تاکتیک های برتر مبارزه با کلاهبرداری برای شرکت‌های خدمات مالی

شیوع و تداوم بیماری کرونا علاوه بر ایجاد مشکلات متعدد در مسیر کسب‌وکارها، فرصت‌های وسوسه‌کننده بسیار زیادی را نیز برای کلاهبراداران به وجود آورده است. بر اساس گزارش رویترز، در سال 2020 میلادی میزان کلاهبرداری‌های ناشی از جعل و تقلب حدود 60 درصد از نرخ ضرر خالص ناشی از حملات سایبری در انگلیس و استرالیا را به خود اختصاص داده است. همچنین با توجه به یافته‌های اپراتور همراه T-Mobile در آمریکا، تماس‌های جعلی صورت گرفته در حوزه خدمات مالی از 1.1 میلیارد دلار در دسامبر 2020 به 2.5 میلیارد دلار در ژانویه 2021 رسیده است.

کارشناسان معتقدند که مؤسسات مالی باید برای مقابله با چنین کلاهبرداری‌های دیجیتالی، از ابزارهایی که امکان تشخیص دقیق و مقابله با این حملات را دارند در سیستم‌های کنترل هویت‌شان استفاده کنند. از این قابلیت می‌توانید در کلیه طرح‌های کلاهبرداری که شامل حملات فیشینگ، جعل از طریق شبکه‌های اجتماعی، پیامک، تماس‌ و غیره باشد استفاده کنید. مجرمان سایبری معمولاً حملاتشان را با هدف سوءاستفاده‌های مالی اجرا می‌کنند ولی ممکن است انگیزه‌های دیگری مثل انتقام از قربانی یا ایجاد خدشه به اعتبار آن هم داشته باشند.

بنا به گفته Ian Mitchell یکی از مدیران همکار شرکت مشاوره Omega FinCrime و بنیانگذار شبکه غیردولتی The Knoble که با جرایمی مثل کلاهبرداری مقابله می‌کند: «کلاهبرداری‌ها معمولاً مرتبط با موضوع هویت هستند».

Mitchell می‌گوید: «مفهوم هویت باید فراتر از فرایند احراز هویت ساده یک کاربر برای یک بانک خاص باشد. راهکارهای احراز هویت نیز باید هوشمند بوده و کلیه تراکنش‌های کل شبکه مالی را در بر بگیرد».

بر اساس گفته‌های Mitchell: «با توجه به تحقیقاتی که در این زمینه انجام داده‌ام، کلاهبرداری‌ها از جمله منابع بزرگ ضرر و زیان مالی هستند. تعجب می‌کنم که بسیاری از ارایه‌دهندگان راهکارهای امنیتی همچنان بر این موضوع که ریشه مشکل کجاست، تمرکز دارند».

چشم‌انداز جعل و تقلب

در سال‌های اخیر کنترل‌های مربوط به اعتبارسنجی و احراز هویت معمولاً جزو اولویت اصلی فروشندگان نرم‌افزار بوده است. با این وجود Mitchell معتقد است که ارایه‌دهندگان نرم‌افزار توجه چندانی به چشم‌انداز رو به رشد و گسترش جعل و تقلب نداشته‌اند. بنا به گفته او: «عدم تقاضا و درخواست زیاد برای دریافت محصولات امنیتی که فراتر از راهکارهای هویتی ساده هستند، از جمله علل عدم توجه فروشندگان نرم‌افزارها به افزایش میزان کلاهبرداری‌های سایبری بوده است».

نرخ رشد مورد انتظار در بازار احراز هویت

براساس گفته Trace Fooshee مشاور استراتژیک شرکت مشاوره امور مالی و بیمه Aite-Novarica:«افزایش چشمگیر کلاهبرداری‌ها در سال‌های اخیر منجر به بروز نگرانی‌های بسیار زیادی در حوزه امنیت سایبری شده است».

او می‌گوید: «همان الگوهای فعالیتی که طی 10 سال اخیر در انگلیس شاهدشان بودیم، به تدریج در بازارهای دیگر ظهور می‌کنند. من نگران تأثیر این مسئله بر اعتماد عمومی نسبت به سیستم اقتصادی کلی هستم».

Fooshee معتقد است که کنترل‌های احراز هویت موجود کافی نبوده و حفاظت در برابر کلاهبرداری‌های جعل هویت کار چندان آسانی نیست. او می‌گوید: «دلیل اصلی چنین مسئله‌ای این است که شخصی که تعامل را شروع می‌کند مالک مجاز حساب یا یک کارگزار مجاز محسوب می‌شود».

