CarderPlanet
Professional
- Messages
- 2,549
- Reaction score
- 724
- Points
- 113
Пандемия создала идеальные условия для процветания индустрии доставки еды. Но возросшая активность привлекла жадных мошенников, и количество атак по захвату аккаунтов резко возросло. Узнайте, почему аккаунты доставки еды ваших клиентов особенно заманчивы…
Многое изменилось с тех пор, как в 1994 году была запущена первая онлайн-служба заказа и доставки. Сейчас мировая индустрия доставки еды стоит более 150 миллиардов долларов. И ожидается, что к 2027 году этот показатель превысит 200 миллиардов долларов. Карантин, спрос на удобство, технологии и конвергенция экономик по запросу и совместного использования способствовали развитию экосистемы доставки еды. Но рост трафика сделал их привлекательной мишенью для онлайн-мошенников.
Почти 60% продавцов по доставке еды говорят, что захват аккаунта является одним из главных рисков мошенничества. И примерно в 70% случаев за последний год количество атак увеличилось. К сожалению, этот всплеск не слишком удивителен. В начале пандемии количество упоминаний в даркнете основных приложений для доставки еды увеличилось на 230%. И мошенники, похоже, не наелись досыта.
Спрос на более безболезненный переход к клиентам означает, что пользователи приложений для доставки еды обычно сталкиваются с меньшим количеством препятствий безопасности. Проблема в том, что слишком много шагов может отбить охоту у законных клиентов размещать заказы. Это в сочетании с быстро меняющимся характером индустрии делает аккаунты доставки еды приятным развлечением для мошенников. После входа они получают доступ к информации о карте, адресам и любым баллам лояльности, которые могут быть у клиента. Так что часто это может принести неплохие выплаты!
Greedy fraudsters also know that they can exploit relaxed security to commit refund abuse. One of the easiest ways to commit refund fraud is by taking over an established customer account with a high reputation. This is because companies want to provide trusted customers with the smoothest experience possible. Fraudsters can request refunds on dispatched items with little trouble and make use of the money credited to the account.
Мошенники прекрасно осведомлены о том, к каким транзакциям с меньшей вероятностью будет применена SCA. Было бы разумно, если бы торговцы доставкой еды старались максимально использовать анализ рисков транзакций (TRA), платежи с низкой стоимостью или исключения для доверенных бенефициаров. Но что это за исключения и как мошенники могут ими воспользоваться?
Исключение TRA применяется ко всем транзакциям, которые считаются низкорисковыми на основе оценки TRA. Если это невозможно, вы можете применить исключение с низкой стоимостью к любой транзакции стоимостью менее 30 евро. Имея надежных бенефициаров, клиенты могут вносить определенных продавцов в “безопасный список”.
Завладев аккаунтом законного, пользующегося доверием клиента, мошенники потенциально могут извлечь выгоду из своей незапятнанности. До тех пор, пока транзакция не будет выглядеть радикально необычной. Если это не работает, стоимость транзакций по доставке еды часто невелика. Таким образом, мошенникам может сойти с рук до пяти транзакций, прежде чем потребуется аутентификация. Или они могут воспользоваться шансом, что голодные клиенты внесут в безопасный список свои любимые приложения для доставки еды.
Аккаунты с бесплатным доступом к аутентификации - большая приманка для мошенников. По мере того, как торговцы разрабатывают стратегии освобождения от SCA, мы можем увидеть всплеск атак по захвату аккаунтов.
Служба поддержки клиентов часто использует аутентификацию на основе знаний для предоставления доступа к аккаунтам клиентов. Используя методы социальной инженерии для нацеливания на агентов колл-центра, мошенники могут полностью обойти технологические решения, чтобы получить доступ к аккаунтам клиентов.
Как мы уже видели, существует множество теневых субъектов, обладающих информацией для продажи. После этого предприимчивому мошеннику не потребуется много усилий, чтобы заставить агента помочь изменить пароль или адрес электронной почты в аккаунте доставки еды.
В целом, процент продавцов доставки еды, которые сообщают об отслеживании активности пользователей по всем направлениям, вызывает беспокойство низким. Смена пароля была самой отслеживаемой активностью, и это составило всего 60%. В условиях растущего числа случаев захвата аккаунтов согласованные усилия по мониторингу этих факторов могут иметь огромное значение. Тем не менее, 80% продавцов по доставке еды говорят, что у них есть специальный инструмент захвата аккаунтов. Но достаточно ли этого одного?
