Kasus Penggunaan

Seperti apa keberhasilan itu, dalam tiga irisan lalu lintas produksi nyata.

Angka-angka di bagian outcomes kami — penurunan median chargeback sekitar 47%, tingkat false positive di bawah setengah persen, verifikasi yang menjawab dalam beberapa milidetik — berasal dari integrasi seperti yang di bawah ini. Kasus di sini adalah komposit yang dianonimkan; polanya nyata.

Marketplace

Masalahnya: jaringan akun palsu yang membuat puluhan akun untuk review-bombing, memanipulasi peringkat penjual, atau menyalahgunakan promosi welcome-bonus.

Sinyalnya: dua belas akun dibuat dalam dua jam, semuanya dari koneksi berbeda — tapi dengan tanda browser dan manipulasi yang mengarah ke satu klaster otomatis bersama.

Bagaimana sinyal berakumulasi

Satu pendaftaran dari koneksi rumahan di browser nyata tidak mencolok. Dua belas pendaftaran dari dua belas koneksi rumahan berbeda, pada apa yang tampak sebagai browser otomatis yang sama dengan tanda tangan manipulasi yang sama, adalah jaringan akun palsu.

Kategori yang terpicu bersamaan di sini:

• Otomasi dan bot (01) — tanda tangan browser headless di setiap akun.
• Manipulasi fingerprint (02) — pengujian gambar yang tidak cocok dengan versi browser yang diklaim.
• Penyalahgunaan infrastruktur (03) — proxy residensial yang dijual oleh operator penipuan yang dikenal.
• Anomali perilaku (06) — formulir pendaftaran diisi dengan pola identik, dengan timing yang sama.

Tidak ada satu kategori pun yang akan menandai jaringan tersebut. Skor risiko gabunganlah yang menandainya.

Kebijakannya

Marketplace memblokir di tier teratas — jaringannya, bukan pelanggannya — dan meminta verifikasi telepon ketika risiko tinggi dan keyakinan solid. Semua yang lain mengalir tanpa hambatan. Dalam praktiknya seluruh kebijakan hanya beberapa baris kode yang membaca level risiko yang dikembalikan Noxtica.

Hasilnya

Pendaftaran palsu turun sekitar 70% dalam sebulan setelah integrasi. Konversi pendaftaran pelanggan nyata tidak berubah.

Layanan finansial

Masalahnya: penipuan card-not-present, terutama serangan pengambilalihan akun di mana penyerang memiliki detail kartu tapi bukan perangkat yang dikenal pemegang kartu.

Sinyalnya: sesi yang profilnya tidak cocok dengan perangkat yang dikenal pemegang kartu. Responnya adalah verifikasi langkah-atas, bukan pemblokiran langsung. Pelanggan nyata tidak menemui hambatan; jaringan penipuan menghadapi pemeriksaan tambahan di setiap transaksi.

Bagaimana sinyal berakumulasi

Penipuan card-not-present semakin sering menggunakan detail kartu curian yang nyata di perangkat yang dikendalikan penyerang. Peranglah pembedanya. Kami menjaga profil per pelanggan; ketika sebuah transaksi datang dari profil yang belum pernah kami lihat untuk pelanggan tersebut, kami menandainya.

Kategori yang terpicu bersamaan di sini:

• Pemeriksaan hardware (05) — perangkat baru mungkin memiliki tanda tangan grafis, audio, atau memori yang berbeda.
• Penyalahgunaan infrastruktur (03) — jaringan penipuan sering berada di balik rute pusat data meski menggunakan proxy residensial di depan.
• Anomali perilaku (06) — timing checkout yang tidak cocok dengan riwayat pemegang kartu.

Sinyal perangkat baru saja tidak berbahaya — pelanggan membeli ponsel, mengganti laptop, memasang ulang sistem operasi. Kami membobot ini terhadap kategori lain untuk memisahkan “pelanggan di perangkat baru” dari “penyerang dengan detail kartu curian.”