بنا به گفته Fooshee: «در حال حاضر سازمان‌ها معمولاً به جای سرمایه‌گذاری برای ایجاد راهکارهای هویتی پیشرفته، بودجه‌شان را صرف توسعه سایر کنترل‌ها می‌کنند. انجام چنین اقدامی از سوی سازمان‌ها منجر به بروز مشکلات امنیتی بسیار زیادی شده است».

Fooshee می‌گوید: «با وجود اینکه سوءاستفاده از هویت می‌تواند پیامدهای مخاطره‌آمیز بسیار زیادی را به همراه داشته باشد ولی کسب‌وکارها سرمایه‌گذاری‌های چندان زیادی برای توسعه کنترل‌های هویتی و ایجاد هماهنگی در بین آنها انجام نمی‌دهند. در حالی که کنترل‌های هویتی باید با یکدیگر و همچنین با سایر کنترل‌ها مثل احراز هویت چند مرحله‌ای مبتنی بر مخاطرات و موتورهای ارزیابی مخاطرات سازگار باشند.

Mitchell نیز ضمن تأیید گفته‌های Fooshee می‌گوید: «در حال حاضر، اگرچه مؤسسات حتی بیش از حد نیاز در حوزه هویت سرمایه‌گذاری می‌کنند اما توجه چندانی به حل مشکل کلاهبرداری شخص اول(کلاهبرداری شخص اول جایی است که یک فرد یا گروهی از افراد آگاهانه هویت خود را به اشتباه ارائه می دهند یا اطلاعات نادرست را برای کسب سود مالی ارائه می دهند) ندارند».

با توجه به عدم شناسایی یا گزارش حملات مربوط به جعل اول شخص در بسیاری از مواقع، داده‌های چندان زیادی درباره خسارت‌های سالانه که در اثر چنین حملاتی به وجود می‌آیند موجود نیست. Frank McKenna استراتژیست ارشد جعل و تقلب در شرکت Point Predictive می‌گوید: «از هر 5 آمریکایی یک نفر (یا به عبارتی 60 میلیون نفر) در معرض کلاهبرداری‌هایی هستند که از طریق تلفن و سیستم‌های بانکی صورت می‌گیرند».

سایر انواع کلاهبرداری‌های رایج

کلاهبرداری‌های شخص اول مثل muling[1]، هویت ساختگی، گریز، دریافت پی در پی وام و عدم پرداخت آن، مشتریان و بانک‌ها را در معرض خطر قرار داده و میلیاردها دلار برای آنها خسارت ایجاد می‌کنند. یکسری از کلاهبرداری‌های مهم دیگر نیز که مؤسسات مالی را مورد هدف قرار می‌دهند شامل موارد زیر هستند:

• جعل چک: سیستم‌های سنتی که حدود 30 سال پیش طراحی و ساخته شده‌اند در دنیای دیجیتال امروزی کارایی مناسب را ندارند. حتی با وجود کاهش استفاده از چک، بانک‌ها باید بدانند که کلاهبرداری‌های مربوط به چک همچنان وجود دارند. همچنین با پیوستن کاربران به موج تحول دیجیتال، کلاهبرداری از آمریکایی‌ها افزایش یافته و حواله‌های جعلی و چک‌های تقلبی جزو ابزارهای کلاهبرداری کارآمد محسوب می‌شوند.
• کلاهبرداری وام خودرو: چنین کلاهبرداری‌هایی برای شرکت‌های حوزه خودروسازی حدود 8 میلیارد دلار در سال خسارت ایجاد می‌کنند. در حالی که از ابزارها و فناوری‌های مناسب و کارآمد برای مقابله با آنها استفاده نمی‌شود.
• مهندسی اجتماعی: بانک‌ها باید بر روی نحوه اجرای حملات مهندسی اجتماعی بر ضد نمایندگان‌شان نظارت داشته باشند.

رونق بیش از حد بازار تشخیص هویت

به تازگی بازار احراز هویت رشد چشمگیری داشته است. بر اساس گزارش Research and Markets پیش‌بینی می‌شود که ارزش آن از 7.6 میلیارد دلار در سال 2020 میلادی به 15.8 میلیارد دلار در سال 2025 میلادی افزایش یابد. این رشد با افزایش چشمگیر کلاهبرداری‌های بخش خصوصی و عمومی همراه شده است.

