23 maggio 2022

Considerate i servizi online su cui fate affidamento ogni giorno, come le operazioni bancarie e gli acquisti online. 

Ora immaginate come vi sentireste se veniste improvvisamente bloccati da quei conti. Nel panico, vi rendete subito conto che un truffatore ha ottenuto l'accesso e probabilmente ha effettuato transazioni non autorizzate. Vi affrettate a chiamare la linea di assistenza clienti e vi impegnate a riprendere il controllo del vostro conto. 

Si tratta di una frode di acquisizione dell'account (nota anche come dirottamento dell'account). - quando un truffatore o un criminale si spaccia per un vero cliente per ottenere il controllo di un conto e poi effettua transazioni non autorizzate. La frode per l'acquisizione di un conto può avere un impatto molto personale, ad esempio scatenando implicazioni finanziarie immediate, impedendo l'accesso a benefici o servizi e causando un punteggio di credito negativo fino a quando la questione non viene risolta.

Fortunatamente esiste una soluzione. L'autenticazione biometrica del volto aiuta le organizzazioni a prevenire le frodi di acquisizione di account. Un criminale può rubare informazioni di sicurezza basate sulla conoscenza, come una password o il nome da nubile della madre. Può ingannare le persone e indurle a rivelare PIN e informazioni per il recupero del conto con l'ingegneria sociale. Una volta in possesso di questi dati, può modificare il numero di contatto e l'indirizzo e-mail associato all'account, in modo che i codici OTP (one-time passcode) e i link per il ripristino della password vengono reindirizzati.

Vivacità dinamica® aiuta a difendersi dalle frodi di acquisizione dell'account, garantendo che solo il vero proprietario dell'account possa accedervi.. La tecnologia di iProov consente alle organizzazioni di salvaguardare gli account online degli utenti e di garantire che gli account non finiscano sotto il controllo di qualcun altro. Con iProov, le organizzazioni possono verificare che ogni utente online sia la persona giusta, una persona reale, e che si stia autenticando in questo momento.

Che cos'è la frode di acquisizione del conto?

La frode di acquisizione dell'account si verifica quando un truffatore ottiene l'accesso all'account di un utente autentico per ottenere guadagni finanziari o riciclare denaro attraverso il furto di identità. Funziona attraverso una serie di piccoli passi:

Un truffatore ottiene l'accesso al conto della vittima. Il truffatore può utilizzare una serie di tattiche per raggiungere questo obiettivo: utilizzando malware, social engineering, phishing, dati provenienti da violazioni di datio semplicemente utilizzando le informazioni che conosce su un compagno di stanza o un familiare.
  • Una volta che il truffatore ha accesso a un account, può modificare i dati di contatto per reindirizzare le informazioni a un altro indirizzo e-mail e numero di telefono.
  • Infine, potendo confermare i metodi di autenticazione come gli OTP via SMS o i reset via e-mail, l'aggressore può apportare ulteriori modifiche per frodare il conto. Ad esempio, può richiedere una nuova carta di pagamento, modificare la password o aggiungere un altro titolare o beneficiario di polizza assicurativa
  • Le frodi per l'acquisizione di account sono un problema enorme; è una delle conseguenze più comuni del furto d'identità. Può anche essere scalabile, poiché i consumatori tendono a riutilizzare le password; una ricerca di iProov ha rilevato che Il 59% degli intervistati ha ammesso di riutilizzare le stesse password su più siti.

    Il problema è aggravato dagli attacchi di "credential stuffing", in cui raccolte di credenziali di accesso provenienti da violazioni di dati vengono inserite in un bot che poi tenta di accedere ad altri account per automatizzare il processo di acquisizione del conto. Il solo settore bancario statunitense si trova ad affrontare quasi 50 milioni di dollari al giorno di perdite potenziali dovute al credential stuffing..

    Tutti i settori possono essere bersaglio di frodi di acquisizione di account. I fornitori di servizi finanziari sono obiettivi comuni, come le banche e le assicurazioni. Ma anche altri settori, come la sanità e l'istruzione superiore, sono presi di mira: questi account sono spesso ricchi di dati sensibili, come le cartelle cliniche o finanziarie, che possono essere utilizzati per altre truffe (come la frodi su nuovi conti), o venduti online.

    Frode di acquisizione di un conto e frode di un nuovo conto: qual è la differenza?

    • Frode di acquisizione dell'account: I malintenzionati prendono di mira gli account esistenti per estrarre valore finanziario o informazioni sensibili da quell'account minando la debole sicurezza dell'autenticazione. In questo caso la soluzione è un'autenticazione più forte utente autenticazione dell'utente.
    • Frode di nuovi accountI malintenzionati creano nuovi account utilizzando identità false, rubate o sintetiche per accedere a beni o servizi al fine di commettere reati, rubare e riciclare denaro. riciclare denaroo accedere a servizi ai quali non potrebbero accedere con la propria identità. La soluzione alle frodi sui nuovi account deve essere incentrata su una maggiore verifica degli utenti. verifica degli utenti.

