Hãy xem xét các dịch vụ trực tuyến bạn dựa vào mỗi ngày, chẳng hạn như ngân hàng và mua sắm trực tuyến. 

Bây giờ hãy tưởng tượng bạn sẽ cảm thấy thế nào nếu bạn đột nhiên bị khóa khỏi những tài khoản đó. Khi cơn hoảng loạn bắt đầu, bạn nhanh chóng nhận ra rằng một kẻ lừa đảo đã có quyền truy cập - và có khả năng thực hiện các giao dịch trái phép. Bạn vội vàng gọi cho đường dây trợ giúp khách hàng, nơi bạn làm việc để lấy lại quyền kiểm soát tài khoản của mình. 

Đây là gian lận chiếm đoạt tài khoản (còn được gọi là chiếm đoạt tài khoản) - khi một kẻ lừa đảo hoặc tội phạm đóng giả là khách hàng chân chính để giành quyền kiểm soát tài khoản và sau đó thực hiện các giao dịch trái phép. Gian lận chiếm đoạt tài khoản có thể có tác động rất cá nhân, chẳng hạn như kích hoạt các tác động tài chính ngay lập tức, ngăn chặn quyền truy cập vào các lợi ích hoặc dịch vụ và gây ra điểm tín dụng kém cho đến khi vấn đề được giải quyết.

May mắn thay, có một giải pháp. Xác thực khuôn mặt sinh trắc học giúp các tổ chức ngăn chặn gian lận chiếm đoạt tài khoản. Tội phạm có thể đánh cắp thông tin bảo mật dựa trên kiến thức, chẳng hạn như mật khẩu hoặc tên thời con gái của mẹ. Họ có thể lừa mọi người tiết lộ mã PIN và thông tin khôi phục tài khoản bằng kỹ thuật xã hội. Khi họ có dữ liệu đó, họ có thể thay đổi số liên lạc và địa chỉ email được liên kết với tài khoản, để mật mã một lần (OTP) và liên kết đặt lại mật khẩu được chuyển hướng.

Dynamic Liveness® giúp bảo vệ chống lại gian lận chiếm đoạt tài khoản bằng cách đảm bảo rằng chỉ chủ sở hữu tài khoản chính hãng mới có quyền truy cập. Công nghệ của iProov đang trao quyền cho các tổ chức để bảo vệ tài khoản trực tuyến của người dùng và đảm bảo rằng các tài khoản không nằm dưới sự kiểm soát của người khác. Với iProov, các tổ chức có thể xác minh rằng mỗi người dùng trực tuyến là đúng người, một người thực và họ đang xác thực ngay bây giờ.

Gian lận chiếm đoạt tài khoản là gì?

Gian lận chiếm đoạt tài khoản là khi kẻ lừa đảo có quyền truy cập vào tài khoản của người dùng chính hãng để thu lợi tài chính hoặc rửa tiền thông qua hành vi trộm cắp danh tính. Nó hoạt động thông qua một loạt các bước nhỏ:

Kẻ lừa đảo có quyền truy cập vào tài khoản của nạn nhân. Kẻ lừa đảo có thể sử dụng một số chiến thuật để đạt được điều này; sử dụng phần mềm độc hại, tấn công phi kỹ thuật, lừa đảo, dữ liệu từ vi phạm dữ liệu hoặc đơn giản là sử dụng thông tin họ biết về bạn cùng phòng hoặc thành viên gia đình.
  • Khi kẻ lừa đảo có quyền truy cập vào tài khoản, chúng có thể thay đổi chi tiết liên hệ để chuyển hướng thông tin đến email và số điện thoại khác.
  • Cuối cùng, vì bây giờ họ có thể xác nhận các phương thức xác thực như SMS OTP hoặc đặt lại email, kẻ tấn công có thể thực hiện các thay đổi tiếp theo để lừa đảo tài khoản. Điều này có thể bao gồm yêu cầu thẻ thanh toán mới, thay đổi mật khẩu hoặc thêm chủ hợp đồng bảo hiểm hoặc người thụ hưởng khác. 
    • Gian lận chiếm đoạt tài khoản là một vấn đề rất lớn; Đó là một trong những Hậu quả phổ biến nhất của hành vi trộm cắp danh tính. Nó cũng có thể mở rộng, vì người tiêu dùng có xu hướng sử dụng lại mật khẩu; Nghiên cứu của iProov cho thấy 59% số người được hỏi thừa nhận sử dụng lại cùng một mật khẩu trên nhiều trang web.

    Vấn đề trở nên trầm trọng hơn bởi các cuộc tấn công 'nhồi nhét thông tin xác thực', trong đó các bộ sưu tập thông tin đăng nhập từ vi phạm dữ liệu được chèn vào một bot sau đó cố gắng truy cập các tài khoản khác để tự động hóa quá trình tiếp quản tài khoản. Chỉ riêng ngành ngân hàng tiêu dùng Mỹ đã phải đối mặt với gần 50 triệu USD mỗi ngày trong những tổn thất tiềm ẩn do nhồi nhét thông tin xác thực.

