Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,281
- Points
- 113
Мошенники используют пользовательский контент на надежных сайтах, чтобы обманом заставить потребителей делиться конфиденциальными данными, нанося финансовый и репутационный ущерб этим компаниям.
Организации, которые позволяют пользователям и третьим сторонам размещать продукты и услуги, публиковать обзоры, объявления и другой контент на своих платформах электронной коммерции, мобильных устройствах и в социальных сетях, стали основными целями для мошенников, стремящихся украсть учетные данные, захватить учетные записи и совершить другую злонамеренную деятельность.
Хотя такие виды мошенничества не новы, по мнению экспертов по безопасности, растущие объемы и интенсивность деятельности вызывают потребность в улучшении практики управления рисками и мошенничеством во многих организациях. Недавнее исследование Просеять, компания, которая предоставляет широкий спектр целостности контента, защиты учетных записей и других онлайновых служб по предотвращению мошенничества, нашли увеличение случаев попытки содержания злоупотреблений в период с января по май 2020 года по сравнению с аналогичным периодом прошлого года 109%.
Компания обнаружила, что цифровые каналы, принадлежащие организациям в определенных отраслях, таких как продажа билетов и мероприятия, цифровые торговые площадки и те, которые предоставляют местные услуги, более склонны, чем другие, к размещению вредоносного пользовательского контента. Также сильно пострадали онлайн-обучение, потоковые развлечения и платформы для пожертвований. В среднем до 11,2% пользовательского контента на сайтах продажи билетов и мероприятий и 8,9% на цифровых торговых площадках являются мошенническими.
Понимание мотивации мошенников
Почти половина (48,8%) мошенничества имеет финансовую мотивацию. Выявленные мошенники все чаще используют поддельный и вводящий в заблуждение контент на сайтах, принадлежащих доверенным организациям, чтобы побудить пользователей поделиться личной информацией (PII), платежными данными, банковской информацией, учетными данными в Интернете и другими конфиденциальными данными. Часто данные, собранные в результате такой деятельности, затем продаются на криминальных рынках или монетизируются другими способами.
В последнее время мошенники также начали использовать фальшивые новости и другую дезинформацию, чтобы обманом заставить пользователей делиться конфиденциальной информацией. «Предполагаемые лекарства и вакцины от COVID-19 продавались с использованием фальшивых новостных статей в социальных сетях, чтобы убедить пользователей платить за эти несуществующие или неэффективные методы лечения», - говорит Джейн Ли, архитектор по вопросам доверия и безопасности в Sift. «Точно так же мы видели, как мошенники используют кампании дезинформации, направленные на то, чтобы обманом заставить граждан предоставлять личную информацию, выдавая себя за работников переписи населения США».
Мошенничество с контентом представляет угрозу как для потребителей, так и для организаций, размещающих мошеннический контент. «Для конечных пользователей наиболее опасными видами мошенничества являются те, которые открывают им возможность кражи через Интернет», - говорит Ли. Например, любое мошенничество, связанное с кражей PII, имеет тенденцию иметь серьезные последствия, поскольку информация может быть использована для кражи личных данных и финансового мошенничества. Мошенники также могут использовать данные, полученные от пользователей, для кражи денег, подарочных карт, бонусных баллов, осуществления незаконных банковских переводов и проведения множества других мошеннических транзакций. Мошенники также могут распространять мошеннический контент через вредоносные мобильные приложения. Некоторые из них явно плохие, например приложения, которые притворяются аффилированными с законным брендом для кражи учетных данных. Другие менее очевидны,
Исследование Sift показало, что многие пользователи хорошо осведомлены об угрозе и особенно осторожны при взаимодействии с пользовательским контентом, особенно на сайтах социальных сетей, в объявлениях, цифровых торговых площадках, которые позволяют пользователям размещать и покупать товары, на сайтах знакомств и путешествий, в чатах в приложениях и сообщества / форумы.
Подрыв доверия к бренду
Злоупотребление контентом также вредит бизнесу. «Для предприятий любое мошенничество, которое снижает надежность их веб-сайтов или приложений, является ядом для их клиентов и, следовательно, для самих предприятий», - отмечает Ли.
Sift обнаружил, что 56% пользователей прекратили бы пользоваться веб-сайтом или сервисом, если бы их информация была скомпрометирована из-за злоупотребления контентом на этом сайте или сервисе. По ее словам, помимо ущерба для доверия и репутации, когда злоупотребление контентом приводит к мошенничеству с платежами на одном и том же веб-сайте, эти компании фактически переносят оскорбления и травмы. В качестве примера, если потребитель на онлайн-рынке предоставляет данные своей кредитной карты мошеннику, и этот мошенник затем использует эту информацию для покупки товаров на этом сайте, торговая площадка или продавец несет ответственность за целостность потребителя, отмечает Ли.
