L’information, c’est le pouvoir, et les détails personnellement reconnaissables (PII) sont une propriété extrêmement puissante qui soutient la croissance rapide des escroqueries en ligne (également appelées identifiant numérique).
PII est n’importe quel élément de données que quelqu’un pourrait utiliser pour déterminer qui vous êtes. Des données historiques telles que votre nom, votre date de naissance ou votre numéro de sécurité sociale vous viennent à l’esprit, mais les sites Web de médias sociaux, les plateformes de commerce électronique, les entreprises de cartes de crédit, les agences gouvernementales fédérales et les entreprises collectent et enregistrent tous des points de données qui peuvent être combinés et traitées pour produire une photo virtuelle de qui vous êtes.
Une fois pensé à un moyen fiable de confirmer les identités, les PII ont fini par être compromis car les violations de la vie privée sont devenues monnaie courante. À tel point qu’il est devenu une marchandise sur les marchés du dark web pour les malfaiteurs utilisant des bots et des réseaux de fraude organisés pour aider à perpétrer des escroqueries à des niveaux inégalés.
Chaque année, les fraudeurs sont de plus en plus calculés dans leurs approches pour consacrer la fraude à une plus grande échelle, 2021 étant une année record pour les violations de données, selon le Identity Theft Resource Center. Plus de 1 862 violations de données signalées se sont produites en 2021, ce qui représente une augmentation de 68 % des violations signalées en 2020. La gravité des attaques de fraudeurs contre des systèmes fragiles augmente avec plus de 290 millions de victimes en 2021, et déjà plus de 20 millions de victimes rien qu’en 2022. Bien que les escrocs ne s’arrêtent pas, les entreprises peuvent prendre des mesures clés pour protéger leurs utilisateurs en comprenant le changement en cours dans leurs habitudes.
Les modifications des habitudes des clients exposent les PII
La pandémie a modifié les comportements des consommateurs d’innombrables façons. Il a en fait refaçonné quoi, où et comment les gens achètent des produits et services, et il a offert aux escrocs industrieux des opportunités de tirer le meilleur parti des individus et des entreprises non préparés à gérer ces modifications.
Nouvelles applications et outils
La rapidité Le développement et l’intégration d’applications à usage personnel et professionnel ont en fait créé un vaste trésor de nouvelles cibles d’informations PII pour les fraudeurs potentiels.
Chaque fois que les gens développent une plate-forme de médias sociaux la plus récente ou sont tenus de se connecter à des applications d’efficacité et de communication comme Slack ou Zoom pour le travail, il y a une augmentation de la quantité de leurs PII dans l’univers en ligne. Lorsque l’on prend en compte un monde lié d’appareils électroménagers et de gadgets intelligents, une grande surface d’attaque est développée, et ces dernières années, il a été difficile pour les entreprises de résister aux mauvaises étoiles déterminées et avancées avec des piles d’escroqueries traditionnelles.
Convivience over attention
Alors que de plus en plus d’activités quotidiennes se sont déplacées en ligne et intégrées aux téléphones mobiles, l’automatisation est devenue un élément crucial de l’expérience utilisateur. Des outils tels que les préremplissages PII sont souvent considérés comme des méthodes conviviales pour accélérer le développement de nouveaux comptes, faciliter l’intégration numérique et mobile et minimiser généralement les frictions au sein de l’expérience en ligne.
Malheureusement, les fraudeurs ont utilisé les fonctionnalités de remplissage automatique des PII intégrées aux navigateurs Internet et aux applications dès 2013, mais l’utilisation courante de ces outils, en particulier sur les téléphones mobiles, a en fait produit un boom pour les bots. et les attaques de réseaux d’escroqueries.
L’augmentation des réseaux de fraude
Avant la pandémie, de nombreuses fraudes en ligne étaient commises par des personnes ou de petits groupes et étaient de simples tentatives d’accéder aux informations d’un individu ou à des comptes professionnels ou étaient des usurpations d’identité au niveau du demandeur. Cependant, les programmes de secours en cas de pandémie tels que les prêts PPP ont démontré la valeur d’attaques à grande échelle à hauteur de 100 milliards de dollars, selon le U.S. Trick Service.
Cette augmentation du volume et de la sophistication des attaques trompeuses L’activité peut être attribuée au développement de réseaux de fraude – des cercles organisés de criminels qui travaillent en tandem sur le spectre de la fraude d’identité.
Bien qu’il soit tentant d’imaginer un équipage fringant et audacieux à la Oceans 11, le fait est que les réseaux de fraude fonctionnent de manière ordinaire et professionnelle. D’un côté, ils collectent des informations personnelles sensibles via des violations, des analyses sociales, des e-mails de phishing et des sites Web suspects. Ces informations personnelles sont ensuite vendues via des forums Web sombres et utilisées par des personnes et des groupes pour développer des identités synthétiques en masse. Ces identités virtuelles sont ensuite utilisées pour ouvrir des comptes, acheter des produits et des services, ou encore plus distribuer des logiciels malveillants à d’autres fins (par exemple, des logiciels espions, des rançongiciels).
