Kes Penggunaan

Rupa kejayaan, dalam tiga keratan trafik pengeluaran sebenar.

Angka dalam bahagian hasil kami — penurunan median kira-kira 47% dalam chargeback, kadar positif palsu di bawah separuh peratus, pengesahan menjawab dalam beberapa milisaat — datang daripada integrasi seperti yang di bawah. Kes di sini adalah komposit yang dianonimkan; corak itu nyata.

Marketplace

Masalahnya: gelang akaun palsu yang mencipta berpuluh-puluh akaun untuk review-bombing, memanipulasi kedudukan penjual, atau menyalahgunakan promosi bonus aluan.

Isyaratnya: dua belas akaun dicipta dalam dua jam, semuanya dari sambungan berbeza — tetapi dengan tanda pelayar dan gangguan yang menunjuk kepada satu kelompok automatik yang dikongsi.

Bagaimana isyarat bergabung

Satu pendaftaran dari sambungan rumah pada pelayar sebenar adalah tidak menarik perhatian. Dua belas pendaftaran dari dua belas sambungan rumah yang berbeza, pada apa yang kelihatan seperti pelayar automatik yang sama dengan tandatangan gangguan yang sama, adalah gelang akaun palsu.

Kategori yang menyala bersama di sini:

• Automasi dan bot (01) — tandatangan pelayar tanpa kepala pada setiap akaun.
• Gangguan cap jari (02) — ujian lukisan yang tidak sepadan dengan versi pelayar yang didakwa.
• Penyalahgunaan infrastruktur (03) — proksi kediaman yang dijual oleh operator penipuan yang diketahui.
• Anomali tingkah laku (06) — borang pendaftaran diisi dalam corak yang serupa, dengan masa yang sama.

Tiada kategori tunggal yang akan menandakan gelang itu. Skor risiko gabungan yang menandakannya.

Dasar

Marketplace itu menyekat pada peringkat teratas — gelang itu, bukan pelanggan — dan step up kepada pengesahan telefon apabila risiko tinggi dan keyakinan kukuh. Semua yang lain mengalir tanpa gangguan. Dalam praktik keseluruhan dasar hanya beberapa baris kod yang membaca tahap risiko yang Noxtica kembalikan.

Hasil

Pendaftaran palsu turun kira-kira 70% dalam sebulan selepas integrasi. Penukaran pendaftaran pelanggan sebenar tidak berubah.

Perkhidmatan kewangan

Masalahnya: penipuan kad tidak hadir, terutamanya serangan pengambilalihan akaun di mana penyerang mempunyai butiran kad tetapi bukan peranti dikenali pemegang kad.

Isyaratnya: sesi yang profilnya tidak sepadan dengan peranti dikenali pemegang kad. Respons adalah pengesahan step-up, bukan sekatan terus. Pelanggan sebenar tidak melihat geseran; gelang penipuan melihat semakan tambahan pada setiap transaksi.

Bagaimana isyarat bergabung

Penipuan kad tidak hadir semakin menggunakan butiran kad sebenar yang dicuri pada peranti yang dikawal penyerang. Peranti adalah pembeza. Kami menyimpan profil per pelanggan; apabila transaksi tiba dari profil yang belum kami lihat untuk pelanggan itu, kami menandakannya.

Kategori yang menyala bersama di sini:

• Semakan perkakasan (05) — peranti baharu mungkin mempunyai tandatangan grafik, audio, atau memori yang berbeza.
• Penyalahgunaan infrastruktur (03) — gelang penipuan sering berjalan dari laluan pusat data walaupun menggunakan proksi kediaman di hadapan.
• Anomali tingkah laku (06) — masa pembayaran yang tidak sepadan dengan sejarah pemegang kad.

Isyarat peranti baharu sahaja tidak berniat jahat — pelanggan membeli telefon, mengganti laptop, memasang sistem operasi baharu. Kami memberatkannya terhadap kategori lain untuk memisahkan “pelanggan pada peranti baharu” daripada “penyerang dengan butiran kad yang dicuri.”