    Che cosa significa la frode di acquisizione di account per i consumatori e le organizzazioni?

    Le organizzazioni devono affrontare una serie di sfide per individuare le frodi di acquisizione di account:

    • Come fa un'organizzazione a sapere quali transazioni provengono da un utente legittimo e quali sono fraudolente? Il truffatore può cambiare l'indirizzo o il numero di telefono del conto, ma anche il proprietario in buona fede potrebbe farlo. E se autenticazione a passo di carica Se vengono utilizzati metodi di autenticazione graduale, come gli OTP via SMS o un codice e-mail, è probabile che il sistema non segnali alcuna anomalia che possa indurre a un'indagine.
    • Si possono accumulare rapidamente perdite finanziarie significative. Se un'azienda ha pagato una falsa richiesta di risarcimento assicurativo, ad esempio, è difficile recuperare quel denaro. Eventuali danni ai fondi dei clienti dovranno essere ripagati.
    • Le vittime potrebbero perdere la fiducia nella capacità dell'azienda di proteggere adeguatamente i loro conti, mentre le compromissioni di alto profilo possono avere un impatto duraturo sulla reputazione, difficile da recuperare.
    • Nei settori più regolamentati, come quello finanziario, ciò può comportare anche maggiori sanzioni finanziarie e altri richiami. 

    La frode di acquisizione di un conto può essere devastante per le vittime:

    • Poiché il truffatore cambia spesso i dati di contatto, il vero titolare del conto può essere ignaro e totalmente impotente a fermare la frode per molto tempo.
    • Gli utenti possono trovarsi inaspettatamente esclusi da servizi vitali nel momento in cui ne hanno più bisogno, come la presentazione di una richiesta di rimborso assicurativo o di assistenza governativa, causando un enorme stress emotivo e difficoltà finanziarie.
    • Una volta preso il controllo di un account, gli aggressori possono anche utilizzarlo per prendere il controllo di altri servizi e applicazioni e possono rapidamente passare al furto di identità completo.
    • In breve tempo si possono accumulare ingenti perdite finanziarie su più conti. 

    In che modo le organizzazioni si stanno già proteggendo dalle frodi di account takeover?

    Per prevenire le frodi, molte aziende hanno implementato l'autenticazione a due o più fattori (2FA o MFA). autenticazione a due o più fattori (2FA o MFA).Questo è obbligatorio per le istituzioni finanziarie in Europa in base a PSD2, l'autenticazione forte del cliente (SCA). (SCA). Ciò significa che l'autenticazione deve soddisfare due o più dei seguenti requisiti:

    • Qualcosa che l'utente è (inherence) - ad esempio, la biometria.
    • Qualcosa che un utente conosce (conoscenza), ad esempio le password.
    • Qualcosa che un utente possiede (possesso) - ad esempio un dispositivo, un numero di cellulare, per ricevere un OTP

    Tuttavia, i metodi tradizionali basati sulla conoscenza, come le password, sono sempre più considerati insicuri. Le password sono phishable, ovvero "segreti condivisibili" che gli aggressori possono acquisire da violazioni di dati o da attacchi di social engineering. È più facile che mai per gli aggressori acquisire queste informazioni e, con così tanti account, i consumatori utilizzano sempre più spesso password facili da ricordare per più account.

    Le password non sono più adatte allo scopo. Allo stesso modo, l'abbinamento con altri metodi 2FA come gli SMS OTP (autenticazione basata sul possesso) è inadeguato, perché i numeri di telefono possono essere facilmente scambiati sugli account e i messaggi possono essere dirottati. Gli Stati Uniti stanno già emanando delle linee guida, come il Ordine esecutivo 14028che raccomandano l'abbandono dei metodi di autenticazione che non resistono al phishing, come gli SMS OTP.

    In che modo l'autenticazione biometrica previene le frodi di acquisizione del conto?

    Le credenziali biometriche non possono essere "condivise" come gli altri autenticatori. Il vostro volto autentico non può essere smarrito o rubato, né utilizzato su larga scala in un attacco di credential stuffing. Sono uniche per una persona, il che le rende molto più sicure come fattore di autenticazione.  

    La biometria facciale è un'opzione interessante basata sull'ereditarietà, in quanto le organizzazioni possono effettuare controlli incrociati con i documenti d'identità rilasciati dal governo (la maggior parte dei quali include una foto) per convalidare gli utenti durante l'onboarding e l'iscrizione.

    Gli utenti possono utilizzare il proprio volto per l'autenticazione continua. Con la giusta soluzione biometrica, ciò significa che nessun altro può accedere all'account o svolgere attività/transazioni se non il vero proprietario. Le soluzioni biometriche passive, come Dynamic Liveness di iProov, offrono inoltre un'esperienza utente di gran lunga migliore. Invece di dover ricordare e inserire una password complicata, l'utente può semplicemente guardare il dispositivo, rendendo il processo di sicurezza semplice. 

