Los estafadores han estado ocupados. Durante esta fase de crisis de la pandemia del coronavirus, han lanzado una avalancha de ataques. Quizás lo más importante es que ellos están preparados para cometer fraudes aún mayores una vez que los gobiernos comiencen a aliviar los confinamientos y los consumidores empiecen a comprar de nuevo.
Los estafadores están tramando futuros ataques, por eso, los PSP deberían combatirlos ahora
El número de transacciones de los consumidores ha disminuido, pero las estafas van en aumento. Es un entorno perfecto para que los delincuentes estén en modo de ataque. Están usando bots para iniciar múltiples intentos de inicio de sesión desde el mismo dispositivo o la misma ubicación. ¿Sus objetivos? Descubrir qué credenciales de inicio de sesión han obtenido a través de estafas de phishing u otros esquemas de fraude que les brindan acceso a las cuentas de sus víctimas. Una vez que saben que una credencial de inicio de sesión es válida, la venderán en la internet oscura o la usarán ellos mismos.
Los proveedores de servicios de pago (PSP) también pueden encontrar oportunidades en este período de transacciones reducidas. Debido a que el número de transacciones ha disminuido, los falsos positivos también deberían haberse reducido.
Utilice el tiempo que esto le brinda para reforzar sus técnicas de lucha contra el fraude y prepararse para la ola de fraude que probablemente se avecina a medida que los gobiernos eliminen las estrictas medidas del confinamiento.
Supervisión de transacciones en un mundo al revés
La supervisión de transacciones, que suele ser un método superior debido a los datos, el volumen y la consistencia, puede necesitar un impulso de las técnicas de prevención del fraude arraigadas en la crisis actual. El comportamiento diario de las transacciones de los consumidores es significativamente diferente de lo que era antes de la pandemia.
Podría realizar cambios importantes en los modelos o en su infraestructura para adaptarse a los cambios de comportamiento de los consumidores. Aún así, no le recomiendo que tome medidas tan drásticas porque los datos que está utilizando están en un período artificial.
En lugar de realizar cambios significativos, redoble la apuesta o comience a identificar indicadores tempranos de patrones de fraude para poder bloquear el fraude en la próxima recuperación.
Cómo proteger a sus clientes del fraude
Proteja a los usuarios digitales vulnerables
Los confinamientos municipales y el distanciamiento social han obligado a muchos clientes tradicionales a convertirse en clientes digitales. Y los clientes que por lo general solo miran sus cuentas en línea, a quienes me refiero como vistas digitales, ahora se ven obligados a realizar transacciones en línea.
La mayoría de esta nueva base de clientes digitales no confía en la banca en línea, pero son particularmente vulnerables a los esquemas de fraude. Ellos necesitarán apoyo adicional para realizar esta transición. Las estrategias para determinar quién forma parte de esta población pueden incluir:
- segmentar a los usuarios que han aumentado su uso digital de cero a medio o de bajo a medio;
- combinar esa información con indicadores vulnerables tradicionales que haya visto en estafas anteriores; y
- buscar otros indicadores en sus archivos, códigos MMC específicos u otras notas que podrían indicar una vulnerabilidad particular que los estafadores pueden explotar con facilidad en el contexto de la pandemia.
Una vez que se haya centrado en esta población, determine cómo tratarla según sus políticas y estrategias, ya que es la más vulnerable.
Eduque a sus clientes
Educar a los clientes para evitar estafas de fraude es la solución de un millón de dólares, pero es mucho más fácil decirlo que hacerlo. Un paso crucial es dirigir a los clientes a fuentes de información legítimas sobre estafas de fraude relacionadas con el coronavirus, como la Comisión Federal de Comercio, la Organización Mundial de la Salud e INTERPOL.
También puede ayudar a los clientes a distinguir entre las comunicaciones confiables y brindarles consejos sobre los estafadores. Puede ser útil proporcionar una ilustración que compare un correo electrónico legítimo con una estafa de phishing.