    Tất cả các ngành công nghiệp có thể là mục tiêu của gian lận chiếm đoạt tài khoản. Các nhà cung cấp dịch vụ tài chính là mục tiêu chung, chẳng hạn như ngân hàng và công ty bảo hiểm. Nhưng các ngành công nghiệp khác như chăm sóc sức khỏe và giáo dục đại học cũng bị nhắm mục tiêu - những tài khoản này thường giàu dữ liệu nhạy cảm như hồ sơ tài chính hoặc y tế, sau đó có thể được sử dụng trong các trò gian lận tiếp theo (như gian lận tài khoản mới) hoặc bán trực tuyến.

    Gian lận chiếm đoạt tài khoản và gian lận tài khoản mới: sự khác biệt là gì?

    • Gian lận chiếm đoạt tài khoản: kẻ xấu nhắm mục tiêu vào các tài khoản hiện có để trích xuất giá trị tài chính hoặc thông tin nhạy cảm từ tài khoản đó bằng cách phá hoại bảo mật xác thực yếu. Trong trường hợp này, giải pháp là xác thực người dùng mạnh hơn.
    • Gian lận tài khoản mới: kẻ xấu tạo tài khoản mới bằng cách sử dụng danh tính giả, bị đánh cắp hoặc tổng hợp để truy cập hàng hóa hoặc dịch vụ nhằm phạm tội, đánh cắp và rửa tiền hoặc truy cập vào các dịch vụ mà họ không thể truy cập bằng danh tính của chính họ. Giải pháp cho gian lận tài khoản mới cần tập trung vào việc xác minh người dùng mạnh mẽ hơn.

    Gian lận chiếm đoạt tài khoản có ý nghĩa gì đối với người tiêu dùng và tổ chức?

    Các tổ chức phải đối mặt với một loạt thách thức trong việc phát hiện gian lận chiếm đoạt tài khoản:

    • Làm thế nào để một tổ chức biết giao dịch nào là từ người dùng hợp pháp và giao dịch nào là gian lận? Kẻ lừa đảo có thể thay đổi địa chỉ hoặc số điện thoại trên tài khoản, nhưng chủ sở hữu thực sự cũng vậy. Và nếu các phương pháp xác thực tăng cường đang được thực hiện - như SMS OTP hoặc mã email - thì có khả năng sẽ không có cờ đỏ nào được đưa ra trên hệ thống để nhắc nhở điều tra.
    • Tổn thất tài chính đáng kể có thể nhanh chóng được tích lũy. Ví dụ, nếu một doanh nghiệp đã thanh toán một yêu cầu bảo hiểm giả, thì rất khó để thu lại số tiền đó. Bất kỳ thiệt hại nào đối với tiền của khách hàng sẽ cần phải được hoàn trả.
    • Nạn nhân có thể mất niềm tin vào việc doanh nghiệp đó có thể bảo vệ đầy đủ tài khoản của họ, trong khi các thỏa hiệp cấp cao có thể có tác động danh tiếng lâu dài khó phục hồi.
    • Trong các ngành công nghiệp được quy định nhiều hơn, như tài chính, điều này cũng có thể dẫn đến nhiều hình phạt tài chính và các khiển trách khác. 

    Gian lận chiếm đoạt tài khoản có thể tàn phá nạn nhân:

    • Vì kẻ lừa đảo thường thay đổi chi tiết liên lạc, chủ tài khoản chính hãng có thể không biết gì và hoàn toàn bất lực trong việc ngăn chặn hành vi gian lận này trong một thời gian dài.
    • Người dùng có thể thấy mình bất ngờ bị khóa khỏi các dịch vụ quan trọng khi họ cần chúng nhất - chẳng hạn như yêu cầu bảo hiểm hoặc yêu cầu hỗ trợ của chính phủ - gây ra căng thẳng cảm xúc lớn và khó khăn tài chính.
    • Khi tài khoản bị chiếm đoạt, kẻ tấn công cũng có thể sử dụng tài khoản đó để chiếm quyền kiểm soát nhiều dịch vụ và ứng dụng hơn và có thể nhanh chóng leo thang thành hành vi trộm cắp danh tính hoàn toàn.
    • Tổn thất tài chính lớn có thể được tích lũy trên nhiều tài khoản rất nhanh. 

    Các tổ chức đã bảo vệ chống gian lận chiếm đoạt tài khoản như thế nào?

