Do 2023 roku detaliści stracą miliardy na oszustwach internetowych: Czy nowe narzędzie Amex pomoże?

Przewiduje się, że w najbliższych latach detaliści stracą dziesiątki miliardów dolarów na oszustwach internetowych, co stanowi szczególne wyzwanie dla mniejszych firm, którym może brakować wiedzy i zasobów do zapobiegania takim atakom.

W latach 2018-2023 detaliści mają stracić około 130 miliardów dolarów na oszustwach dokonywanych przy użyciu kart płatniczych, według firmy Juniper Research, zajmującej się doradztwem i prognozowaniem w zakresie technologii.

W związku z przejściem Stanów Zjednoczonych na technologię EMV, „oszustwa dokonywane przy użyciu kart płatniczych całkiem zniknęły”, mówi Brady Cullimore, dyrektor ds. globalnego zarządzania ryzykiem nadużyć w American Express.

W zamian za to „sprzedawcy internetowi są atakowani o wiele częściej”, mówi Cullimore. W wielu przypadkach „nie są oni przygotowani do radzenia sobie z takimi oszustwami. Nie jest to coś, co chcą robić lub są na to przygotowani.”

I wiele małych firm nadal dostosowuje się do prowadzenia działalności przy użyciu nowszych kanałów zakupów online, takich jak aplikacje i urządzenia mobilne, mówi Cullimore.

Korzystanie z usług zewnętrznych dostawców w celu zapewnienia ochrony przed oszustwami może być nieopłacalne dla małych firm, więc mogą one być „pozostawione same sobie”, mówi Cullimore.

Od drugiego kwartału 2018 r. do drugiego kwartału 2019 r. wartość dolarowa oszustw online wzrosła o prawie 12%, według firmy Forter zajmującej się ochroną przed oszustwami.

Liczba prób oszustw wzrasta każdego roku, ponieważ „pozostaje przyzwoitym miejscem dla oszustów do zarabiania na życie”, mówi Colin Sims, dyrektor operacyjny Forter.

„Skala operacji oszustwa tam jest ogromna i rośnie”, mówi Sims, a oszuści specjalizują się w różnych segmentach rynku oszustw. Niektórzy tworzą narzędzia wykorzystywane do kradzieży danych finansowych konsumentów, inni skupiają się na sprzedaży skradzionych danych, a jeszcze inni specjalizują się w spieniężaniu tych danych.

Używanie kryptowalut „ułatwia ekosystem, który pozwala oszustom kupować i sprzedawać dane” – mówi Sims.

Zobacz powiązane: Jak przedsiębiorcy mogą chronić się przed oszustwami związanymi z kartami kredytowymi

Zagrożenia związane z transakcjami

Jedno poważne zagrożenie pochodzi z formjackingu, w którym cyberprzestępcy wstawiają złośliwy kod na strony internetowe. Październikowe ostrzeżenie FBI mówi, że małe i średnie przedsiębiorstwa oraz agencje rządowe są szczególnym celem ataku.

Złośliwy kod jest wykorzystywany do kradzieży informacji o kartach kredytowych i danych osobowych konsumentów. Cyberzłodzieje następnie sprzedają te informacje w ciemnej sieci lub wykorzystują je do dokonywania własnych oszukańczych zakupów.

W 2018 roku dostawca cyberbezpieczeństwa Symantec zablokował ponad 3,7 miliona prób formjacking, przy czym około jedna trzecia tych prób miała miejsce podczas ruchliwego sezonu zakupów świątecznych. Ponieważ transakcje zazwyczaj przechodzą, a konsumenci otrzymują swoje zakupy, wykrycie formjackingu może zająć dużo czasu.

Wiele incydentów formjackingu zidentyfikowanych w zeszłym roku przez Symantec dotyczyło cyberprzestępców, którzy obrali sobie za cel usługi stron trzecich, takie jak chatboty i widżety recenzji klientów.

Jeśli chodzi o formjacking, „nie było zbyt wielu reakcji na temat tego, jak mu zapobiegać i jak na niego reagować”, mówi Ron Schlecht, założyciel BTB Security, firmy zajmującej się bezpieczeństwem informacji.

Złośliwy kod może pochodzić z ataków phishingowych lub od ludzi pobierających zainfekowane oprogramowanie na strony internetowe, mówi.

Dla konsumenta, „z perspektywy użytkownika nie ma nic, co byłoby łatwe do zauważenia”, gdy dochodzi do formjackingu, mówi Schlecht.