براساس گزارشی که توسط Markets and Markets منتشر شده، ارزش بازار راهکارهای احراز هویت دیجیتال از 23.3 میلیارد دلار در سال 2021 به 49.5 میلیارد دلار در سال 2026 افزایش می‌یابد. این موضوع نشان‌دهنده نرخ رشد 16.2 درصدی در سال است.

پیشرفت و تکامل فناوری منجر به افزایش آسیب‌پذیری شرکت‌ها در برابر کلاهبرداری‌ها و حملات سایبری می‌شود.Mary Ann Miller مشاور امور مربوط به کلاهبرداری و جرایم سایبری در شرکت Prove می‌گوید: «با توجه به رشد و توسعه روزافزون مخاطرات امنیتی، سازمان‌ها باید از یک نقشه راه جهت بهبود، پیشرفت و سرمایه‌گذاری مداوم برای مقابله با حملات سایبری پیشرفته و همچنین استمرار کسب‌وکارشان در زمان‌های آینده استفاده کنند».

او می‌گوید: «ارزیابی مخاطرات ناشی از حملات جعل معمولاً مستلزم سرمایه‌گذاری‌های مورد نیاز در همه جوانب یک کسب‌وکار جهت مقابله با انواع کلاهبرداری‌های جعل مثل جعل حواله، جعل کارت، جعل شخص اول و غیره است. رسیدگی و توجه به این موضوع باید به تدریج به یکی از اولویت‌های اصلی سازمان‌ها تبدیل شود».

بر اساس مقاله تحقیقاتی منتشر شده توسط شرکت Aite-Novarica Group تعداد ارایه‌دهندگان راهکارهای احراز هویت از 20 عدد در سال 2018 به 50 عدد در سال 2021 میلادی افزایش یافت.

همچنین در نظرسنجی دیگری که توسط این شرکت صورت گرفته از مدیران و مسئولان رسیدگی به جعل و کلاهبرداری‌ها پرسیده شده که آیا خواهان ایجاد تغییر و تحول در برنامه‌های امنیتی‌شان و همچنین صرف بودجه بیشتر برای کاهش مخاطرات انواع چالش‌های مختلف در یکی دو سال آینده هستند یا خیر.

Fooshee معتقد است که پاسخ افراد به این سؤال نشان‌دهنده راهکارهایی هستند که برای مقابله با جعل و کلاهبرداری در اولویت قرار دارند. بنا به گفته او: «در سال‌های اخیر، راهکارهای احراز هویت و تأیید هویت جایگاه‌های اول را به خود اختصاص داده‌اند».

در تصویر زیر نتایج نظرسنجی‌های صورت گرفته در سپتامبر 2021 را مشاهده می‌کنید.

اولویت‌های مدیران در سرمایه‌گذاری‌های مبارزه با جعل

راهکارهای مقابله با جعل در برنامه‌های کاربردی شامل رویکردهای مختلفی بوده و با هدف اعتبارسنجی هویت درخواست‌ها ارایه می‌شوند.

بنا به گفته McKenna در شرکت Point Predictive: «در حال حاضر بازار راهکارهای هویتی اشباع شده است. تعداد ارایه‌دهندگان راهکارهای هویتی نسبت به حجم تقاضای موجود بسیار بیشتر بوده و از طرفی مشتری کافی نیز برای فروش همه این راهکارها وجود ندارد».

Jeremy Grant که دارای بیش از 20 سال سابقه کار در حوزه امنیت سایبری است و در حال حاضر نیز در شرکت حقوقی Venable مشغول به فعالیت می‌باشد معتقد است که شیوع ویروس کرونا منجر به شکل‌گیری رقابت در بین شرکت‌ها در سرمایه‌گذاری بر روی راهکارهای هویتی جدید شده است.

Grant می‌گوید: «سرمایه موجود زیاد و ایده‌های خوب کم است». بنا بر گفته او: «تعداد بنیانگذارانی که آشنایی کاملی با رویکردهای اجرای ایده‌های خوب داشته باشند چندان زیاد نیست. در حال حاضر فقط می‌توانیم منتظر میزان اثربخشی این سرمایه‌گذاری‌ها در آینده باشیم».