    Để ngăn chặn gian lận, nhiều công ty đã triển khai xác thực hai hoặc đa yếu tố (2FA hoặc MFA). Điều này là bắt buộc đối với các tổ chức tài chính ở châu Âu theo quy định xác thực khách hàng mạnh mẽ (SCA) PSD2. Điều này có nghĩa là xác thực cần phải đáp ứng hai hoặc nhiều điều sau đây:

    • Một cái gì đó người dùng là (vốn có) - ví dụ: sinh trắc học
    • Một cái gì đó người dùng biết (kiến thức) - ví dụ: mật khẩu
    • Thứ gì đó mà người dùng có (sở hữu) - ví dụ: thiết bị, số điện thoại di động, để nhận OTP

    Tuy nhiên, các phương pháp dựa trên kiến thức truyền thống như mật khẩu ngày càng được coi là không an toàn. Đây là những trò lừa đảo - có nghĩa là chúng là 'bí mật có thể chia sẻ' mà kẻ tấn công có thể có được từ vi phạm dữ liệu hoặc tấn công kỹ thuật xã hội. Những kẻ tấn công dễ dàng hơn bao giờ hết để có được thông tin này và với rất nhiều tài khoản, người tiêu dùng đang ngày càng triển khai mật khẩu dễ nhớ trên nhiều tài khoản.

    Mật khẩu chỉ đơn giản là không còn phù hợp với mục đích. Tương tự, việc ghép nối chúng với các phương thức 2FA khác như SMS OTP (xác thực dựa trên sở hữu) là không đủ, bởi vì số điện thoại có thể dễ dàng bị hoán đổi trên tài khoản và tin nhắn có thể bị tấn công. Hoa Kỳ đã ban hành hướng dẫn, chẳng hạn như Lệnh hành pháp 14028, khuyến nghị ngừng các phương thức xác thực không chống lại lừa đảo, chẳng hạn như SMS OTP.

    Xác thực sinh trắc học ngăn chặn gian lận chiếm đoạt tài khoản như thế nào?

    Thông tin đăng nhập sinh trắc học không thể được 'chia sẻ' giống như cách các trình xác thực khác có thể. Khuôn mặt thật của bạn không thể bị mất hoặc bị đánh cắp, hoặc được sử dụng ở quy mô lớn trong một cuộc tấn công nhồi thông tin xác thực. Chúng là duy nhất đối với một người, làm cho chúng an toàn hơn đáng kể như một yếu tố xác thực.  

    Sinh trắc học khuôn mặt là một tùy chọn dựa trên vốn có hấp dẫn, vì các tổ chức có thể kiểm tra chéo người dùng bằng ID do chính phủ cấp (hầu hết bao gồm ảnh) để xác thực người dùng trong quá trình giới thiệu và đăng ký.

    Người dùng có thể sử dụng khuôn mặt của họ để xác thực liên tục. Với giải pháp sinh trắc học phù hợp, điều này có nghĩa là không ai khác có thể truy cập vào tài khoản đó hoặc thực hiện bất kỳ hoạt động / giao dịch nào khác ngoài chủ sở hữu thực sự. Các giải pháp sinh trắc học thụ động như Dynamic Liveness của iProov cũng sẽ mang lại trải nghiệm người dùng tốt hơn nhiều. Thay vì phải nhớ và nhập mật khẩu phức tạp, người dùng có thể chỉ cần nhìn lại thiết bị, giúp quá trình bảo mật trở nên dễ dàng. 

    Nhưng hãy nhớ rằng, không phải tất cả các giải pháp sinh trắc học khuôn mặt đều được tạo ra như nhau...

    Làm thế nào để liveness ngăn chặn gian lận chiếm đoạt tài khoản?

    Phát hiện sự sống sử dụng công nghệ sinh trắc học để xác minh rằng người dùng trực tuyến là người thật. Nếu không phát hiện sự sống, tội phạm có thể sử dụng ảnh hoặc video của nạn nhân và đưa nó ra camera, giả mạo quá trình xác thực.

    Để ngăn chặn gian lận chiếm đoạt tài khoản với bảo mật xác thực cực kỳ an toàn, bạn cần xác minh cả ba khía cạnh của sự hiện diện thực sự: đúng người, người thật và xác thực trong thời gian thực. Đó là nơi iProov Dynamic Liveness xuất hiện.

    iProov Dynamic Liveness (GPA) ngăn chặn gian lận chiếm đoạt tài khoản như thế nào?

    Công nghệ Dynamic Liveness (GPA) của iProov là một công cụ vô giá trong việc ngăn chặn gian lận chiếm đoạt tài khoản, vì nó cung cấp cho các tổ chức mức độ đảm bảo cao nhất rằng người dùng là chính hãng. Giải pháp của iProov đã được thiết kế đặc biệt để dễ sử dụng đồng thời bảo mật cao và xác nhận ba điều quan trọng - rằng người dùng là đúng người, người thật, và rằng họ đang xác thực trong thời gian thực.