Эрих Крон, защитник осведомленности о безопасности в KnowBe4, говорит, что мошенничество со злоупотреблением контентом негативно сказывается на доверии и уверенности клиентов. «Если люди завалены мошенническими сообщениями, как только они начнут использовать ваш сайт, или если ваш сайт известен тем, что размещает вредоносные объекты, они, вероятно, уйдут и найдут другой сайт, предлагающий аналогичные услуги без постоянных атак или негативных ассоциаций», - сказал он. говорит. "Если я запустил сайт форума по криптовалюте, и как только люди войдут в систему, они начнут атаковать, используя slack-files dot com в качестве источника вредоносного ПО, мне не понадобится много времени, чтобы заблокировать любые ссылки из slack-files dot com даже если служба действительно предлагает законные услуги".
В отчете ранее в этом году Gartner отметила проблемы, которые могут возникнуть, когда пользователи уполномочены создавать контент на онлайн-платформе организации. В контексте цифрового бизнеса организации используют мобильные приложения, веб-сайты доменов, электронную почту, поисковые системы, социальные сети и онлайн-рынки, чтобы привлечь внимание потребителей и увеличить прибыль. «Мошенники злоупотребляют теми же самыми каналами, и, поскольку их действия наносят ущерб доверию и безопасности из-за своего воздействия на доверие клиентов, они вызывают падение вовлеченности, что приводит к сокращению трафика и, в конечном итоге, падению коммерции», - предупреждает Gartner.
Чтобы решить эту проблему, руководителям риск-менеджмента необходимо перестать сосредотачиваться только на предотвращении потерь от мошенничества. В отчете говорится, что им также необходимо найти способы улучшить общее качество обслуживания клиентов, сдерживая плохое поведение мошенников.
Решение проблемы
Онлайн-организациям необходимо гарантировать, что их приложения и системы постоянно указывают на риск, связанный с поведением всех сторон, участвующих в транзакции. По словам Gartner, им необходимо осуществлять управление возможностями, которые предлагаются онлайн-пользователям в любом качестве, в котором они участвуют - в качестве потребителя, поставщика услуг или продавца. По словам Gartner, надежное подтверждение личности и такие меры, как ручная перекрестная проверка, строгая проверка платежей и аутентификация сообщений на основе домена, отчетность и соответствие (DMARC), имеют решающее значение для снижения риска онлайн-мошенничества.
«К 2023 году 30% банков и компаний, занимающихся цифровой коммерцией, будут иметь специальные группы доверия и безопасности для защиты целостности всех онлайн-взаимодействий между клиентами и брендами, по сравнению с менее чем 5% сегодня», - прогнозирует аналитическая компания. Организации, которые находят способы снизить онлайн-риски для потребителей в процессе подтверждения личности, в среднем получают на 10% больше доходов, чем компании, которые этого не делают.
По словам Джордана Хермана, исследователя угроз в RiskIQ, организациям также следует использовать инструменты, которые могут обнаруживать неправомерное использование или искажение их бренда в Интернете, чтобы предотвратить его использование для обмана и введения потребителей в заблуждение в рамках мошенничества. Поставщик средств безопасности недавно обнаружил крупномасштабную мошенническую цифровую рекламную кампанию, предназначенную для привлечения пользователей к дорогостоящим подпискам, распространяемым на сайтах, торгующих фальшивыми и гиперпартийными новостями.
Крон из KnowBe4 говорит, что организациям необходимо учитывать угрозы своей репутации в расчетах рисков. По его словам, компании часто тратят много средств на маркетинг и связи с общественностью через онлайн-каналы и должны понимать, что защита репутации, которую они создали, также может стоить дорого.
Одна из мер, которые он рекомендует, заключается в том, чтобы организации покупали доменные имена, похожие на их собственные, даже если их сотни, чтобы не дать мошенникам использовать их для совершения мошенничества. Кроме того, у организаций должен быть простой способ сообщить общественности о неправомерном использовании бренда, чтобы они могли работать над тем, чтобы эти домены были удалены как можно скорее.
«В крупных организациях или в отраслях с высокой степенью направленности обучение, связанное с обнаружением фальшивых атак, скорее всего, покажет потребителям, что организация пытается их защитить», - говорит Крон. Например, в электронных письмах и контактах по электронной почте организации могут напоминать клиентам, что представитель службы никогда не будет запрашивать пароль. Или они могут побуждать пользователей перейти на веб-сайт и войти в свою учетную запись отдельно, а не переходить по ссылке в текстовом сообщении или электронном письме.
«Пандемия принесла бесчисленное количество новых историй, которые злоумышленники могут использовать для мошенничества любого размера», - говорит Крон. «От использования путаницы и хаоса для предоставления информации в виде зараженных документов до мошенничества, связанного со сбором средств для помощи людям, пострадавшим от пандемии, - количество эмоционально сильных историй, которые любят мошенники, почти безгранично».
