2023年までに小売業者はオンライン詐欺で何十億もの損失を被るだろう。

小売業者は今後数年間でオンライン詐欺により数百億ドルを失うと予測されており、このような攻撃を防ぐための知識やリソースが不足している中小企業にとっては特に大きな問題となります。

Technology Consulting and Forecasting CompanyであるJuniper Researchによると、2018年から2023年の間に、小売業者はカードを提示しない詐欺によって約1300億ドルを失うと予想されています。

米国がEMVテクノロジーに移行したため、「カードを提示する詐欺はほとんどなくなった」と、American Expressのグローバル詐欺リスク管理ディレクターのBrady Cullimoreは述べています。 多くの場合、「彼らはその詐欺を処理する能力がない。 また、多くの中小企業は、アプリやモバイル機器など、より新しいオンライン ショッピング チャネルを使用してビジネスを行うことにまだ適応していないと、Cullimore 氏は述べています。

詐欺対策を行うために第三者ベンダーを利用することは、中小企業にとってコスト高になりかねず、「自分たちの工夫に任せる」ことになると、Cullimore 氏は述べています。

詐欺対策企業のフォーターによると、2018年第2四半期から2019年第2四半期にかけて、オンライン詐欺のドル換算額はほぼ12%急増しました。

詐欺の試行回数が毎年増加しているのは、「詐欺師が生計を立てるのにふさわしい場所であることに変わりはない」と、Forterの最高執行責任者であるColin Sims氏は言います。

「そこにある詐欺行為の規模は巨大で、拡大しています」Sims氏は、詐欺師は詐欺市場の異なるセグメントに特化している、と述べます。 ある者は消費者の財務データを盗むために使用するツールを構築し、ある者はその盗んだデータの販売に注力し、ある者はそのデータの収益化に特化しています。

暗号通貨の使用は「詐欺師がデータを売買できるエコシステムを促進する」とSimsは述べています。 起業家がクレジットカード詐欺から身を守る方法

トランザクションの脅威

大きな脅威の1つは、サイバー犯罪者がWebサイトに悪意のあるコードを挿入するフォームジャッキングによるものです。 FBI の 10 月の警告によると、中小企業や政府機関が特にターゲットになっています。

悪意のあるコードは、消費者のクレジットカードや個人情報を盗むために使用されます。 そして、サイバー泥棒は、その情報をダークウェブで売ったり、自分の不正な買い物に使ったりします。

2018年に、サイバーセキュリティプロバイダーのSymantecは370万以上のフォームジャックの試みをブロックし、その約3分の1は忙しい年末年始に発生したものでした。 通常、取引は成立し、消費者は購入品を受け取るため、フォームジャックの検出には長い時間がかかります。

シマンテックが昨年確認したフォームジャッキング事件の多くは、チャットボットやカスタマーレビューウィジェットなどのサードパーティサービスを標的としたサイバークルーが関与しています。

フォームジャッキングに関しては、「どのように防ぎ、どのように対応するかについての反応があまりない」と、情報セキュリティ企業であるBTB Securityの創設者、Ron Schlecht氏は述べています。

悪意のあるコードは、フィッシング攻撃や、感染したソフトウェアを Web サイトにダウンロードすることによってもたらされると、彼は言います。

消費者にとって、フォームジャックの発生時に「ユーザーの観点から、簡単に発見できるようなものはない」と、Schlecht は言います。 大規模なデータ侵害のターゲットとなった Target や Home Depot など、「大企業と同じ脅威に直面しています」。

こうした大規模小売業者が「攻撃が非常に巧妙なため、不正行為を阻止するのに苦労する一方、中小企業には不正行為防御を構築するリソースがありません」と、Sims は言います。

中小企業の規模やリソースに違いはあっても、消費者は大手 E コマース企業と同等のオンライン ショッピング体験を期待していると、Sims 氏は言います。 また、平均的な回答者は、クレジットカードが認証されるまでわずか 10 秒しか待たないだろうと述べています。

承認の改善

American Express は、強化された認証と呼ばれる無料のツールを通じて、中小企業のオーナーにいくつかの支援を提供し始めており、これは詐欺率を下げ、より多くの取引を通過させるのに役立つと、Cullimore は述べています。 通常、加盟店は消費者のクレジットカード番号、購入金額、商品の種類などの情報をクレジットカード会社に送信し、承認を受けます。

• 新しいツールでは、小売業者は購入者の IP アドレス、電子メールアドレス、配送情報などの追加情報を送信し、それがアメリカン・エキスプレスのファイルにある情報と一致するかどうか確認します。 この追加情報は、クレジットカード会社が取引を承認するかどうかを決定するのに役立つと、カリモアは述べています。
• 場合によっては、アメリカン・エキスプレスが取引を危険と判断しても、小売業者はその消費者を長年知っているので、取引は承認されると、彼は言います。機械学習に依存する強化型認証により、詐欺率が最大60％減少し、より多くの取引を承認することができるようになりました。
• 承認プロセスは消費者のチェックアウト時間を増やさないと、Cullimore 氏は述べています。

しかし Forter の Sims は、配送情報や IP アドレスなど、強化された承認によってチェックされるデータ ポイントの多くは、詐欺師によって「簡単に操作される」と指摘しています。 「

しかし、Cullimore氏は、加盟店がEnhanced Authorizationで「数十のデータ要素」を提供できることを指摘しました。「詐欺師は実際のカード会員データを入力して、実際のカード会員を模倣できますが、加盟店が提供するデータ要素の中には詐欺師が影響を与えることができないものがたくさんあります。 「加盟店がEnhanced Authorizationを通じて提供するデータが多ければ多いほど、承認率の向上と不正行為の減少に効果的です」

関連記事を見る

Small businesses fly under the criminals’ radar – until they don’t

Sims氏によると、中小企業はその規模から、サイバー犯罪者の攻撃にさらされる前に「長い間目立たないように」できることが多いとのことです。 「最悪の場合、クレジットカードをオンラインで処理する能力を失うことになります」