    Khía cạnh khó xác thực nhất là xác minh người dùng đang xác thực ngay bây giờ. Điều này được thực hiện bằng cách sử dụng công nghệ Flashmark của iProov, chiếu sáng khuôn mặt của người dùng từ xa bằng một chuỗi màu độc đáo không thể phát lại hoặc thao tác tổng hợp, ngăn chặn giả mạo.  

    Hơn nữa, Dynamic Liveness là một công nghệ dựa trên đám mây, có nghĩa là hệ thống phòng thủ của nó bị ẩn khỏi những kẻ tấn công, khiến việc đảo ngược kỹ thuật trở nên khó khăn hơn nhiều. GPA được cung cấp bởi Trung tâm điều hành bảo mật iProov (iSOC), sử dụng công nghệ học máy để giám sát các hoạt động hàng ngày và xác định các cuộc tấn công mới, có nghĩa là GPA cung cấp quản lý mối đe dọa tích cực. Dynamic Liveness có thể cung cấp giá trị bổ sung thông qua 'buổi lễ' yên tâm của nó, vì Flashmark đảm bảo với người dùng rằng bảo mật bổ sung đang diễn ra. Khi truy cập vào một tài khoản nhạy cảm, buổi lễ này là một sự thoải mái tuyệt vời - đặc biệt nếu bạn đã trải qua gian lận trong quá khứ.

    Ví dụ: kẻ lừa đảo có được email và mật khẩu của nạn nhân đã được chia sẻ trên dark web sau khi vi phạm dữ liệu. Họ nhập thông tin đăng nhập vào một số tài khoản trực tuyến, chẳng hạn như ngân hàng và nhà bán lẻ. Một số tài khoản không có xác thực bậc thang hoặc hai yếu tố, vì vậy kẻ lừa đảo có thể bước vào ngay và gây ra thiệt hại rất lớn. Nhưng trong ví dụ này, ngân hàng của người đó sử dụng xác thực khuôn mặt iProov. Khi kẻ lừa đảo cố gắng đăng nhập vào tài khoản được bảo mật bởi iProov, xác thực không thành công. Ngay cả khi họ có hình ảnh khuôn mặt của người bị lừa đảo, công nghệ Dynamic Liveness của iProov sẽ phát hiện ra rằng cá nhân chính hãng không có mặt và yêu cầu truy cập sẽ bị từ chối.

     Gian lận chiếm đoạt tài khoản: tóm tắt

    • Gian lận chiếm đoạt tài khoản xảy ra khi kẻ tấn công có được quyền truy cập vào tài khoản thông qua các phương tiện bất hợp pháp, trước khi sử dụng quyền truy cập đó để khóa người dùng thực sự và lừa gạt họ.
    • 'Nhồi nhét thông tin xác thực' là một hình thức tấn công phổ biến có thể tự động hóa gian lận chiếm đoạt tài khoản. Nó thường sử dụng các bot tự động để nhập thông tin đăng nhập bị đánh cắp ở quy mô lớn và cố gắng truy cập nhiều dịch vụ khác.
    • Gian lận chiếm đoạt tài khoản là phổ biến vì thông tin đăng nhập lừa đảo được sử dụng để bảo vệ tài khoản, chẳng hạn như mật khẩu, có thể bị đánh cắp hoặc gạ gẫm thông qua các cuộc tấn công kỹ thuật xã hội.
    • Xác thực sinh trắc học có thể cung cấp mức độ bảo mật cao hơn vì chúng là 'thông tin đăng nhập không thể chia sẻ' không giống như mật khẩu và OTP.
    • Công nghệ iProov có thể giúp các tổ chức ngăn chặn việc chiếm đoạt tài khoản bằng cách xác minh rằng cá nhân trực tuyến cố gắng truy cập vào tài khoản là đúng người, người thật và họ đang xác thực ngay bây giờ.

    Gian lận chiếm đoạt tài khoản gây ra căng thẳng cảm xúc lớn cho nạn nhân của nó, cũng như mất tài chính và dữ liệu. Các tổ chức phải đối mặt với thiệt hại danh tiếng và khách hàng không hài lòng, cũng như các tác động tài chính. Bằng cách thêm xác thực khuôn mặt – với tư cách là trình xác thực duy nhất hoặc một phần của triển khai xác thực đa yếu tố – các tổ chức có thể ngăn chặn việc xâm phạm tài khoản.

    Nếu bạn muốn xem công nghệ của iProov có thể mang lại bảo mật dễ dàng như thế nào cho các quy trình giới thiệu và xác thực của bạn - giúp chống gian lận chiếm đoạt tài khoản - hãy đặt bản demo iProov tại đây.

    Gian lận chiếm đoạt tài khoản là gì? Giải pháp sinh trắc học