Además, asegúrese de utilizar ventanas emergentes en las aplicaciones y en su sitio web para difundir este mensaje.
Aproveche las asociaciones contra la delincuencia electrónica
Aproveche las relaciones existentes con proveedores contra la delincuencia electrónica, expertos en la internet oscura y profesionales de ciberseguridad internos y externos para descubrir pruebas de credenciales y verificar informes de estafas de clientes.
No subestime los datos del consorcio
Debido a que nos encontramos en un territorio tan desconocido, es posible que el intercambio de datos de la industria se haya ralentizado. Si bien eso tiene sentido desde la perspectiva de no querer estar equivocado acerca de lo que llamamos «fraude», compartir datos entre PSP (ya sean bancos o adquirentes) es invaluable ahora.
Compruebe si está compartiendo la misma cantidad de datos que antes de la pandemia e intente aumentar la frecuencia con la que los comparte. Recomiendo compartir datos dos veces por semana por ahora.
Cómo identificar indicadores tempranos de patrones de fraude
Estafadores y pruebas de credenciales
Cuando los estafadores roban la información de inicio de sesión, prueban las credenciales para asegurarse de que funcionan. Los estafadores a menudo realizan pruebas de credenciales en términos de volumen a través de bots. Los estafadores realizan múltiples intentos de inicio de sesión desde el mismo dispositivo o la misma ubicación para descubrir qué credenciales les dan acceso a la cuenta de la víctima. Hemos visto pruebas de credenciales a través de bots que realizan un millón de intentos de inicio de sesión en un minuto. Ellos están recopilando, probando y limpiando datos.
Puede ayudar a detenerlos al descubrir los signos reveladores de las pruebas de credenciales, que pueden incluir:
- picos en las tasas de inicio de sesión diarias desde el mismo dispositivo que duran de media hora a varias horas en combinación con tasas de falla más altas;
- bots que ocultan dispositivos, los etiquetan como desconocidos o simplemente no brindan ninguna información sobre el dispositivo;
- inicios de sesión transfronterizos (que deben destacarse ya que la mayoría de las personas están inmóviles), en especial si se combinan con una transacción de prueba (un cargo de menos de 1 libra) que no es un evento típico de comercio electrónico (una señal de alerta notoria);
- inicios de sesión con la misma contraseña en diferentes cuentas;
- un dispositivo que inicia sesión en varias cuentas;
- direcciones IP secuenciales, como 127.40.48, 127.40.49, 127.40.50;
- aumentos en el número de inicios de sesión fallidos durante la semana anterior;
- cuentas más antiguas y conocidas que tienen un aumento repentino en la actividad;
- aumentos en la información actualizada de la cuenta, como el nombre de usuario, la contraseña, la dirección, etc.; y
- movimientos del ratón perfectamente uniformes: los bots siempre hacen clic con exactitud en el mismo lugar en el botón de un sitio web (digamos el centro del botón), mientras que los humanos hacen clic en diferentes lugares del botón.
Las direcciones IP tienen un nuevo valor
Tradicionalmente, mirar las direcciones IP para indicar fraudes sería una tarea muy sencilla; muchas corporaciones requieren que los empleados compartan direcciones IP. Tener miles o incluso decenas de miles de personas que usan la misma dirección IP hace que ese método sea inverosímil.
Sin embargo, en el mundo al revés del coronavirus, una gran parte de la población mundial nunca se aleja de casa. La belleza de esto y la perversidad de dónde estamos ahora significan que buscar IP comunes es más valioso que nunca. Desempolvar las telarañas de esta vieja técnica puede ayudar a distinguir el buen comportamiento del comportamiento fraudulento.
Céntrese en los tiempos de sesión
La mayoría de las estafas toman más tiempo que las actividades legítimas, así que observe los tiempos de las sesiones en línea. Si las sesiones suelen durar cuatro o cinco minutos y ahora duran quince minutos o más, es probable que eso sea indicativo de una apropiación de cuenta (ATO) o de otro fraude.