Более того, захват аккаунта может очень быстро испортить ваши отношения с клиентами. Атака может разрушить репутацию вашего бизнеса, особенно если жертвы публично жалуются. Поскольку на рынке доставки еды конкурирует множество известных игроков, заголовки о взломе аккаунтов доставки смертельно опасны.
Мошенники умны и быстро адаптируются, поэтому вам нужно быть начеку. PSD2 защитит ваш бизнес от многих видов мошенничества. Но это также может сделать вас уязвимыми для новых творческих видов мошенничества, если вы станете слишком самодовольными. Небольшие изменения, такие как внедрение взломанной базы данных учетных данных, расширение мониторинга активности пользователей и обучение персонала службы поддержки клиентов, могут иметь огромное значение.
Многое изменилось с тех пор, как в 1994 году была запущена первая онлайн-служба заказа и доставки. Сейчас мировая индустрия доставки еды стоит более 150 миллиардов долларов. И ожидается, что к 2027 году этот показатель превысит 200 миллиардов долларов. Карантин, спрос на удобство, технологии и конвергенция экономик по запросу и совместного использования способствовали развитию экосистемы доставки еды. Но рост трафика сделал их привлекательной мишенью для онлайн-мошенников.
Почти 60% продавцов по доставке еды говорят, что захват аккаунта является одним из главных рисков мошенничества. И примерно в 70% случаев за последний год количество атак увеличилось. К сожалению, этот всплеск не слишком удивителен. В начале пандемии количество упоминаний в даркнете основных приложений для доставки еды увеличилось на 230%. И мошенники, похоже, не наелись досыта.
Почему мошенники выбирают аккаунты доставки еды своей целью?
Кажется маловероятным, что атаки на предприятия по доставке еды замедлятся. Фактически, многие утверждают, что проблема усугубится, прежде чем станет лучше. Но почему аккаунты ваших клиентов так подвержены захвату?Спрос на более безболезненный переход к клиентам означает, что пользователи приложений для доставки еды обычно сталкиваются с меньшим количеством препятствий безопасности. Проблема в том, что слишком много шагов может отбить охоту у законных клиентов размещать заказы. Это в сочетании с быстро меняющимся характером индустрии делает аккаунты доставки еды приятным развлечением для мошенников. После входа они получают доступ к информации о карте, адресам и любым баллам лояльности, которые могут быть у клиента. Так что часто это может принести неплохие выплаты!
Greedy fraudsters also know that they can exploit relaxed security to commit refund abuse. One of the easiest ways to commit refund fraud is by taking over an established customer account with a high reputation. This is because companies want to provide trusted customers with the smoothest experience possible. Fraudsters can request refunds on dispatched items with little trouble and make use of the money credited to the account.
Как PSD2 может способствовать росту числа случаев захвата аккаунтов?
В рамках PSD2 европейские продавцы должны применять строгую аутентификацию клиентов (SCA), или многофакторную аутентификацию. Это усложнило некоторые виды мошенничества, но мошенники всегда быстро улавливают новые возможности.Использование исключений SCA
В SCA есть исключения, которые вы можете использовать для обеспечения более удобного обслуживания клиентов. Эти исключения сокращают количество раз, которое вам необходимо для аутентификации клиента. Для компаний, работающих по запросу, где скорость является важнейшей частью вашей модели, эти исключения невероятно ценны. Но мошенники осведомлены о новых правилах не меньше, чем торговцы, если не больше.Мошенники прекрасно осведомлены о том, к каким транзакциям с меньшей вероятностью будет применена SCA. Было бы разумно, если бы торговцы доставкой еды старались максимально использовать анализ рисков транзакций (TRA), платежи с низкой стоимостью или исключения для доверенных бенефициаров. Но что это за исключения и как мошенники могут ими воспользоваться?
Исключение TRA применяется ко всем транзакциям, которые считаются низкорисковыми на основе оценки TRA. Если это невозможно, вы можете применить исключение с низкой стоимостью к любой транзакции стоимостью менее 30 евро. Имея надежных бенефициаров, клиенты могут вносить определенных продавцов в “безопасный список”.
