Konsumenci sprzymierzają się z hakerami z ciemnej sieci, aby uczestniczyć w taktykach oszustw płatniczych.
W czwartek firma Sift opublikowała cyfrowy indeks zaufania i bezpieczeństwa za pierwszy kwartał 2023 r., w którym stwierdzono, że prawie jeden na pięciu (16%) konsumentów przyznaje się do popełnienia oszustwa płatniczego lub zna kogoś, kto brał udział w oszustwie płatniczym. Podobnie 17% konsumentów zetknęło się z internetowymi ofertami popełnienia oszustwa płatniczego.
Według raportu szybki wzrost liczby oszustw cyfrowych dokonywanych przez konsumentów współpracujących z gangami działającymi w ciemnej sieci jest symptomem dostępności oszustw i demokratyzacji wśród zwykłych użytkowników Internetu. Badania Sift wyszukują oszustów atakujących fintech i cyfrowe towary i usługi, a także rekrutujących konsumentów do popełniania oszustw cyfrowych.
Dane ujawniające ten nowy trend pochodzą z ankiety przeprowadzonej przez firmę zajmującą się zapobieganiem oszustwom cyfrowym, przeprowadzonej wśród ponad 1000 dorosłych Amerykanów. Raport zawiera dane dotyczące oszustw z globalnej sieci Sift obejmującej ponad 34 000 witryn i aplikacji.
Te połączone spostrzeżenia pokazują najnowsze techniki, które wykorzystują oszuści, aby przekształcić skradzione dane i sprawdzone metody ataku w dochodowe — i nadające się do sprzedaży — produkty i usługi w niestabilnych warunkach ekonomicznych.
„Szybka demokratyzacja oszustw daje zmotywowanym przestępcom jeszcze więcej możliwości poszerzenia zasięgu poprzez produktywizację swoich ofert i sprzedaż usług w celu popełniania oszustw przeciwko firmom” – powiedziała Times Jane Lee, architekt zaufania i bezpieczeństwa w firmie Sift.
Oszustwa płatnicze nasilający się problem
Według Juniper Research oszustwa płatnicze kosztowały firmy internetowe w zeszłym roku 41 miliardów dolarów na całym świecie. Oczekuje się, że straty te wzrosną o 17% w 2023 r., osiągając 48 miliardów dolarów do końca tego roku.
Wraz ze wzrostem liczby ataków nie jest już kwestią, czy firma stanie w obliczu ataku oszustwa płatniczego. Zamiast tego problem polega na tym, kiedy to się stanie z firmą i na jaką skalę.
Nawet branże borykające się z poważnymi trudnościami pozostają na stronach oszustów, ponieważ sieć Sift, która analizuje ponad bilion zdarzeń rocznie, pokazuje, że ataki oszustw płatniczych w fintech wzrosły o 13% w latach 2021-2022.
W ramach fintech, kup teraz, zapłać później (BNPL) handlowcy odnotowali ogromny wzrost o 211%, a giełdy Crypto odnotowały wzrost o 45%. Tymczasem dostawcy towarów i usług cyfrowych odnotowali wzrost liczby oszustw płatniczych o 27%.
„Istnieje błędne przekonanie, że wszyscy oszuści mają siedzibę za granicą. Chociaż z pewnością może to być prawdą dla niektórych, to, co obserwujemy w przypadku demokratyzacji oszustw, to fakt, że oszustwa żyją i mają się dobrze w kraju” – poradził Lee.
„Card Hopping”, aby uniknąć wykrycia
Ataki związane z oszustwami płatniczymi utrzymują się podczas prawdziwego wyścigu zbrojeń między cyberprzestępcami a firmami, ponieważ oszuści cyfrowi rozwijają swoje metody unikania wykrycia.
Badacze Sift zauważyli, że coraz więcej firm jest wyposażonych w lepsze narzędzia i technologie do walki z atakami. Obserwują rosnący trend polegający na tym, że oszuści płatniczy zwracają się ku technikom „przeskakiwania kart”, aby uniknąć wykrycia.
Ta nowa metoda oszustwa służąca do płacenia za towary i usługi polega na używaniu różnych skradzionych kart kredytowych. Może zapewnić poczucie legitymizacji cyberprzestępcom, którzy chcą dokonywać zakupów bez wykrycia przez firmowe środki zapobiegania oszustwom.
Na przykład użycie jednej karty kredytowej do dokonania kilku zakupów o dużej wartości w witrynie internetowej firmy może wzbudzić podejrzenie oszustwa. Przeskakiwanie między kartami rozkłada zakupy na kilka kart, więc wydają się niepowiązane i są zatwierdzane przez sprzedawcę.
Oszustwo jako usługa
Jednym z czynników napędzających przeskok oszustw cyfrowych do głównego nurtu handlu elektronicznego jest to, że proces ten jest łatwo dostępny dla każdego, kto ma połączenie z Internetem. Według Lee łatwość, z jaką ktoś może zarówno sprzedać, jak i kupić skradzioną kartę kredytową lub informacje o koncie, doprowadziła do demokratyzacji oszustwa.
Otworzyło to również nowe źródła dochodów dla doświadczonych cyberprzestępców poza atakami ukierunkowanymi. Ponieważ doświadczeni złodzieje rekrutują klientów za pośrednictwem kanałów internetowych, takich jak fora Telegram i TikTok, oszuści skalują teraz swoje sieci i działania.