Eso también es cierto a la inversa. De igual forma, las sesiones que duran menos de treinta segundos pueden indicar un fraude.
Colabore con sus equipos de ciberseguridad
Todos sabemos que trabajar en silos crea puntos ciegos. Eso es particularmente cierto cuando los equipos de fraude se separan del equipo de ciberseguridad de una organización. En cambio, trabajen juntos para comprender:
- el número de inicios de sesión en una cuenta;
- los cambios marcados en el tráfico del sitio web; y
- el número de llamadas telefónicas al servicio de atención al cliente con respecto a restablecimientos de contraseña iniciados por el cliente.
Todos estos son indicadores de fraudes.
Busque inicios de sesión simultáneos
Si alguien inicia sesión a través de un ordenador y también en un dispositivo móvil, eso podría indicar que un estafador está tratando de que la víctima realice alguna acción a través de la web y otra con su dispositivo móvil.
Genere confianza
Los consumidores entienden la necesidad de protección adicional en este momento. Ese no siempre será el caso, así que use este período de gracia con inteligencia. Aquí hay algunas maneras de generar confianza:
- Restablecimiento de contraseña. Muchas empresas hacen esto cada tres o seis meses. Ahora es el momento perfecto para implementar ese requisito. Restablecer contraseñas es una forma rápida y fácil de frustrar los ataques de apropiación de cuenta.
- Dispositivos de confianza. Cree un inicio de sesión seguro a través de un dispositivo. Algunas empresas, como Google, ya lo hacen. Sería prudente que todas las empresas exigieran algún tipo de autenticación de dos factores (2FA). Con la 2FA, un cliente no podría iniciar sesión desde un dispositivo desconocido sin proporcionar primero el código que se enviaría a un dispositivo registrado y confiable. Mientras las personas están inmóviles, agregar datos de ubicación a este proceso mejora drásticamente la seguridad en cuanto al inicio de sesión desde nuevos dispositivos.
Listas grises: póngalo todo junto.
Digamos que toma todos los consejos que he resumido en este artículo. Y, por supuesto, encuentra clientes que han tenido largas sesiones bancarias o transacciones transfronterizas por menos de un dólar. Pero no está seguro de que sea un fraude, ¿verdad? Y, seamos realistas, el volumen es demasiado alto para llamar a todos los clientes. Y, francamente, con todos estos teléfonos que en la actualidad muestran el omnipresente «probable estafa» cuando suenan, tiene una buena posibilidad de perderse en el ruido.
Seamos sinceros; una cosa es saber qué buscar y otra cosa es implementar procesos basados en esos aprendizajes.
Incorpore la lista gris. La lista gris es un método para integrar estos conocimientos en el sistema. La lista gris le permite decir «espere y vea» de una manera que no pierda el conocimiento que ha adquirido. Identifica y segmenta las poblaciones que estarán en mayor riesgo más adelante en caso de que ocurran más eventos.
Cuando pasemos de la crisis a la recuperación, el número de transacciones aumentará. El fraude también será mayor y ahí es cuando puede establecer diferentes umbrales y valores. Esto puede ser tan simple como decir: «En vez de esperar a que un puntaje de fraude llegue a 900, si el puntaje es 700, pero también está en la lista gris, active una alerta». Lo que está haciendo es aumentar su umbral de supervisión para aquellos en riesgo.
Aprendizajes clave
Los estafadores están en modo de ataque. Se están preparando para cometer una avalancha de fraudes una vez que aumenten los gastos de los consumidores, lo que indicará que hemos pasado del modo de crisis al modo de recuperación. Los PSP deberían aprovechar este tiempo para adelantarse al fraude que se avecina poniendo especial énfasis en proteger a las poblaciones más vulnerables. El uso de técnicas que se adapten bien al entorno actual ayudará a descubrir patrones de comportamiento de fraude. Por último, al implementar listas grises, se asegurará de que se tomen medidas en el momento adecuado para ayudar a prevenir el fraude.
