חמישה צעדים למלחמה בהונאה

בעולם שהופך ליותר ויותר דיגיטלי, מגמות ההונאה משתנות ומתפתחות ללא הרף, הן במספר והן ברמת התחכום, כולל איומים על צרכנים, ספקי מסחר אלקטרוני וארגונים פיננסיים. העלות הכוללת של הונאות מסחר אלקטרוני בעולם צפויה לעלות על 48 מיליארד דולר בשנת 2023, לעומת 41 מיליארד דולר בשנת 2022. בין הסיבות לכך ניתן לציין את הזינוק בתשלומים וקניות און ליין, נוכחות מתמדת של תוכנות זדוניות ובוטים המחלצים מידע אודות משתמשים מהרשת, והונאות הנדסה חברתית, שמנצלות חולשות אנושיות.

בעולם הפרה-דיגיטלי, הונאה דרשה תכנון קפדני, בעוד שהכלים הדרושים להונאת אנשים ועסקים כיום, זמינים בקלות באינטרנט, דבר שמוריד את המחסום לביצוע כמעט לגמרי. זירות מסחר וירטואליות, ארנקים דיגיטליים ואוטומציה של תהליכים, הופכים למשטח חשיפה גדול מתמיד, בנוסף לכלים וטכנולוגיות מתוחכמים שמסוגלים לפרוץ לעסקים ולתקוף חשבונות של אנשים פרטיים.

הנה חמישה צעדים למלחמה בהונאות:

1. התאימו והטמיעו אסטרטגיות אבטחה מתקדמות כדי להילחם בצורה יעילה יותר בהונאות, מבלי לפגוע בחוויית הלקוח.

חברות מסחר ושירותים פיננסיים חייבות להשיג שיתוף פעולה טוב יותר בין צוותי האבטחה האמונים על זהות הלקוחות וניהול הגישה שלהם (CIAM) וצוותי איתור הונאות וצוותי האימות ברחבי הארגון. פושעים יכולים לנצל פגיעויות המטופלות על ידי מספר צוותים שאינם עובדים בתיאום. כמו כן, אסטרטגיות אבטחה שנשענות על טכניקות CAPTCHA ואימות רב-גורמי (MFA), קוטעות ללא הרף את חווית המשתמש, לעתים קרובות ללא קשר לרמת הסיכון שמציג ניסיון הפריצה.

גישת אימות שקופה ומבוססת סיכונים מאפשרת לחברות שיתוף פעולה טוב יותר בין צוותים מרובים בתוך הארגון שלהם, ויישום אסטרטגיית זיהוי הונאה זריזה ואמינה, שאינה משפיעה על חווית המשתמש.

2. הרחיבו את אסטרטגיות הבדיקה המסורתיות כך שיכללו נראות ותובנות לאורך כל מסע הלקוח.

אסטרטגיה זו צריכה להתמקד בשלושה תחומים מרכזיים שלעתים קרובות מתעלמים מהם:

o התחילו במעורבות ראשונית: התמקד בפעילויות של הלקוחות מרגע שהם נכנסים לערוץ או יוצרים חשבון. הדבר אמור לשפר נראות של התקפות צד לקוח דוגמת גנבה של אמצעי תשלום און ליין (formjacking). התקפות אלו משמשות לקצירת פרטי המשתמשים ופרטי כרטיסי אשראי במהלך יצירת חשבון חדש, שמוביל להשתלטות על החשבון ולהונאה.

o בחנו שילובי API של צד שלישי: בנוסף לאינטרנט ואפליקציות מובייל, ארגוני מסחר ושירותים פיננסיים חייבים לכלול באסטרטגיות האבטחה שלהם גם הגנת API. ממשקי API נתונים לאותן התקפות המכוונות כלפי אפליקציות אינטרנט, כלומר התקפות ניצול המובילות לחשיפת נתונים והונאות ומציגות סיכון מאינטגרציות ומערכות של צד שלישי.

o סקירת פוטנציאל הונאה מעסקאות כרטיס שלא הוצג (CNP – Card not Present): ארגוני מסחר המציעים שירותים חדשים כגון קופה מבוססת קרבה, קנייה און ליין ואיסוף בחנות (BOPIS), ו”קונים עכשיו, משלמים מאוחר יותר” (BNPL), חייבים להבין ולטפל בסיכונים שעסקאות אלו גוררות ולשתף את התובנות הללו בכל הארגון.