Завладев аккаунтом законного, пользующегося доверием клиента, мошенники потенциально могут извлечь выгоду из своей незапятнанности. До тех пор, пока транзакция не будет выглядеть радикально необычной. Если это не работает, стоимость транзакций по доставке еды часто невелика. Таким образом, мошенникам может сойти с рук до пяти транзакций, прежде чем потребуется аутентификация. Или они могут воспользоваться шансом, что голодные клиенты внесут в безопасный список свои любимые приложения для доставки еды.
Аккаунты с бесплатным доступом к аутентификации - большая приманка для мошенников. По мере того, как торговцы разрабатывают стратегии освобождения от SCA, мы можем увидеть всплеск атак по захвату аккаунтов.
Социальная инженерия в колл-центрах
Исследования показали, что колл-центры являются слабым местом для атак по захвату аккаунтов. А правила PSD2, несомненно, сделают их еще более привлекательными. При более высоких барьерах для входа мошенники, скорее всего, прибегнут к испытанной тактике, а именно, используют человеческую ошибку. В случае продавцов по доставке еды это, скорее всего, службы поддержки клиентов.Служба поддержки клиентов часто использует аутентификацию на основе знаний для предоставления доступа к аккаунтам клиентов. Используя методы социальной инженерии для нацеливания на агентов колл-центра, мошенники могут полностью обойти технологические решения, чтобы получить доступ к аккаунтам клиентов.
Как мы уже видели, существует множество теневых субъектов, обладающих информацией для продажи. После этого предприимчивому мошеннику не потребуется много усилий, чтобы заставить агента помочь изменить пароль или адрес электронной почты в аккаунте доставки еды.
Как продавцы отслеживают захват аккаунтов?
Наше исследование показало, что торговцы доставкой еды, скорее всего, отслеживают изменения пароля и электронной почты. Хотя подобные действия могут быть тревожными сигналами, мы обнаружили, что злоумышленники с большей вероятностью изменят номер телефона, чем адрес электронной почты. Около 10% злоумышленников сменили адрес электронной почты, в то время как 48% сменили номер телефона. Примерно в 15% атак номер телефона в аккаунте менялся дважды или более. Но только 52% продавцов говорят, что отслеживают смену номера телефона.В целом, процент продавцов доставки еды, которые сообщают об отслеживании активности пользователей по всем направлениям, вызывает беспокойство низким. Смена пароля была самой отслеживаемой активностью, и это составило всего 60%. В условиях растущего числа случаев захвата аккаунтов согласованные усилия по мониторингу этих факторов могут иметь огромное значение. Тем не менее, 80% продавцов по доставке еды говорят, что у них есть специальный инструмент захвата аккаунтов. Но достаточно ли этого одного?
Почему захват аккаунта может быть смертельно опасным для отрасли, если его не остановить
Пандемия, возможно, и привела к огромным размерам индустрии доставки еды, но многие предприятия в этой сфере остались убыточными. Для продавцов, занимающихся доставкой еды, основными факторами риска, когда дело доходит до захвата аккаунта, являются потеря доходов и штрафы, связанные с кражей данных. Штрафы по GDPR Великобритании и ЕС и Закону о защите данных могут достигать 17,5 млн фунтов стерлингов и 20 млн евро соответственно, или 4% от годового мирового оборота. Таким образом, финансовую угрозу, которую захват аккаунта представляет для компаний, занимающихся доставкой еды, невозможно переоценить.Более того, захват аккаунта может очень быстро испортить ваши отношения с клиентами. Атака может разрушить репутацию вашего бизнеса, особенно если жертвы публично жалуются. Поскольку на рынке доставки еды конкурирует множество известных игроков, заголовки о взломе аккаунтов доставки смертельно опасны.
Мошенники умны и быстро адаптируются, поэтому вам нужно быть начеку. PSD2 защитит ваш бизнес от многих видов мошенничества. Но это также может сделать вас уязвимыми для новых творческих видов мошенничества, если вы станете слишком самодовольными. Небольшие изменения, такие как внедрение взломанной базы данных учетных данных, расширение мониторинга активности пользователей и обучение персонала службы поддержки клиентов, могут иметь огромное значение.
