的复杂程度正在提高。但是,他们错过的一个方面是恶意软件如何放大风险暴露。当客户的计算机或设备被感染时,该系统上的所有数据和活动都在欺诈者的指尖,使他们能够: •窃取PII、凭据和其他信息 •登录各种帐户,包括电子邮件和银行,并进行更改 •在某些情况下完全绕过登录,甚至是多因素身份验证(MFA) •收集可用于社交工程或网络钓鱼的信息 •查看任何更改,如替换的密码,并在暗网上出售更新的数据 •模拟合法客户的浏览器或设备指纹 受感染的系统为在线欺诈和身份盗窃带来了极大的风险。恶意软件提供了解锁王国的众所周知的关键-只要系统仍然受到损害,重置密码甚至应用MFA 等措施都不会完全有效。降低FI的这种风险需要额外的监控和审查,并且首先要了解与恶意软件相关的欺诈行为。 两种类型的身份欺诈需要缓解 1)账户注册或开户欺诈: 欺诈者通过以下方式使用被盗或伪造的身份开设帐户: •冒充合法消费者(“真实姓名欺诈”),使用业内称为fullz或完整的个人数据包在犯罪地下出售 •混合来自不同配置文件的虚假信息和真实数据的拼凑,以创建合成身份受害者或信贷发行人通常不会意识到这种类型的骗局,直到账户被发送到收款。 研究表明,由应用程序欺诈导致的合成身份是FI最关注的攻击类型-52%的受访FI表示担心充分检测攻击并防止这些威胁造成的损失。 2)账户接管(ATO): 网络犯罪分子可以通过多种方式接管现有帐户,包括: •从地下市场购买经过验证的凭证对(用户名和密码) •使用以前的漏洞在暗网上发现的商品登录启动自动的大量凭据填充攻击 •用恶意软件感染消费者设备,并收集浏览器指纹、PII、凭证组合和其他数据一旦进入,欺诈者将更改密码和用户的PII,锁定帐户以耗尽资金或激活新服务。ATO攻击利用了大量被破坏的凭证和消费者重复使用密码的高比率。 仅在2021年,SpyCloud就从地下犯罪分子中重新获取了17亿个凭证,并发现拥有多个暴露密码的用户的密码重用率为70%。 地下数据的作用 数据泄露和恶意软件活动已经创造了大量被盗数据的宝库,网络犯罪分子以多种创新方式运作,这已经不是什么秘密了。许多金融机构不太了解的是,地下数据是身份欺诈攻击的核心。已经被重新捕获和分析的被侵入和恶意软件吸走的数据可以讲述不同级别的客户风险。 身份盗窃资源中心识别2020年有1,108个公开披露的数据泄露事件。到2021年第三季度,泄 露事件的数量超过了2020年的17%。 即使是受损的凭证-犯罪分子最抢手的数据类型-也会根据其“新鲜程度”而有所不同。在将登录名泄露或出售给地下其他人(被用于凭证填充攻击)之前,网络窃贼首先将其用于对高价值帐户的有针对性的攻击。 在获得凭证后,不良行为者立即与可以发起攻击的非常小且受信任的网络共享这些新收获的凭证。人类而不是机器人发起这些攻击以避免被发现。被泄露的凭证几个月甚至几年都不会进入地下市场,这时它们就变成了用于凭证填充攻击的商品数据——以低价出售甚至赠送。 在早期,有针对性的攻击阶段使用的被盗凭证对FI构成了非常高的风险。然而,旨在监控暗网泄露数据的解决方案找不到这些登录,因为它们还没有被广泛共享。与此同时,借助这些凭证对和策略,如社会工程,颠覆登录、MFA和其他机制,网络犯罪分子可以访问高价值账户,并在FI或消费者意识到有问题之前耗尽它们。 常见攻击场景 网络犯罪分子在客户旅程的三个主要阶段从被盗的地下数据中受益: •新开户:欺诈者建立了一个新帐户,该帐户具有来自地下犯罪分子的fullz记录,或通过拼凑被盗数据以形成合成身份。没有任何先前或负面历史,该帐户 应用程序不会通过典型的欺诈检测机制触发危险信号。欺诈者可能会首先使帐户处于休眠状态,但随后会逐渐与FI建立信任,然后最终进行高端购买而无意偿还债务。这被称为“消除欺诈”。 •帐户登录:欺诈者获得被盗凭证对或使用恶意软件直接从消费者的设备获取登录。如前所述,这些ATO事件可能是由针对性攻击或凭证填充攻击引起的。一旦进入,不良行为者可以启动诸如转移资金或更改邮寄地址的操作,然后订购借记卡或支票。 •账户修改:使用类似的ATO策略来访问帐户,欺诈者可以通过更改通知设置和所有联系信息来完全锁定合法客户。