Les réseaux de fraude utilisent un certain nombre d’exactes mêmes techniques que les méchants privés et les groupes de plus petite taille, mais en s’organisant et en tirant parti d’innovations telles que l’IA et les bots, l’échelle à laquelle ils fonctionnent et les biens mal acquis les profits qu’ils peuvent obtenir sont à une échelle infiniment plus grande.
Impitoyable et reproductible
Que ce soit pour des raisons politiques ou financières, les réseaux de fraude ont également l’avantage d’être impitoyables. Une main-d’œuvre et une technologie abordables se combinent pour leur permettre de vérifier les systèmes qui accèdent rapidement aux IPI vulnérables pour voler et compromettre en permanence. Lorsque les escrocs en découvrent un, ils l’exploitent avec une efficacité optimale.
C’est rarement le cas avec les réseaux de fraude, car ils prospèrent comme toute autre organisation en produisant des options reproductibles et en recherchant des « consommateurs » parfaits. Lorsqu’un réseau de fraude identifie un point faible dans une innovation, des piles de détection d’escroqueries héritées obsolètes ou un processus et des traitements médiocres sur place, il continuera à se consacrer à la fraude jusqu’à ce que la vulnérabilité soit résolue. Ils recherchent également d’autres entreprises présentant des vulnérabilités comparables (telles que celles exécutant des logiciels obsolètes ou non corrigés) où ils peuvent utiliser les mêmes outils et tactiques. Avec les piles de fraude héritées axées sur les informations post-soumission, ces réseaux de fraude ne sont généralement pas identifiés tant que l’activité criminelle n’a pas déjà été commise.
Le problème avec la pile conventionnelle d’évitement de fraude
L’innovation de détection de fraude basée sur les PII est essentiellement sans valeur pour empêcher les identités synthétiques d’utiliser les PII prises.
La promesse de l’intelligence artificielle ne s’est pas concrétisée car de nombreuses technologies actuelles sur le marché ne peuvent pas être formées pour trouver des conceptions artificielles d’escroqueries d’identité numérique avant la vérité.
La vérification d’identité standard basée sur des documents est également insuffisante, car les pièces d’identité utilisées au moment de la demande peuvent être authentiques – elles peuvent toujours rester entre les mains de quelqu’un dont elles ne viennent pas.
En termes simples, la vérification d’identité basée sur les PII dépend d’informations PII historiques qui sont rapidement violées et/ou compromises, sans aucun lien identifiable avec la personne qui les utilise à ce moment-là. Cela implique, avec les piles de fraude traditionnelles, si un fraudeur ou un bot saisit toutes les informations précises d’un utilisateur fourni, il ne sera pas signalé comme dangereux.
C’est là qu’intervient l’analyse comportementale et, si elle est correctement intégrée, ajoute un niveau de sécurité contre la fraude pour les entreprises à la porte d’entrée, pour arrêter la fraude avant qu’elle ne se produise en analysant les informations de pré-soumission des utilisateurs.
Le passage de la détection post-soumission à la détection pré-soumission
Le problème avec les piles de détection d’escroqueries, même les plus avancées, est que l’utilisation de PII pour valider et confirmer l’identité nécessite toujours que l’utilisateur envoie ses informations avant de pouvoir découvrir une fraude . En déplaçant la détection des escroqueries vers le filtrage préalable des données, les entreprises peuvent éventuellement conserver les milliards de dollars perdus chaque année à cause de la fraude tout en réduisant les positifs incorrects et les frictions avec les clients.
À l’aide de ce que l’on appelle les signaux d’intention numériques basés sur le comportement, les entreprises peuvent « présélectionner » l’identité d’un utilisateur avant de soumettre ou d’examiner toute PII. Voici quelques-uns de ces signaux d’intention :
- Le texte, les types et les balayages des utilisateurs. Ceux-ci sont tous pertinents par rapport à leur intention (par exemple, orthographient-ils mal leur nom ? Oublient-ils leur numéro de contact ?)
- Contrairement aux habitudes d’autres consommateurs confirmés
- Adhésion au profil comportemental de l’utilisateur
- La séquence et le moment des actions ou habitudes
- Alertes d’informations de navigation qui ressemblent à des habitudes de machine ou de robot
Cette pré- soumettre des données de filtrage comportemental peuvent être utilisées pour éliminer les clients qui ne connaissent pas leurs propres informations personnelles, inciter les vrais clients à s’intégrer plus efficacement et minimiser la variété de refus incorrects, de positifs incorrects et de frictions lors de l’ouverture de compte.
Où allons-nous ?
La pandémie a en fait modifié à jamais la façon dont les individus interagissent, s’engagent et échangent des produits et des services. Les services d’évitement des escroqueries et de confirmation d’identité que nous utilisons ne sont pas à la hauteur des toutes nouvelles vulnérabilités développées, du volume de PII compromis, ou de l’élégance et de la ténacité des réseaux d’escroqueries organisés.
Dans le paysage numérique actuel, Les informations personnelles peuvent être rapidement obtenues à partir d’informations en ligne, mais les habitudes sont impossibles à tromper. Avec la couche supplémentaire de sécurité basée sur l’analyse comportementale, les entreprises numériques obtiennent un examen approfondi du risque de chaque utilisateur depuis le haut de l’entonnoir d’intégration, sans ajouter de friction.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