براساس گفته Grant: «بسیاری از شرکت‌های تازه تأسیس و نوپا در حال بررسی حوزه‌های جدید در زمینه احراز هویت و شناسایی، جهت پوشش انواع جعل هستند. چنین کسب‌وکارهایی در پی اکتساب‌هایی هستند که منجر به تکمیل توانمندی‌هایشان شوند. برای مثال چگونه می‌توانند اثبات هویت را اجرا کرده و یک اعتبارنامه کاربری صادر نمایند که کاربران در سایر مراحل چرخه حیات هویت از آن استفاده کنند.

پیشگیری از افزایش جعل و کلاهبرداری

به صورت کلی کلاهبرداری معادل انجام یکسری عملیاتی است که منجر به فریب مشتری و اجرای تراکنش جعلی و ظاهراً معتبر می‌شود. بنابراین ممکن است ایده استفاده از کنترل‌های سنتی برای احراز هویت یا اعتبارسنجی چندان موفقیت‌آمیز نباشد. با این وجود قابلیت تشخیص ناهنجاری جزو ویژگی‌های بسیار حیاتی است.

بنا به گفته Mitchell در شرکت Omega FinCrime: «بهتر است به جای اعتبارسنجی تراکنش یا فرد، بر روی افزایش آگاهی مشتریان در زمینه تشخیص جعل و کلاهبرداری تمرکز کنیم». او معتقد است که تیم‌های عملیاتی باید مشتری محورتر شده و علاوه بر افزایش تمرکز در زمینه آموزش مشتریان و کاربران، به تعاملاتشان دقت کنند.

پیشگیری از وقوع یک حمله جعل و کلاهبرداری پیشرفته مستلزم همکاری هماهنگ‌شده در بین مؤسسات مالی، ارایه‌دهندگان راهکارها، شبکه‌های پرداخت، قانونگذاران، اپراتورهای همراه، شبکه‌های اجتماعی، نهادهای مجری قانون و سایر عوامل است.

در کوتاه مدت، اولویت‌های سرمایه‌گذاری باید فراتر از کنترل‌های هویتی باشند. این اولویت‌ها همچنین باید کنترل‌های هماهنگ‌سازی و سیستم‌های پشتیبانی از تصمیم را که به مؤسسات مالی امکان می‌دهند دید کامل‌تری نسبت به کل تعاملات موجود داشته باشند شامل شوند.

بنا به گفته Fooshee: «مؤسسات مالی جهت انجام ارزیابی‌های دقیق مخاطرات نیازمند داده‌های بسیار زیادی از منابع مختلف هستند. این امر به نوبه خود مستلزم در اختیار داشتن و بکارگیری قابلیت‌های پشتیبانی و همچنین ابزارهای ادغام و هماهنگ‌سازی این تعاملات با یکدیگر است».

Fooshee معتقد است که خصوصیات بیومتریک رفتاری و همچنین سیستم‌های نظارت بر تراکنشی که جهت شناسایی رفتارهای ناهنجار و غیرعادی طراحی شده‌اند در بعضی شرایط مفید و کارآمد هستند.

Grant می‌گوید: «بانک‌ها همواره در حال تلاش برای دستیابی به راهکارهای امنیتی با قابلیت پوشش همه کانال‌ها هستند. برای مثال در صورت تمرکز بیش از حد بانک‌ها بر روی امنیت کانال‌های دیجیتال و غفلت از سایر موارد، ممکن است توجه مهاجمان به مراکز تماس جهت ایجاد حساب‌های جعلی در آنجا جلب شده یا کنترل حساب‌های موجود را به روش مهندسی اجتماعی در اختیار بگیرند. بنابراین بانک‌ها نباید فقط متمرکز بر هویت دیجیتال باشند و باید امنیت هویت را به صورت کلی در نظر بگیرند».

جمع‌بندی

Mitchell معتقد است که سازمان‌ها برای مقابله با کلاهبرداری و جعل، باید داده‌های بسیار زیادی را در اختیار داشته باشند. او می‌گوید: «آینده کنترل‌های جعل تا حدود زیادی در گرو قدرت تحلیل منابع داده شخص ثالث، ادغام آنها در موتورهای تشخیص ناهنجاری قوی و شیوه تعامل‌شان با کاربران (که ممکن است قربانی یا مجرم باشند) است. در حال حاضر باید جهت مقابله با حملات پیشرفته جعل هوشمندتر و مشتری‌محورتر بوده و قدرت بیشتری برای تشخیص تهدید داشته باشیم».­

[1] مالینگ تکنیکی است که فیشرها از آن برای سخت‌تر کردن بازیابی وجوه به سرقت رفته و شناسایی مقصران احتمالی استفاده می‌کنند.

منبع: bankinfosecurity