由于所有通知都已被转移,帐户持有人没有看到任何危险信号。 只有大约10%的基于凭证的攻击被归类为有针对性的攻击。但他们造成了 80%的损失。 (来源:SpyCloud客户顾问委员会) 常见的误解 FIs可能会怀疑-地下数据不是仅对网络犯罪分子有价值吗?FIs可以使用经过改进和重新捕获的数据来深入了解客户的风险水平并进行反击。确定风险暴露时间和类型的数据只是预测客户风险水平时要考虑的几个因素,因此您可以更聪明地 交易决策。 关键风险指标的影响 在过去的5年中,SpyCloud已从数据泄露,受恶意软件感染的设备和其他地下资源中重新获得了超过1450亿美元的资产。 现在影响了大多数消费者——每个人都在某种程度上面临欺诈的风险。但并非所有风险都是平等的。 影响风险暴露的一些因素包括: •数据曝光的时间线或年龄以及曝光的频率 •暴露的数据类型(例如,促进合成身份创建的泄露的SSN或增加ATO风险的电话号码,因为许多消费者使用它们来验证和认证他们的身份) •感染恶意软件的消费者设备 •密码重复使用率 •可疑相关性(例如,与电子邮件地址链接的多个出生日期可能指示合成身份) 了解客户的地下风险概况和他们所经历的风险暴露的背景有助于FI更快、更准确地主动检测和防止欺诈。数据泄露、被盗PII、凭证窃取恶意软件的日志和安全卫生等智能数据点有助于区分受信任的客户和风险客户。 通过使用此智能并更好地了解您的客户,您可以预测用户风险。这使您能够通过适当的旅程管理每个客户的交易体验,避免流程中断,在必要时更密切地监控某些交互,并提前做出欺诈决策,以创建更无缝的整体交互。 为什么风险暴露对金融机构很重要 在线用户数量的攀升和欺诈损失迫使金融机构投资于更多的欺诈和身份验证解决方案。这些解决方案不仅增加了成本,而且增加了合法客户体验的不必要摩擦。全面建立信任级别可以减少误报、延迟、人工审核和客户中断——这反过来又会导致客户不满、流失和进一步的成本。 大多数消费者期望FI具有最高级别的安全性,以保护帐户,同时最大限度地提高其用户体验。虽然55%的人认为安全性是他们在线体验中最重要的方面 ,但许多人也表示他们会放弃超过30秒的交易。这强调了金融机构需要实施无缝和快速的欺诈分析工具,在预防控制和欺诈缓解与客户体验之间取得平衡。 59%的受访美国消费者和60%的英国消费者希望企业实施强有力的、无形的安全措施. SpyCloud身份风险引擎如何检测风险消费者 正如欺诈从业者所知,预防欺诈永远不会有一个银弹。为了区分合法消费者和犯罪分子,企业将反欺诈解决方案纳入其控制框架,可能没有意识到检测数字身份欺诈的缺失环节是对地下暴露的用户数据的可见性,这使得欺诈者能够绕过传统的欺诈模型。 SpyCloudIdentityRiskEngine基于使用人类智能从犯罪地下重新捕获的数据,提供可操作的预测性欺诈风险评估。SpyCloud的引擎利用数十亿个数据点来评估每个FI客户的风险敞口,并识别身份欺诈风险最高的客户。 FI可以使用客户的电子邮件地址或电话号码,在客户旅程中的易受攻击点查询SpyClodAPI,例如新帐户开户、登录和帐户修改。SpyClod引擎关联与客户相关的地下数据,评估关键风险指标,并返回风险评分以及解释评分的支持信息,可以根据FI的风险承受能力进行调整。 让我们看看两种情况,一种高风险和一种低风险: 场景#1: 1.欺诈者使用由多个合法消费者组成的合成身份申请新帐户。身份验证解决方案可以验证身份,因为它可以找到某些数据的完全匹配,例如名称,IP地址,地理位置和设备ID。 2.SpyClod身份风险引擎被查询并返回87的风险评分,在其庞大的数据库中关联了该用户的数据。SpyClod可识别同一电子邮件地址与其他几个名称和设备相关联,出生日期和社会安全号码与另一个人的邮寄地址、电子邮件和密码相关联。SpyClod还发现,申请人的一些数据最近被暴露在地下。 3.SpyCloud评分为87表示风险级别较高,原因代码和元数据支持风险评分。 4.根据其内部规则,FI标记应用程序以进行手动审核或阻止交易。 场