Proces ten doprowadził do powstania modelu oszustwa jako usługi, który czerpie zyski z ekspansji oszustw i czerpie korzyści z udanych ataków. Podobnie jak dostawcy oprogramowania starają się, aby ich platformy były bardziej dostępne dla szerszego grona użytkowników, oszuści stworzyli swoje metody ataku, aby każdy mógł je znaleźć i użyć.
„Dzięki temu otworzyło to nowe źródła dochodów dla cyberprzestępców, które wykraczają poza ukierunkowane ataki” — powiedział Lee.
Rekrutacja nieuczciwych nabywców w głębokiej sieci
W ostatnich latach agencje rządowe rozprawiały się z niektórymi częściami ciemnej sieci, powodując migrację cyberprzestępców do głębokiej sieci – części internetu nieindeksowanej przez wyszukiwarki – i wykorzystywania zaszyfrowanych platform do popełniania nielegalnych działań, wyjaśnił Lee.
Wraz ze wzrostem „rekrutacji” konsumentów w głębokiej sieci, której celem są konsumenci w mediach społecznościowych i otwartych platformach internetowych, oszuści czerpią korzyści z ekspansji i czerpią korzyści z udanych naruszeń.
Atak oszustwa rozpoczyna się od kradzieży przez cyberprzestępcę danych uwierzytelniających kartę kredytową poprzez hakowanie, złośliwe oprogramowanie lub atak typu phishing. Ta osoba tworzy lub dołącza do grupy na głębokim forum internetowym i zaczyna kultywować zwolenników.
Oszust reklamuje karty kredytowe innym nieuczciwym nabywcom z dużym rabatem. Oportunistyczny kupujący zgadza się na zakup kilku kart kredytowych z 50% rabatem. W końcu kupujący dokonuje zakupów skradzionymi kartami kredytowymi, a cyberprzestępca czerpie z tego zysk.
„Podziemne” Hangouty
Jak zauważył Lee, głównymi kanałami, za pomocą których oszuści rekrutują konsumentów, są platformy społecznościowe i komunikatory, takie jak Telegram i TikTok. Platformy Deep Web, które zapewniają funkcje szyfrowania, takie jak Telegram, są jeszcze bardziej preferowane przez oszustów, ponieważ zapewniają kolejną warstwę ochrony.
„Na forach poświęconych oszustwom w Telegramie cyberprzestępcy stosują przyjazną konsumentowi metodę oszustwa jako usługi, która obejmuje kupowanie i sprzedawanie skradzionych danych płatniczych oraz popełnianie oszustw w imieniu płacących klientów” — wyjaśnił Lee.
Ci, którzy kupują skradzione dane dotyczące płatności, to często inni oszuści. Ale konsumenci ciekawi oszustwa mogą swobodnie dołączyć do forum oszustwa i chcą skorzystać z ofert dotyczących produktów i usług, których szukają.
Rozpowszechnienia oszustwa jako usługi na forach oszustw nie można dokładnie zmierzyć ze względu na jego tajny charakter. Wzrost zdemokratyzowanych oszustw i oszustw jako usługi stanowi nieodłączne ryzyko dla wszystkich firm, zwłaszcza handlowców, którzy pozostają głównymi celami ataków płatniczych.
„Możemy śmiało powiedzieć, na podstawie badań Sift, że te oszustwa są powszechne na wszystkich forach i są regularnym kanałem oszustw w przestrzeni e-commerce” – ostrzegł Lee.
Dodała: „Prawie na pewno będziemy świadkami szerszego wykorzystania tych platform w celu zwabienia konsumentów, by stali się trybikami w gospodarce oszustw, zwłaszcza że utrzymuje się inflacja i niepokój w legalnej gospodarce”.
Jak handlowcy mogą walczyć z oszustwami
Sprzedawcy powinni bacznie obserwować te trendy i współpracować z dostawcami rozwiązań do zapobiegania oszustwom, aby upewnić się, że mogą odpowiednio dostosować swoje progi ryzyka i monitorować pojawiające się wzorce oszustw, zasugerował Lee.
Brak istotnych narzędzi do zapobiegania oszustwom i nieustanne naruszenia danych pogłębiają oszustwa płatnicze. Dodatkową obrazą do obrażeń jest fakt, że cyberprzestępcy mają dostęp do narzędzi, które pozwalają im testować i wykorzystywać zdobyte dane uwierzytelniające na dużą skalę, powiedziała.
„Ponieważ oszustwa internetowe wciąż przenikają do codziennej kultury internetowej, operacje związane z zaufaniem i bezpieczeństwem stały się pojedynczym punktem niepowodzenia lub sukcesu dla firm. Nadszedł czas, aby firmy upewniły się, że wykorzystują odpowiednią technologię i wdrażają cyfrową strategię zaufania i bezpieczeństwa, aby skutecznie powstrzymać oszustwa płatnicze, jednocześnie napędzając wzrost przy każdej transakcji” – powiedział Lee.
Aby handlowcy mogli lepiej chronić się przed powszechnymi atakami oszustów, należy zacząć od posiadania odpowiedniej technologii i strategii. Organizacje powinny wykorzystywać technologię, która wykorzystuje uczenie maszynowe i sztuczną inteligencję w czasie rzeczywistym, aby zmniejszyć wysiłek ręczny i zautomatyzować procesy oraz szybciej i dokładniej reagować na pojawiające się zagrożenia, zasugerował Lee.
„Wdrożenie tego typu technologii wraz z cyfrową strategią zaufania i bezpieczeństwa umożliwia firmom powstrzymanie oszustw płatniczych przy jednoczesnym zwiększeniu ich zysków” – powiedział Lee.