Dasar

Pelanggan yang kembali pada peranti dikenali, di bawah peringkat teratas, mengalir terus tanpa geseran. Apabila risiko tinggi — atau peranti baharu muncul pada transaksi yang luar biasa besar — sesi mendapat pengesahan step-up dan bukannya sekatan terus. Kecenderungan sentiasa ke arah membiarkan pelanggan sebenar menyelesaikan pembelian.

Hasil

Kerugian chargeback turun kira-kira 45 hingga 50% dalam tiga bulan. Pengesahan step-up dilihat oleh hanya sebahagian kecil transaksi, dan majoriti besar daripadanya berjaya diselesaikan — pelanggan sebenar melepasi semakan itu.

Platform sensitif identiti

Masalahnya: platform tanpa kata laluan dan log masuk tunggal perlu mengesahkan bahawa entiti yang mengklik pautan log masuk adalah entiti yang sama yang memintanya. Kit phishing dan perkhidmatan geganti pautan merosakkan andaian itu.

Isyaratnya: pautan yang diklik dari profil berbeza daripada yang memintanya mencetuskan langkah pengesahan tambahan. Kit phishing dan perkhidmatan geganti pautan ditangkap di pintu ini.

Bagaimana isyarat bergabung

Apabila pautan log masuk diminta, kami merekod profil yang meminta. Apabila pautan diklik, kami menyemak semula profil dan membandingkan. Jika sepadan — pelayar sama, peranti sama — pautan mengesahkan secara automatik. Jika tidak, kami menganggap klik itu sebagai sesi berbeza dan memerlukan langkah pengesahan tambahan.

Kategori yang menyala bersama di sini:

• Gangguan cap jari (02) — kit phishing sering menjalankan pelayar tanpa kepala yang profilnya tidak sepadan dengan peranti sebenar pengguna.
• Anomali tingkah laku (06) — masa antara permintaan dan klik, sumber trafik, dan cara sesi berubah semuanya penting.
• Penyalahgunaan infrastruktur (03) — perkhidmatan geganti pautan biasanya berjalan dari infrastruktur awan.

Dasar

Jika peranti yang mengklik sepadan dengan peranti yang meminta pautan, pautan log masuk berfungsi secara automatik. Jika tidak, platform memerlukan faktor kedua sebelum membiarkan sesi melalui. Semakan padanan adalah perbandingan mudah terhadap profil yang direkod apabila pautan dikeluarkan.

Hasil

Kejayaan phishing terhadap kempen pautan log masuk jatuh secara dramatik — biasanya pengurangan lebih daripada 90% dalam serangan pengalihan kelayakan yang berjaya. Pengguna sebenar yang menukar peranti secara sah melihat satu langkah pengesahan tambahan, kemudian disertakan dalam senarai peranti dipercayai untuk pautan masa hadapan.

Corak: bila untuk menyekat, bila untuk mencabar

Merentas ketiga-tiga kes penggunaan, struktur dasar adalah sama:

1. Risiko kritikal — sekat dengan pencatatan. Sesi ini tidak berbaloi dengan kos cabaran.
2. Risiko tinggi — cabar: pengesahan step-up, faktor kedua, atau semakan manual. Pelanggan sebenar melepasi; bot tidak.
3. Risiko sederhana — perhatikan. Log sesi dan tonjolkan dalam papan pemuka, tetapi jangan tambah geseran.
4. Risiko rendah atau minima — benarkan. Majoriti besar trafik.

Empat tindakan ini memetakan kepada model risiko lima peringkat: dua peringkat terendah kedua-duanya jatuh kepada “benarkan” untuk hampir semua orang, tetapi mengekalkan perbezaannya berguna dalam papan pemuka untuk memahami di mana populasi anda berada.

Bacaan berkaitan

• Kategori ancaman — butiran tentang setiap enam kategori yang dirujuk kes penggunaan ini.
• Mengapa penentukuran, bukan keputusan — mengapa dasar itu milik anda, bukan kami.
• Prinsip kejuruteraan — kekangan operasi di sebalik lalai.