El mundo de la tecnología está en constante evolución y el uso relativamente reciente y generalizado de la autenticación de dos factores (2FA), que apareció hace poco más de 10 años, o la autenticación de múltiples factores (MFA), ya se ha vuelto familiar. El uso masivo de soluciones basadas en 2FA ha reducido significativamente los riesgos de fraude y ha sido más eficaz para resistir los ataques de fraude en el entorno digital. Si está leyendo este artículo y solo está pensando en implementar soluciones basadas en 2FA, podemos decir con seguridad que es muy probable que la implementación de una solución de ESTE tipo le beneficie a Usted y a Sus clientes de manera significativa.
Los estafadores en línea están desarrollando constantemente nuevos métodos para robar los datos personales de los clientes. Debido a esto, cada vez más empresas en línea están llegando a la conclusión de que la implementación de la autenticación de dos factores se está convirtiendo en una parte integral de la mejora de la seguridad de los sistemas y las cuentas de usuario. La autenticación de dos factores proporciona una capa adicional de seguridad para obtener acceso a un sitio web, aplicación o recurso, asegurando la verificación de la identidad del usuario a través de dos factores diferentes, como una contraseña y un código de un solo uso recibido a través de SMS o aplicación. Esto ayuda a prevenir el acceso no autorizado a las cuentas y protege los valiosos datos personales de los clientes de los estafadores en línea.
Escribimos este artículo principalmente para aquellos que ya dominan y utilizan activamente soluciones basadas en 2FA/MFA durante mucho tiempo.
Desafortunadamente, los estafadores en línea están desarrollando constantemente nuevos métodos para eludir los sistemas de seguridad y los sistemas 2FA/MFA no son una excepción. En los últimos años, hemos estado estudiando activamente los riesgos que surgen tanto en relación con el fraude de solicitud como con los problemas de protección de las oficinas personales. Nos enfrentamos a un número creciente de nuevas formas de amenazas y ataques, que comenzaron a manifestarse con la proliferación de sistemas de defensa basados en 2FA.
¿Cuáles son estos riesgos? Damos algunos grupos de ejemplos:
- Fraude técnico-cuentas sintéticas, ingeniería social, acceso remoto, toma de cuenta total y una serie de otras formas de ataques de fraude;
- Fraude social: fraude familiar (por ejemplo, cuando una nieta toma un préstamo a nombre de su abuela), cuentas múltiples (multi-accounting), compras de crédito y otros tipos de fraude.
¿Qué enfoques existen para contrarrestar estos grupos de riesgo? Aquí están las soluciones más comunes y más efectivas:
- Análisis de señales de riesgo de Inicio de sesión o uso de la cuenta;
- Construir un sistema para monitorear y reducir el número de cuentas duplicadas o adicionales del usuario (si es innecesario para proporcionar servicios al cliente);
- Verificar si los detalles de Inicio de sesión/ uso de la cuenta coinciden con la sesión anterior del usuario, incluidos los detalles del dispositivo y la conexión a Internet;
- Introducción de eventos de Puntuación de riesgo y / o señales para identificar las sesiones más riesgosas en los casos en que se trata de un riesgo de pérdida material (por ejemplo, abrir una tarjeta de crédito en línea o tomar un préstamo);
- La introducción de 3FA+ como una herramienta de verificación adicional en caso de riesgo superior a la media. Qué soluciones son posibles: preguntas adicionales al usuario sobre lo que solo debe ser conocido por el titular de la cuenta y preferiblemente no debe estar relacionado con los detalles personales de la cuenta (por ejemplo, cuántas cuentas bancarias tiene una persona).
Además, cabe destacar los índices y marcadores de alto riesgo de JuicyScore, que permiten identificar segmentos de fraude adicionales junto con los instrumentos 2Fa.
- IDX1 Stop Markers-Combinación de más de 50 eventos raros con alta probabilidad de fraude a través de la manipulación técnica del dispositivo;
- IDX2 user Behaviour Markers-Combinación de marcadores de comportamiento, incluidas las respuestas de frecuencia y los parámetros de comportamiento en línea del usuario virtual;
- IDX3 device Markers-Combinación de marcadores de riesgo secundarios por dispositivo, incluye varios parámetros del dispositivo y anomalías por dispositivo;
- IDX4 Connection Markers-Combinación de parámetros de red y anomalías;
- Duplicating device - Solicitud repetida desde el mismo dispositivo durante el período mínimo del préstamo en la configuración de la cuenta del prestamista;
- Same device- Coincidencia del dispositivo de las solicitudes anteriores y actuales para dispositivos y usuarios relacionados;
- Total num of applications with browser hash in 1 hour (/ 1 / 7/ 30 days) - número total de solicitudes adicionales (para el suscriptor actual del Servicio) a este usuario con el hash del navegador especificado en las últimas 1 hora (1/7/30 días);
- Less tenor days-una indicación De si la solicitud se repite en un período inferior al número de días especificado en la solicitud anterior;
- Time on page-Cuabto tiempo tomo llenar la página con el formulario, etc.
¿ Qué resultados se pueden lograr después de la implementación de la protección 2FA?
La implementación de soluciones basadas en JuicyID para mejorar la protección de las cuentas personales no solo reduce los riesgos de fraude, también aumenta la rentabilidad de las empresas en línea al reducir las pérdidas operativas y crediticias.
JuicyID es una versión ligera de JuicyScore. El producto está diseñado para proteger las cuentas en los servicios en línea y se caracteriza por una alta velocidad de respuesta.
Device ID, la huella digital de dispositivos más estable y sostenible del mercado y un vector de 100 atributos, le permite construir diferentes reglas para prevenir el riesgo de fraude y acciones desleales del usuario virtual y mantener un equilibrio entre la recuperación y los costos, dado que la prevención del riesgo de fraude en el canal en línea es uno de los principales problemas comerciales hoy en día.
Los marcadores de parada identificarán el segmento de las solicitudes con riesgo de fraude y alto riesgo en las primeras etapas del filtrado de solicitudes: las variables del vector JuicyID reducirán el nivel de fraude de riesgo social en el flujo, los Índices IDX1 a IDX4 se pueden usar para construir modelos de calificación crediticia para solicitudes que hayan superado con éxito todas las etapas del filtrado previo. Estos modelos contribuyen a la asignación de segmentos de alto riesgo de incumplimiento para la deserción automática y segmentos de bajo riesgo para aumentar el nivel de aprobación.
JuicyID es la mejor solución para proteger las cuentas personales de los usuarios, especialmente si el usuario físico no está vinculado a una cuenta personal virtual. JuicyID también es excelente para ayudar a identificar casos de cuentas múltiples, así como para identificar cualquier caso de uso de múltiples conjuntos de datos personales con fines desleales. JuicyID también es ideal para productos donde hay un requisito de velocidad de respuesta.
Este es solo el primer artículo dedicado a nuestra investigación de gestión de riesgos sobre la protección de cuentas y cuentas personales utilizando 2FA. El próximo año abordaremos otros aspectos de los riesgos existentes.