この翻訳は機械生成されたものであり、レビュー待ちです。 英語に切り替え
ダッシュボード

ユースケース

3つの本番トラフィックのスライスで見る、成功の姿。

アウトカムセクションにある数字——チャージバックの中央値で約47%の減少、0.5%未満の偽陽性率、数ミリ秒で回答する検証——は、以下のような連携から生まれています。ここで取り上げるケースは匿名化された複合例ですが、パターンは本物です。

マーケットプレイス

問題: 偽アカウントリングがレビュー爆撃、販売者のランキング操作、ウェルカムボーナスプロモーションの乱用のために、多数のアカウントを作成している。

シグナル: 2時間以内に12のアカウントが作成され、すべて異なる接続からだが、ブラウザと改ざんのサインがひとつの自動化されたクラスターを指している。

シグナルの組み合わせ方

本物のブラウザを使った家庭の接続からのサインアップ1件は、目立ちません。12の異なる家庭の接続からの12件のサインアップが、同じ自動化されたブラウザに同じ改ざんシグネチャを持っているとすれば、それは偽アカウントリングです。

ここで一緒に発動するカテゴリ:

  • 自動化とボット(01)— すべてのアカウントにヘッドレスブラウザのシグネチャ。
  • フィンガープリント改ざん(02)— 主張するブラウザバージョンと一致しない描画テスト。
  • インフラの乱用(03)— 既知の詐欺業者が販売した住宅プロキシ。
  • 行動の異常(06)— 同一のパターンと同じタイミングで記入されたサインアップフォーム。

どの単一カテゴリもリングを特定しません。組み合わさったリスクスコアが特定します。

ポリシー

マーケットプレイスは最上段階でブロックします——顧客ではなくリング——そしてリスクが高く信頼度が確実な場合は電話番号認証にステップアップします。それ以外はすべて何事もなく通過します。実際のところ、ポリシー全体は Noxtica が返すリスクレベルを読む数行のコードです。

成果

偽のサインアップは連携後1か月以内に約70%減少します。本物の顧客のサインアップコンバージョンは変わりません。

金融サービス

問題: カードを持たない詐欺、特にカードの詳細は持っているがカード保持者の既知デバイスは持っていない攻撃者によるアカウント乗っ取り攻撃。

シグナル: 顧客の既知デバイスとプロファイルが一致しないセッション。対応は全面的なブロックではなく、ステップアップ検証です。本物の顧客は摩擦を感じません;詐欺グループはすべてのトランザクションで追加のチェックが入ります。

シグナルの組み合わせ方

カードを持たない詐欺は、攻撃者が制御するデバイス上で本物の盗まれたカードの詳細をますます使用しています。デバイスが決め手です。顧客ごとにプロファイルを保持しています;その顧客に対して見たことのないプロファイルからトランザクションが来たとき、フラグを立てます。

ここで一緒に発動するカテゴリ:

  • ハードウェアチェック(05)— 新しいデバイスには異なるグラフィックス、オーディオ、またはメモリシグネチャがある可能性がある。
  • インフラの乱用(03)— 詐欺グループは住宅プロキシで偽装していても、データセンタールートの背後に座っていることが多い。
  • 行動の異常(06)— カード保持者の履歴と一致しないチェックアウトのタイミング。

新しいデバイスシグナルだけは悪意があるわけではありません——顧客は電話を買い、ノートパソコンを交換し、OSを再インストールします。「新しいデバイスを使っている顧客」と「盗んだカードの詳細を持つ攻撃者」を分けるために、他のカテゴリと照らし合わせて重み付けします。

ポリシー

既知デバイスでの最上段階未満のリピート顧客は、摩擦なしにそのまま通過します。リスクが高い場合——または異常に大きなトランザクションに新しいデバイスが現れた場合——セッションは全面的なブロックではなくステップアップ検証を受けます。バイアスは常に本物の顧客が購入を完了できる方向にあります。

成果

チャージバックの損失は3か月以内に約45〜50%減少します。ステップアップ検証はトランザクションのごく一部しか受けず、その大多数はチェックを通過して完了します——チェックを通過する本物の顧客です。

アイデンティティに敏感なプラットフォーム

問題: パスワードレスとシングルサインオンプラットフォームは、ログインリンクをクリックするエンティティがリクエストしたものと同じであることを確認する必要があります。フィッシングキットとリンクリレーサービスはこの前提を崩します。

シグナル: リクエストしたものとは異なるプロファイルからクリックされたリンクは、追加の検証ステップを発動します。フィッシングキットとリンクリレーサービスはこのゲートで捕捉されます。

シグナルの組み合わせ方

ログインリンクがリクエストされると、リクエストしたプロファイルを記録します。リンクがクリックされると、プロファイルを再チェックして比較します。一致する場合——同じブラウザ、同じデバイス——リンクは自動的に認証します。一致しない場合は、クリックを別のセッションとして扱い、追加の検証ステップを要求します。

ここで一緒に発動するカテゴリ:

  • フィンガープリント改ざん(02)— フィッシングキットはしばしばヘッドレスブラウザを実行し、そのプロファイルはユーザーの本物のデバイスと一致しない。
  • 行動の異常(06)— リクエストとクリックの間の時間、トラフィックの発生源、セッションの変化の仕方がすべて重要。
  • インフラの乱用(03)— リンクリレーサービスは通常クラウドインフラから実行される。

ポリシー

クリックするデバイスがリンクをリクエストしたデバイスと一致する場合、ログインリンクは自動的に機能します。一致しない場合、プラットフォームはセッションを通過させる前に第2要素を要求します。一致チェックは、リンクが発行されたときに記録されたプロファイルとの単純な比較です。

成果

ログインリンクキャンペーンに対するフィッシングの成功率が劇的に低下します——典型的には資格情報リレー攻撃の成功率が90%以上減少します。正当な理由でデバイスを切り替える本物のユーザーは、1回の追加検証ステップを経験し、その後は将来のリンクに対して信頼済みデバイスリストに追加されます。

パターン:いつブロックし、いつチャレンジするか

3つのすべてのユースケースにわたって、ポリシーの構造は同じです:

  1. 重大リスク — ログを取りながらブロック。これらのセッションはチャレンジのコストに見合いません。
  2. 高リスク — チャレンジ:ステップアップ検証、第2要素、または手動レビュー。本物の顧客は通過し;ボットは通過しません。
  3. 中リスク — 観察する。セッションをログに記録してダッシュボードに表示しますが、摩擦は追加しません。
  4. 低または最小リスク — 許可する。トラフィックの大多数です。

これら4つのアクションは5段階のリスクモデルに対応します:最も低い2段階はほぼ全員にとって「許可」に集約されますが、ダッシュボードで母集団の分布を理解するために分けておくと便利です。

関連情報