Deze vertaling is machinaal gegenereerd en wacht op beoordeling. Overschakelen naar Engels
Dashboard

Use cases

Hoe succes eruitziet, in drie segmenten van echt productieverkeer.

De cijfers in onze uitkomstensectie — een mediane daling van chargebacks van zo’n 47%, een vals-positief-percentage van minder dan een half procent, verificatie die in enkele milliseconden antwoordt — komen uit integraties zoals de onderstaande. De cases hier zijn geanonimiseerde composieten; de patronen zijn echt.

Marktplaatsen

Het probleem: nepaccountringen die tientallen accounts aanmaken om beoordelingen te manipuleren, verkopersrankings te beïnvloeden of welkomstbonuspromoties te misbruiken.

Het signaal: twaalf accounts aangemaakt binnen twee uur, allemaal via verschillende verbindingen — maar met browser- en manipulatiesignalen die wijzen op één enkel geautomatiseerd cluster.

Hoe het signaal samenkomt

Één aanmelding via een thuisverbinding op een echte browser is onopvallend. Twaalf aanmeldingen via twaalf verschillende thuisverbindingen, op wat dezelfde geautomatiseerde browser lijkt met dezelfde manipulatiehandtekening, is een nepaccountring.

De categorieën die hier samen activeren:

  • Automatisering en bots (01) — headless-browserhandtekeningen op elk account.
  • Fingerprint-manipulatie (02) — tekentests die niet overeenkomen met de geclaimde browserversie.
  • Infrastructuurmisbruik (03) — residentiële proxies verkocht door een bekende fraudeoperator.
  • Gedragsafwijkingen (06) — aanmeldingsformulieren ingevuld in identieke patronen, met dezelfde timing.

Geen enkele categorie zou de ring markeren. De gecombineerde risicoscore wel.

Het beleid

De marktplaats blokkeert op het hoogste niveau — de ring, niet de klanten — en verhoogt naar telefoonverificatie wanneer het risico hoog is en de betrouwbaarheid solide. Alles andere loopt ongehinderd door. In de praktijk zijn het slechts een paar regels code die het risiconiveau lezen dat Noxtica teruggeeft.

De uitkomst

Nep-aanmeldingen dalen met zo’n 70% binnen een maand na integratie. De conversie van echte-klant-aanmeldingen blijft ongewijzigd.

Financiële dienstverlening

Het probleem: kaart-niet-aanwezig-fraude, met name accountovernameanvallen waarbij de aanvaller de kaartgegevens heeft maar niet de bekende apparaten van de kaarthouder.

Het signaal: een sessie waarvan het profiel niet overeenkomt met de bekende apparaten van de kaarthouder. De reactie is een extra verificatiestap, geen directe blokkering. Echte klanten ondervinden geen wrijving; frauderingen zien bij elke transactie een extra controle.

Hoe het signaal samenkomt

Kaart-niet-aanwezig-fraude maakt steeds vaker gebruik van echte, gestolen kaartgegevens op apparaten die de aanvaller beheert. Het apparaat is het onderscheidende kenmerk. We houden per klant een profiel bij; wanneer een transactie binnenkomt via een profiel dat we voor die klant nog niet eerder hebben gezien, markeren we het.

De categorieën die hier samen activeren:

  • Hardwarecontroles (05) — het nieuwe apparaat kan een andere grafische kaart, audio of geheugenhandtekening hebben.
  • Infrastructuurmisbruik (03) — frauderingen draaien vaak achter datacenterbronnen, zelfs wanneer ze residentiële proxies aan de voorkant gebruiken.
  • Gedragsafwijkingen (06) — afrondingstiming die niet overeenkomt met de geschiedenis van de kaarthouder.

Het nieuwe-apparaat-signaal alleen is niet kwaadaardig — klanten kopen telefoons, vervangen laptops, installeren besturingssystemen opnieuw. We wegen het af tegen de andere categorieën om “klant op een nieuw apparaat” te scheiden van “aanvaller met gestolen kaartgegevens.”

Het beleid

Een terugkerende klant op een bekend apparaat, onder het hoogste niveau, stroomt zonder wrijving door. Wanneer het risico hoog is — of een nieuw apparaat opduikt bij een ongewoon grote transactie — krijgt de sessie een extra verificatiestap in plaats van een directe blokkering. De voorkeur gaat altijd uit naar het laten voltooien van de aankoop door echte klanten.

De uitkomst

Chargebackverliezen dalen met zo’n 45 tot 50% binnen drie maanden. De extra verificatiestap wordt gezien door slechts een klein deel van de transacties, en de overgrote meerderheid daarvan wordt succesvol afgerond — echte klanten die de controle doorstaan.

Identiteitsgevoelige platforms

Het probleem: wachtwoordloze en single-sign-on-platforms moeten bevestigen dat de entiteit die op een inloglink klikt dezelfde is als degene die hem heeft aangevraagd. Phishing-kits en link-doorstuurdiensten doorbreken die aanname.

Het signaal: een link die wordt aangeklikt vanuit een ander profiel dan het profiel dat hem heeft aangevraagd triggert een extra verificatiestap. Phishing-kits en link-doorstuurdiensten worden bij deze poort onderschept.

Hoe het signaal samenkomt

Wanneer een inloglink wordt aangevraagd, registreren we het aanvragende profiel. Wanneer op de link wordt geklikt, controleren we het profiel opnieuw en vergelijken. Als ze overeenkomen — dezelfde browser, hetzelfde apparaat — authenticeert de link automatisch. Als ze niet overeenkomen, behandelen we de klik als een andere sessie en vereisen we een extra verificatiestap.

De categorieën die hier samen activeren:

  • Fingerprint-manipulatie (02) — phishing-kits draaien vaak headless browsers waarvan de profielen niet overeenkomen met het echte apparaat van de gebruiker.
  • Gedragsafwijkingen (06) — de tijd tussen aanvraag en klik, de bron van het verkeer en hoe de sessie verandert, doen er allemaal toe.
  • Infrastructuurmisbruik (03) — link-doorstuurdiensten draaien doorgaans op cloudinfrastructuur.

Het beleid

Als het klikkende apparaat overeenkomt met het apparaat dat de link heeft aangevraagd, werkt de inloglink automatisch. Als dat niet het geval is, vereist het platform een tweede factor voordat de sessie wordt doorgelaten. De overeenkomstcontrole is een eenvoudige vergelijking met het profiel dat is opgeslagen toen de link werd aangemaakt.

De uitkomst

Het phishingsucces bij inloglinkcampagnes daalt dramatisch — doorgaans een vermindering van meer dan 90% in succesvolle credential-doorstuurvallen. Echte gebruikers die legitiem van apparaat wisselen, zien één extra verificatiestap en komen daarna op de lijst van vertrouwde apparaten voor toekomstige links.

Patroon: wanneer blokkeren, wanneer uitdagen

In alle drie de use cases is de beleidsstructuur dezelfde:

  1. Kritiek risico — blokkeren met logging. Deze sessies zijn de kosten van een uitdaging niet waard.
  2. Hoog risico — uitdagen: extra verificatie, een tweede factor of handmatige beoordeling. Echte klanten slagen; bots niet.
  3. Medium risico — observeren. Log de sessie en toon hem in het dashboard, maar voeg geen wrijving toe.
  4. Laag of minimaal risico — toestaan. De overgrote meerderheid van het verkeer.

Deze vier acties passen op het vijfniveaus-risicomodel: de twee laagste niveaus vallen voor bijna iedereen samen tot “toestaan,” maar ze gescheiden houden is nuttig in het dashboard om te begrijpen waar je populatie zich bevindt.

Verder lezen