Małym firmom brakuje zasobów do obrony przed oszustwami

„Małe firmy są w trudnym położeniu”, mówi Sims. „Są one narażone na te same zagrożenia, co duże przedsiębiorstwa, takie jak Target i Home Depot, które stały się celem masowych naruszeń danych.

Podczas gdy tak duzi detaliści „zmagają się z oszustwami, ponieważ ataki są tak wyrafinowane, małym firmom brakuje zasobów do stworzenia systemu obrony przed oszustwami” – mówi Sims.

W rezultacie wielu właścicieli małych firm zleca wykrywanie oszustw i zapobieganie im zewnętrznym dostawcom.

Pomimo różnic w wielkości i zasobach małych firm, konsumenci oczekują doświadczeń zakupowych online na równi z głównymi graczami e-commerce, mówi Sims.

Badanie przeprowadzone przez Forter wykazało, że połowa Amerykanów jest mniej skłonna do zakupu czegoś online, jeśli proces zakupu trwa dłużej niż 30 sekund. Przeciętny respondent twierdzi, że czekałby zaledwie 10 sekund na weryfikację swojej karty kredytowej. Prawie jedna trzecia stwierdziła, że zrezygnowałaby z zakupu, gdyby musiała ponownie wprowadzać informacje o swojej karcie kredytowej.

Poprawa zatwierdzeń

American Express zaczyna oferować pewną pomoc dla właścicieli małych firm poprzez darmowe narzędzie o nazwie Enhanced Authorization, które pomogło obniżyć wskaźniki oszustw i umożliwić przejście większej liczby transakcji, twierdzi Cullimore.

Enhanced Authorization pomaga sprzedawcom detalicznym i American Express zidentyfikować, kto dokonuje zakupów online. Zazwyczaj sprzedawca wysyła informacje takie jak numer karty kredytowej konsumenta, kwota zakupu i rodzaj towaru do firmy obsługującej kartę kredytową w celu zatwierdzenia.

• Z nowym narzędziem, sprzedawca wysyła dodatkowe informacje, takie jak adres IP nabywcy, jego adres e-mail i informacje o wysyłce, aby sprawdzić, czy pasują one do informacji, które American Express ma w pliku. Te dodatkowe informacje pomagają firmie wydającej karty kredytowe zdecydować, czy zatwierdzić transakcję, mówi Cullimore.
• W niektórych przypadkach American Express może uznać transakcję za ryzykowną, ale sprzedawca zna konsumenta od lat, więc transakcja zostanie zatwierdzona, mówi.
• Enhanced Authorization, która opiera się na uczeniu maszynowym, doprowadziła do 60% redukcji wskaźników oszustw, jednocześnie pozwalając na zatwierdzenie większej liczby transakcji.

Ale Sims z firmy Forter zauważył, że wiele punktów danych sprawdzanych przez Enhanced Authorization, takich jak informacje o wysyłce i adres IP, jest „łatwo manipulowanych” przez oszustów.

„Może to pomóc, ale nie powinno się na tym polegać jako na wyłącznym mechanizmie ograniczania oszustw” – powiedział. „Jest to raczej dodatek do innych narzędzi, technik i platform.”

Jednakże Cullimore zauważył, że akceptanci mogą dostarczyć „dziesiątki elementów danych” za pomocą Enhanced Authorization.

„Podczas gdy oszust może wprowadzić rzeczywiste dane członka karty, aby imitować rzeczywistego członka karty, istnieje wiele elementów danych dostarczonych przez akceptanta, na które oszust nie ma wpływu” – powiedział. „Im więcej danych dostarcza akceptant poprzez Enhanced Authorization, tym lepiej działa to w celu zwiększenia wskaźników zatwierdzania i zmniejszenia liczby oszustw.”

Zobacz powiązane: Czy amerykańskie karty kredytowe są najbardziej podatne na oszustwa?”

Małe firmy latają pod radarem przestępców – do czasu, gdy tego nie robią

Sims mówi, że ze względu na swój rozmiar, małe firmy często mogą „latać pod radarem przez długi czas”, zanim znajdą się pod atakiem cyberprzestępców.

Jeśli jednak dojdzie do ataku oszustwa, „Twoje życie naprawdę się zmienia” – mówi Sims. „W najgorszym przypadku stracisz możliwość przetwarzania kart kredytowych online.”

.