Организации, которые позволяют пользователям и третьим сторонам размещать продукты и услуги, публиковать обзоры, объявления и другой контент на своих платформах электронной коммерции, мобильных устройствах и в социальных сетях, стали основными целями для мошенников, стремящихся украсть учетные данные, захватить учетные записи и совершить другую злонамеренную деятельность.
Хотя такие виды мошенничества не новы, по мнению экспертов по безопасности, растущие объемы и интенсивность деятельности вызывают потребность в улучшении практики управления рисками и мошенничеством во многих организациях. Недавнее исследование Просеять, компания, которая предоставляет широкий спектр целостности контента, защиты учетных записей и других онлайновых служб по предотвращению мошенничества, нашли увеличение случаев попытки содержания злоупотреблений в период с января по май 2020 года по сравнению с аналогичным периодом прошлого года 109%.
Компания обнаружила, что цифровые каналы, принадлежащие организациям в определенных отраслях, таких как продажа билетов и мероприятия, цифровые торговые площадки и те, которые предоставляют местные услуги, более склонны, чем другие, к размещению вредоносного пользовательского контента. Также сильно пострадали онлайн-обучение, потоковые развлечения и платформы для пожертвований. В среднем до 11,2% пользовательского контента на сайтах продажи билетов и мероприятий и 8,9% на цифровых торговых площадках являются мошенническими.
Понимание мотивации мошенников
Почти половина (48,8%) мошенничества имеет финансовую мотивацию. Выявленные мошенники все чаще используют поддельный и вводящий в заблуждение контент на сайтах, принадлежащих доверенным организациям, чтобы побудить пользователей поделиться личной информацией (PII), платежными данными, банковской информацией, учетными данными в Интернете и другими конфиденциальными данными. Часто данные, собранные в результате такой деятельности, затем продаются на криминальных рынках или монетизируются другими способами.
В последнее время мошенники также начали использовать фальшивые новости и другую дезинформацию, чтобы обманом заставить пользователей делиться конфиденциальной информацией. «Предполагаемые лекарства и вакцины от COVID-19 продавались с использованием фальшивых новостных статей в социальных сетях, чтобы убедить пользователей платить за эти несуществующие или неэффективные методы лечения», - говорит Джейн Ли, архитектор по вопросам доверия и безопасности в Sift. «Точно так же мы видели, как мошенники используют кампании дезинформации, направленные на то, чтобы обманом заставить граждан предоставлять личную информацию, выдавая себя за работников переписи населения США».
Мошенничество с контентом представляет угрозу как для потребителей, так и для организаций, размещающих мошеннический контент. «Для конечных пользователей наиболее опасными видами мошенничества являются те, которые открывают им возможность кражи через Интернет», - говорит Ли. Например, любое мошенничество, связанное с кражей PII, имеет тенденцию иметь серьезные последствия, поскольку информация может быть использована для кражи личных данных и финансового мошенничества. Мошенники также могут использовать данные, полученные от пользователей, для кражи денег, подарочных карт, бонусных баллов, осуществления незаконных банковских переводов и проведения множества других мошеннических транзакций. Мошенники также могут распространять мошеннический контент через вредоносные мобильные приложения. Некоторые из них явно плохие, например приложения, которые притворяются аффилированными с законным брендом для кражи учетных данных. Другие менее очевидны,
Исследование Sift показало, что многие пользователи хорошо осведомлены об угрозе и особенно осторожны при взаимодействии с пользовательским контентом, особенно на сайтах социальных сетей, в объявлениях, цифровых торговых площадках, которые позволяют пользователям размещать и покупать товары, на сайтах знакомств и путешествий, в чатах в приложениях и сообщества / форумы.
Подрыв доверия к бренду
Злоупотребление контентом также вредит бизнесу. «Для предприятий любое мошенничество, которое снижает надежность их веб-сайтов или приложений, является ядом для их клиентов и, следовательно, для самих предприятий», - отмечает Ли.
Sift обнаружил, что 56% пользователей прекратили бы пользоваться веб-сайтом или сервисом, если бы их информация была скомпрометирована из-за злоупотребления контентом на этом сайте или сервисе. По ее словам, помимо ущерба для доверия и репутации, когда злоупотребление контентом приводит к мошенничеству с платежами на одном и том же веб-сайте, эти компании фактически переносят оскорбления и травмы. В качестве примера, если потребитель на онлайн-рынке предоставляет данные своей кредитной карты мошеннику, и этот мошенник затем использует эту информацию для покупки товаров на этом сайте, торговая площадка или продавец несет ответственность за целостность потребителя, отмечает Ли.