Kebijakannya

Pelanggan yang kembali di perangkat yang dikenal, di bawah tier teratas, mengalir langsung tanpa hambatan. Ketika risikonya tinggi — atau perangkat baru muncul di transaksi yang sangat besar — sesinya mendapat verifikasi langkah-atas daripada pemblokiran langsung. Bias-nya selalu ke arah membiarkan pelanggan nyata menyelesaikan pembelian.

Hasilnya

Kerugian chargeback turun sekitar 45 hingga 50% dalam tiga bulan. Verifikasi langkah-atas hanya dilihat oleh sebagian kecil transaksi, dan sebagian besar berhasil diselesaikan — pelanggan nyata melewati pemeriksaan.

Platform yang sensitif terhadap identitas

Masalahnya: platform passwordless dan single-sign-on perlu mengonfirmasi bahwa entitas yang mengklik tautan login adalah yang sama dengan yang memintanya. Kit phishing dan layanan link-relay merusak asumsi tersebut.

Sinyalnya: tautan yang diklik dari profil berbeda dari yang memintanya memicu langkah verifikasi tambahan. Kit phishing dan layanan link-relay tertangkap di gerbang ini.

Bagaimana sinyal berakumulasi

Ketika tautan login diminta, kami mencatat profil yang meminta. Ketika tautan diklik, kami memeriksa ulang profil dan membandingkannya. Jika cocok — browser yang sama, perangkat yang sama — tautan mengautentikasi secara otomatis. Jika tidak, kami memperlakukan klik sebagai sesi berbeda dan meminta langkah verifikasi tambahan.

Kategori yang terpicu bersamaan di sini:

• Manipulasi fingerprint (02) — kit phishing sering menjalankan browser headless yang profilnya tidak cocok dengan perangkat nyata pengguna.
• Anomali perilaku (06) — waktu antara permintaan dan klik, sumber lalu lintas, dan cara sesi berubah semuanya penting.
• Penyalahgunaan infrastruktur (03) — layanan link-relay biasanya berjalan dari infrastruktur cloud.

Kebijakannya

Jika perangkat yang mengklik cocok dengan perangkat yang meminta tautan, tautan login bekerja secara otomatis. Jika tidak, platform meminta faktor kedua sebelum membiarkan sesi masuk. Pemeriksaan kecocokan adalah perbandingan sederhana terhadap profil yang dicatat saat tautan diterbitkan.

Hasilnya

Keberhasilan phishing terhadap kampanye tautan login turun drastis — biasanya penurunan lebih dari 90% dalam serangan relay kredensial yang berhasil. Pengguna nyata yang secara sah beralih perangkat menghadapi satu langkah verifikasi tambahan, lalu bergabung ke daftar perangkat tepercaya untuk tautan berikutnya.

Pola: kapan memblokir, kapan menantang

Di ketiga kasus penggunaan, struktur kebijakannya sama:

1. Risiko kritis — blokir dengan pencatatan. Sesi-sesi ini tidak sepadan dengan biaya tantangan.
2. Risiko tinggi — tantang: verifikasi langkah-atas, faktor kedua, atau tinjauan manual. Pelanggan nyata lolos; bot tidak.
3. Risiko medium — amati. Catat sesi dan tampilkan di dasbor, tapi jangan tambahkan hambatan.
4. Risiko rendah atau minimal — izinkan. Sebagian besar lalu lintas.

Keempat tindakan ini dipetakan ke model risiko lima tier: dua tier terendah keduanya mengerucut ke “izinkan” bagi hampir semua orang, tapi memisahkan keduanya berguna di dasbor untuk memahami di mana populasi Anda berada.

Bacaan terkait

• Threat categories — detail tentang setiap enam kategori yang dirujuk kasus penggunaan ini.
• Why calibration, not verdicts — mengapa kebijakannya milik Anda, bukan kami.
• Engineering principles — batasan operasional di balik default.