3. היו ערניים לאתגרי “הונאה ידידותיים” חדשים בתקופה של מיתון

סוג חדש ומשמעותי של ‘הונאה מזויפת-ידידותית’ שארגוני מסחר צריכים להיערך להתגונן מפניה, רווחת במהלך תקופת מיתון, כאשר פושעים יוצרים זהויות סינתטיות שנראות כמו לקוחות אמיתיים ומבצעים עסקאות ללא כוונה לשלם עבור הסחורה שהם רוכשים. פושעים המשתמשים בהונאה ידידותית יכולים לעקוף אמצעי הגנה של ארגון על ידי מחזור זהות גנובה ויצירת זהויות סינתטיות חדשות כדי לפתוח חשבונות חדשים ולהימנע מחסימה על ידי רשימת חשבונות מזויפים של הארגון. פעילויות הונאה ידידותיות אלו יכולות לכלול ניצול לרעה של תוכנית BNPL, הונאות של נקודות נאמנות, הונאה של החזר כספי, וביטול עסקאות.

ההגנה המומלצת מול הונאה ידידותית היא על ידי מינוף תובנות מדפוסים ביומטריים התנהגותיים עם למידת מכונה כדי לתת לצוותי אבטחה והונאה תובנות לגבי חשבונות שנפגעו.

4. היו מוכנים לכניסת התקנות החדשות של האיחוד האירופי (PSD3) לתשלומים דיגיטליים

נוף האיומים, התשלומים והרגולציה עבור ארגוני מסחר ופיננסים השתנה באופן דרמטי מאז ההשקה הראשונית של הוראת שירותי התשלום של האיחוד האירופאי ב-2018 (Payment Services Directive). כדי להיערך לתקנות המשופרות של PSD3, ארגוני מסחר ופיננסים צריכים למפות את המלאי של כל השירותים, הערוצים ואפשרויות התשלום שאומצו לאחרונה, כגון ארנקים דיגיטליים ותשלומי קריפטו.

ארגוני מסחר ופיננסיים צריכים גם לחזות ולנהל באופן יזום את מלוא היקף סיכוני האבטחה וההונאה שמביאה סביבת ה-API המודרנית.

5. היכונו להתקפות של Shadow API ו-JavaScript של שרשרת האספקה ולתקן החדש של אבטחת המידע של תעשיית כרטיסי התשלום Payment Card Industry Data Security Standard (PCI DSS) 4.0

ככל שארגונים מרחיבים את האקוסיסטם של הצד השלישי ומספר הסקריפטים באתר שלהם עולה, הם חשופים יותר לחולשות אבטחה שעלולות להוביל להתקפות צד לקוח כגון: גניבת פרטי כרטיס אשראי (Digital Skimming), גניבת אמצעי תשלום און ליין (Formjacking) או התקפות Magecart. התקפות אלו קשות לזיהוי, מכיוון שסקריפטים אלו מתעדכנים לעתים קרובות על ידי צד שלישי, לעתים קרובות ללא הערכות הארגון מבעוד מועד.

בנוסף, דרישות PCI DSS 4.0 החדשות יתמקדו בצורך לנטר ולנהל ספריות JavaScript של צד שלישי מבוססות דפדפן, המשולבות באתרי מסחר אלקטרוני כדי לאפשר פונקציונליות כגון iFrames לעיבוד תשלומים, צ’אט בוטים, פרסום, כפתורי שיתוף חברתי ותסריטי מעקב. תקן ה-PCI DSS 4.0 נחשב כרגע לשיטת עבודה מומלצת ואינו מותנה בדרישה עד 2025, אך פושעים לא יחכו להחלת התקן החדש כדי לפעול, וגם ארגונים לא צריכים לחכות.

ארגונים זקוקים לנראות טובה של ספריות JavaScript הפועלות באפליקציות האינטרנט שלהם, כדי לדעת אילו נתונים הסקריפטים אוספים, למנוע הפרת תקנות פרטיות נתונים כמו GDPR ו-CCPA ולשמור על עמידה בדרישות החדשות של PCI DSS 4.0, לצד 6.4.3 ו-11.6.1.

לרוב הארגונים אין בקרה מרכזית על ניהול הסקריפטים שלהם. אם סקריפט של צד שלישי באתר שלהם חשוף לפגיעה והם לא מודעים לו, הם אינם יכולים לתקן אותו. פושעים יודעים שארגונים רבים נאבקים לנהל, לנטר ולאבטח את כל היקף הסקריפטים המוטמעים כעת באתרי אינטרנט שלהם, והם יודעים כיצד לנצל את חולשות האבטחה של הסקריפטים הללו לרווחתם האישית.

---