詐欺師は、個人データを盗むか、それを自分自身で捏造することにより、明らかに有効な ID を生成できるようにする、ますます洗練されたスキームを開発し続けているため、組織は、詐欺と戦うための戦略を根本的に変える必要があります。一連のデータ ポイント検証を通じて認証を実行するのではなく、すべての ID マーカー間のリンクを時間の経過とともに全体的に調べる必要があります。

身元の認証

従来の身元確認戦術では、個々のデータ ポイントを順次テストして、顧客または潜在的な顧客になりすました人物が、実際に本人であることを確認します。たとえば、クレジット カードの申し込みを処理する金融機関は、提供された社会保障番号がこの人物の名前に関連付けられているかどうかを最初に確認し、関連付けられている場合は次のステップに進みます (たとえば、この人物の名前がこの人物の名前に関連付けられているかどうかを確認します)。人の電話番号)、そして次。

これらのチェックリスト スタイルの不正防止対策は、個人の正当性を検証することを目的としていますが、断固とした犯罪者によって簡単に回避することができます。表面上は、それぞれのデータ リンク自体が正しいように見えるため、組織はこの顧客を脅威ではないものとしてクリアすることができます。ただし、よく調べてみると、これらのタイプのソリューションが依存している履歴データは操作されるか、部分的にしか正しくないことがわかり、知識豊富な詐欺師に門戸が開かれています。

プレイ中のリスク

連邦準備制度によると、巧妙な形態の詐欺が増加しており、合成 ID 詐欺は米国で最も急速に増加しているタイプの金融犯罪であり、年間数十億ドルの損失を計上しています。FBIとCyber​​security and Infrastructure Security Agencyも、テレワークとパンデミックにより対面での確認が行われなくなった結果、一部の形態の詐欺、特にビッシングが増加していると警告しています。

ビッシングや合成 ID 詐欺などの洗練された形式の詐欺が、従来の詐欺防止システムをどのように妨害しているかを詳しく見てみましょう。

Vishing (ボイス フィッシング) 攻撃は、ソーシャル エンジニアリング手法を使用して、電話で被害者から個人情報または財務情報を取得します。これらの攻撃にはさまざまな形態があり、多くの場合、被害者の銀行、企業の技術サポート、または政府機関の関係者を装った詐欺師が関与します。

より複雑なビッシング スキームの 1 つは、中間者攻撃です。この攻撃では、詐欺師が企業とその顧客の間で 2 つの並行した会話を設定します。企業はそれが顧客とつながっていると信じており、顧客は自分が企業と話していると考えていますが、実際には、両者とやり取りしているのは詐欺師です。詐欺師は、企業の Web サイトのセッションを介してワンタイム パスコードの発行を要求することで、このスキームを開始する可能性があります。

並行して、詐欺師はビジネスを装って無意識の顧客に電話をかけ、ソーシャル エンジニアリングを使用して、ビジネスから送信されたワンタイム パスコードを読み取るように個人を説得します。その後、詐欺師はこの情報を使用して顧客のアカウントにログインし、不正な取引を実行します。詐欺師は、検証プロセスの各ポイントを通過するために要求されたすべてのデータを提供できたため、アクセスが許可されます。

合成 ID 詐欺では、犯罪者は本物の情報と偽の情報を組み合わせて架空の ID を作成し、それを使用して金融口座を開設し、不正な購入を行います。偽のアイデンティティは簡単に見破れるように見えるかもしれませんが、現実ははるかに困難です。犯罪者は、しばしば、子供、高齢者、ホームレスの個人など、自分の信用報告書をチェックする可能性が低い人々からの実際の社会保障番号を使用して、偽の ID を作成し、時間をかけて忍耐強く信用履歴を積み上げます。偽の身元が確認された信用履歴を持ち、他の一連の確認チェックに合格した場合、ほとんどの機関はこの身元を正当なものと見なし、詐欺師が融資または信用枠を与えられて現金を持ち去ったときに重大な損失を被る可能性があります。

どちらのタイプの詐欺も、組織が異種のデータ リンケージの検証に依存しているという同じ弱点を利用しています。どちらのタイプも、犯罪者が顧客から盗んだか、自分で作成した正当な ID マーカーを提供します。そして、ほとんどの従来の不正検出ソリューションは、危険信号を出すことなく、これらのデータ ポイントを承認します。

たとえば、詐欺師は偽の名前で新しい Google メール アカウントを簡単に作成して、メールと名前の一致を確認できます。住所チェックでは、多くの場合、姓名の頭文字だけで部分的な検証が可能であり、顧客の IP アドレスと主張されている物理アドレスを比較するために使用されるIP ジオフェンスでは、一般的な近接性のみが必要です。つまり、詐欺師は近くのコーヒー ショップに座っているだけでよい. 事実上あらゆる個々の情報を検証する努力は、システムの操作方法を知っている人なら克服できます。

進むべき道

より正確な ID 検証を実現するために、組織は、オンライン、オフライン、およびデバイスベースのデータと行動全体にわたる ID の全体像を経時的に採用する必要があります。このようなプロセスには、次のほぼリアルタイムの評価が伴います。

  • 各データ (名前、住所、電子メール、電話、IP アドレスなど) を他のデータと組み合わせて検査し、単一の安定した ID の統合ビューを作成します。
  • 各データ ポイントが他のデータ ポイントにどのくらいの頻度で完全に接続されているか、およびそれらの接続が維持されている期間を決定して、すべてのデータ間のリンクがどれほど強いかを評価します。
  • 使用されているモバイル デバイスの最近のアクティビティとその過去の動作を調べて、デバイスに関連する (たとえば、SIM スワッピングやスプーフィングの) リスクのレベルを理解する
  • 対話を進める前に、個人の ID とデバイスにリスク要因を割り当てる

各データ リンクの強さ (たとえば、電子メール アドレスが個人の名前に関連付けられている期間、または電話番号がこれまでどのような活動に関与してきたか) を評価すると、そのリンクに値を割り当てることができます。相互に関連して見ると、これらすべてのつながりが全体的なアイデンティティ リスク要因に寄与します。

リスクを理解することで、企業は特定のインタラクションをどのように進めるかを決定し、割り当てられたリスク要因に基づいてユーザーの扱いを区別できるようになります。この差別化された取り扱いにより、企業は不正行為者をブロックできるだけでなく、信頼できる顧客をより迅速に通過させることができるため、不正行為の防止と顧客体験の両方が向上します。

アイデンティティの統合されたビュー

組織は、個人情報を精査するための断片的または順次的なアプローチに頼る余裕がなくなりました。個々のデータ ポイント自体を超えて、データ ポイントが全体としてどのように相互に関連しているか、およびそれらがどのくらいの期間関連しているかを尋ねることで、全体像を評価する必要があります。

企業は、デバイス中心のデジタル IDと組み合わせて、信頼できる絶え間なく更新される何百もの個人中心のオフライン情報のソースを利用するソリューションを使用して、このより統合された ID のビューを構築し、すべてのやり取りの相手を特定できます。

ID の認証に対するこのような考え方の変化は、組織が今日のような高度な不正行為の試みに耐えることができる、弾力性のある不正防止インフラストラクチャを構築できるようにするための鍵となります。

コメントをどうぞ