Эрих Крон, защитник осведомленности о безопасности в KnowBe4, говорит, что мошенничество со злоупотреблением контентом негативно сказывается на доверии и уверенности клиентов. «Если люди завалены мошенническими сообщениями, как только они начнут использовать ваш сайт, или если ваш сайт известен тем, что размещает вредоносные объекты, они, вероятно, уйдут и найдут другой сайт, предлагающий аналогичные услуги без постоянных атак или негативных ассоциаций», - сказал он. говорит. "Если я запустил сайт форума по криптовалюте, и как только люди войдут в систему, они начнут атаковать, используя slack-files dot com в качестве источника вредоносного ПО, мне не понадобится много времени, чтобы заблокировать любые ссылки из slack-files dot com даже если служба действительно предлагает законные услуги".
В отчете ранее в этом году Gartner отметила проблемы, которые могут возникнуть, когда пользователи уполномочены создавать контент на онлайн-платформе организации. В контексте цифрового бизнеса организации используют мобильные приложения, веб-сайты доменов, электронную почту, поисковые системы, социальные сети и онлайн-рынки, чтобы привлечь внимание потребителей и увеличить прибыль. «Мошенники злоупотребляют теми же самыми каналами, и, поскольку их действия наносят ущерб доверию и безопасности из-за своего воздействия на доверие клиентов, они вызывают падение вовлеченности, что приводит к сокращению трафика и, в конечном итоге, падению коммерции», - предупреждает Gartner.
Чтобы решить эту проблему, руководителям риск-менеджмента необходимо перестать сосредотачиваться только на предотвращении потерь от мошенничества. В отчете говорится, что им также необходимо найти способы улучшить общее качество обслуживания клиентов, сдерживая плохое поведение мошенников.
Решение проблемы
Онлайн-организациям необходимо гарантировать, что их приложения и системы постоянно указывают на риск, связанный с поведением всех сторон, участвующих в транзакции. По словам Gartner, им необходимо осуществлять управление возможностями, которые предлагаются онлайн-пользователям в любом качестве, в котором они участвуют - в качестве потребителя, поставщика услуг или продавца. По словам Gartner, надежное подтверждение личности и такие меры, как ручная перекрестная проверка, строгая проверка платежей и аутентификация сообщений на основе домена, отчетность и соответствие (DMARC), имеют решающее значение для снижения риска онлайн-мошенничества.
«К 2023 году 30% банков и компаний, занимающихся цифровой коммерцией, будут иметь специальные группы доверия и безопасности для защиты целостности всех онлайн-взаимодействий между клиентами и брендами, по сравнению с менее чем 5% сегодня», - прогнозирует аналитическая компания. Организации, которые находят способы снизить онлайн-риски для потребителей в процессе подтверждения личности, в среднем получают на 10% больше доходов, чем компании, которые этого не делают.
По словам Джордана Хермана, исследователя угроз в RiskIQ, организациям также следует использовать инструменты, которые могут обнаруживать неправомерное использование или искажение их бренда в Интернете, чтобы предотвратить его использование для обмана и введения потребителей в заблуждение в рамках мошенничества. Поставщик средств безопасности недавно обнаружил крупномасштабную мошенническую цифровую рекламную кампанию, предназначенную для привлечения пользователей к дорогостоящим подпискам, распространяемым на сайтах, торгующих фальшивыми и гиперпартийными новостями.
Крон из KnowBe4 говорит, что организациям необходимо учитывать угрозы своей репутации в расчетах рисков. По его словам, компании часто тратят много средств на маркетинг и связи с общественностью через онлайн-каналы и должны понимать, что защита репутации, которую они создали, также может стоить дорого.
Одна из мер, которые он рекомендует, заключается в том, чтобы организации покупали доменные имена, похожие на их собственные, даже если их сотни, чтобы не дать мошенникам использовать их для совершения мошенничества. Кроме того, у организаций должен быть простой способ сообщить общественности о неправомерном использовании бренда, чтобы они могли работать над тем, чтобы эти домены были удалены как можно скорее.
«В крупных организациях или в отраслях с высокой степенью направленности обучение, связанное с обнаружением фальшивых атак, скорее всего, покажет потребителям, что организация пытается их защитить», - говорит Крон. Например, в электронных письмах и контактах по электронной почте организации могут напоминать клиентам, что представитель службы никогда не будет запрашивать пароль. Или они могут побуждать пользователей перейти на веб-сайт и войти в свою учетную запись отдельно, а не переходить по ссылке в текстовом сообщении или электронном письме.
«Пандемия принесла бесчисленное количество новых историй, которые злоумышленники могут использовать для мошенничества любого размера», - говорит Крон. «От использования путаницы и хаоса для предоставления информации в виде зараженных документов до мошенничества, связанного со сбором средств для помощи людям, пострадавшим от пандемии, - количество эмоционально сильных историй, которые любят мошенники, почти безгранично».