    Ma ricordate che non tutte le soluzioni di biometria facciale sono uguali...

    In che modo la vivacità previene le frodi di acquisizione di account?

    Rilevamento della vivacità utilizza la tecnologia biometrica per verificare che un utente online sia una persona reale. Senza il rilevamento della vivacità, un criminale potrebbe utilizzare una foto o un video di una vittima e presentarla alla telecamera, falsificando il processo di autenticazione.

    Per prevenire le frodi di acquisizione di account con una sicurezza di autenticazione ultra-sicura, è necessario verificare tutti e tre gli aspetti della presenza autentica: persona giusta, persona reale e autenticazione in tempo reale. È qui che entra in gioco iProov Dynamic Liveness.

    In che modo iProov Dynamic Liveness (GPA) previene le frodi di acquisizione di account?

    iProov Dynamic Liveness (GPA) è uno strumento prezioso per prevenire le frodi di acquisizione di account, in quanto offre alle organizzazioni il massimo livello di garanzia che un utente sia autentico. La soluzione di iProov è stata progettata specificamente per essere facile da usare e allo stesso tempo altamente sicura e convalida tre elementi vitali: che un utente sia la persona giusta, una persona reale e che si stia autenticando in tempo reale.

    L'aspetto più difficile da convalidare è verificare che un utente si stia autenticando in questo momento. Questo viene fatto utilizzando tecnologia iProov tecnologia Flashmarkche illumina il volto dell'utente remoto con una sequenza unica di colori che non può essere riprodotta o manipolata sinteticamente, impedendo lo spoofing.

    Inoltre, Dynamic Liveness è una tecnologia tecnologia basata sul cloude ciò significa che le sue difese sono nascoste agli aggressori, rendendo molto più difficile il reverse engineering. GPA è alimentato da iProov Security Operations Center (iSOC), che utilizza la tecnologia di apprendimento automatico per monitorare le operazioni quotidiane e identificare i nuovi attacchi, il che significa che GPA fornisce una gestione attiva delle minacce. Dynamic Liveness può offrire un valore aggiunto grazie alla sua rassicurante "cerimonia", in quanto Flashmark assicura agli utenti che è in atto una sicurezza aggiuntiva. Quando si accede a un account sensibile, questa cerimonia è di grande conforto, soprattutto se si sono verificate frodi in passato.

    Esempio: un truffatore acquisisce l'e-mail e la password di una vittima che sono state condivise sul dark web a seguito di una violazione dei dati. Inserisce le credenziali in una serie di account online, come quelli di banche e rivenditori. Alcuni account non dispongono di autenticazione a due fattori o step-up, per cui il truffatore può entrare e causare danni ingenti. Ma in questo esempio, la banca della persona in questione utilizza l'autenticazione facciale iProov. Quando il truffatore tenta di accedere al conto protetto da iProov, l'autenticazione fallisce. Anche se disponessero di immagini del volto della persona frodata, la tecnologia Dynamic Liveness di iProov rileverebbe che l'individuo autentico non è presente e la richiesta di accesso verrebbe respinta.

    Frodi di acquisizione dei conti: una sintesi

    • La frode di acquisizione dell'account si verifica quando un aggressore ottiene l'accesso a un account attraverso mezzi illeciti, prima di utilizzare tale accesso per bloccare l'utente autentico e frodarlo.
    • Il "Credential stuffing" è una forma popolare di attacco che può automatizzare le frodi di acquisizione di account. Di solito utilizza bot automatizzati per inserire credenziali rubate in scala e cercare di accedere a più servizi.
    • Le frodi di acquisizione di account sono comuni perché le credenziali phishable utilizzate per proteggere gli account, come le password, possono essere rubate o sollecitate tramite attacchi di social engineering.
    • L'autenticazione biometrica può garantire livelli di sicurezza più elevati perché è una "credenziale non condivisibile", a differenza di password e OTP.
    • La tecnologia iProov può aiutare le organizzazioni a prevenire l'acquisizione di account verificando che l'individuo online che cerca di accedere all'account sia la persona giusta, una persona reale, e che si stia autenticando in questo momento.

    Le frodi di acquisizione di account causano grande stress emotivo alle vittime, oltre a perdite finanziarie e di dati. Le organizzazioni devono affrontare danni alla reputazione e clienti scontenti, oltre a implicazioni finanziarie. Aggiungendo l'autenticazione facciale, come unico autenticatore o come parte di un'implementazione di autenticazione a più fattori, le organizzazioni possono prevenire la compromissione degli account.

    Se desiderate vedere come la tecnologia di iProov può portare una sicurezza senza sforzo ai vostri processi di onboarding e di autenticazione, aiutandovi a combattere le frodi di acquisizione di un account, prenotate la vostra visita. prenotate una demo di iProov qui.