Pelajaran Keamanan Dari Serangan Penipuan Pembayaran

Pelajaran Keamanan Dari Serangan Penipuan Pembayaran


Pada 10 April 2020, perusahaan fintech yang berbasis di Atlanta, Brightwell, menavigasi lebih dari sekadar pandemi COVID-19 yang mematikan.

Semuanya dimulai dengan serangkaian panggilan telepon pelanggan. Pagi itu sekitar pukul 7 pagi hingga 8 pagi, Brightwell menerima kabar dari tim layanan pelanggan bahwa pelanggan menelepon untuk mengeluh tentang dana yang hilang, kata Ernie Moran, pada saat itu wakil presiden senior risiko Brightwell. Dalam keadaan regular, jika pengguna melihat perbedaan saat masuk ke aplikasi mereka, perusahaan biasanya akan melihat masalah tersebut untuk menentukan apakah pelanggan salah mengeluarkan uang atau telah terjadi penipuan. Sayangnya untuk Brightwell, itu yang terakhir.

“Saya akan mengatakan 24 jam berikutnya adalah 24 jam paling gila yang saya pikir pernah kita alami di Brightwell,” kata Moran. “Sejak saat itu, kami mulai mendengar dari semakin banyak pelanggan. Dan Anda memulai proses penelitian, dan Anda mulai masuk ke platform, platform prosesor, dan melihat knowledge.”

Brightwell menghabiskan minggu-minggu berikutnya membedah kerusakan serangan yang mengakibatkan $2,5 juta dicuri dalam rentang empat jam, kata Moran. Dengan pandemi yang mendorong lebih banyak transaksi on-line, lebih banyak penipu on-line menargetkan platform e-commerce dan perusahaan pembayaran. Sumber menyarankan penyedia pembayaran untuk menerapkan beberapa tindakan sebelum dan selama proses transaksi untuk mendeteksi serangan brute pressure dan enumerasi sebelum penipu melarikan diri dengan dana pelanggan.

Selama lima hari pertama penyelidikan Brightwell, perusahaan menilai seberapa luas penipuan itu. Pertama, mereka meninjau laporan otorisasi yang dihasilkan oleh pemroses pembayarannya dan laporan yang dihasilkan oleh merek kartunya. Kemudian ia memeriksa silang knowledge internalnya dengan laporan eksternal, kata Moran. Pelaku ancaman menggunakan kredensial yang dicuri untuk membeli cryptocurrency di bursa, katanya.

Selama penyelidikannya, Brightwell menemukan bahwa seorang penipu menggunakan bot untuk menebak nomor kartu debit prabayar, tanggal kedaluwarsa, dan nomor CVV untuk 41.000 kartu, yang ditebak setelah 100.000.000 otorisasi, kata Moran. Bot menebak kredensial di tujuh pedagang; satu pedagang, khususnya, digunakan untuk mencuri “sejumlah dolar yang besar,” katanya. Brightwell tidak menyebutkan nama penjual yang terkena serangan itu, juga tidak mengungkapkan jumlah umum yang dicuri per pelanggan.

Cobaan itu membuat perusahaan membuat sistem peringatan penipuannya, Arden, yang merupakan singkatan dari “mesin pendeteksi risiko AI.” Terlepas dari semua knowledge yang dikumpulkan, Moran, sekarang wakil presiden senior Arden, mengatakan perusahaan tidak dapat menemukan siapa yang bertanggung jawab atas serangan itu.

Menonton Bendera Merah
Ketika transaksi e-commerce meroket selama pandemi virus corona, penipuan on-line tampaknya juga meningkat. Analisis Solusi Risiko LexisNexis dari Juli 2021 hingga Desember 2021 menemukan bahwa serangan bot terhadap perusahaan telah meningkat 32% dari tahun 2020, dan serangan yang dilakukan oleh manusia telah tumbuh 46% dibandingkan dengan 2019. Dari Maret 2020 hingga Februari 2022, konsumen AS menghabiskan sekitar $1,7 triliun on-line, naik $609 miliar dibandingkan dengan dua tahun sebelumnya, menurut penelitian dari Adobe.

Kimberly Sutherland, wakil presiden strategi penipuan dan identitas di LexisNexis Danger Options, menyarankan tim keamanan siber untuk mencari quantity transaksi yang tinggi yang berasal dari perangkat dalam waktu singkat. Melihat perangkat yang sama kembali untuk bertransaksi bukanlah tanda bahaya karena itu bisa menjadi pelanggan tetap. Namun, jika satu perangkat mencoba melakukan transaksi beberapa kali, mungkin ribuan kali per detik, kemungkinan itu adalah serangan, katanya.

Selain memperhatikan perangkat yang berhasil mengakali pertahanan perusahaan, Sutherland juga menyarankan perusahaan untuk mengurangi aktivitas mencurigakan selama proses otorisasi. Mereka harus, misalnya, memperhatikan apakah perangkat memiliki malware di dalamnya, tambahnya.

“Kami berbicara secara konsisten tentang memiliki pendekatan berlapis untuk mencegah akses yang tidak sah, jadi itu berarti memastikan bahwa mereka telah memperkuat proses pembukaan akun baru mereka untuk mencegah penipuan aplikasi, untuk mencegah penipuan pengambilalihan akun juga — semuanya dari bukan hanya pembayaran itu tetapi juga login itu. ,” kata Sutherland. “Ada semua jenis jalan yang akan dicoba oleh penipu untuk berhasil melakukan serangan penipuan, dan serangan hanyalah salah satu dari banyak hal yang menjadi perhatian kami dalam ekosistem pembayaran.”

Langkah lain yang harus diambil oleh penyedia pembayaran adalah mengeluarkan nomor kartu mereka secara acak daripada berurutan, kata Curtis Franklin, analis senior di Omdia dan mantan editor di Darkish Studying. Menerbitkan nomor kartu secara acak mencegah penipu on-line dari akun yang memaksa rute dengan mudah. (Moran mengklarifikasi bahwa Brightwell tidak mengeluarkan kartu secara berurutan.)

Jika penerbit kartu melihat ratusan tebakan kredensial kartu secara berurutan, tim keamanan siber harus memberi tahu vendor dan memantau alasan penolakan. Penerbit kartu dapat, misalnya, memeriksa apakah nomor kartu belum diterbitkan. Jika penipu on-line menebak nomor kartu yang belum dikeluarkan, itu adalah indikator yang baik bahwa mereka menebak kredensial secara berurutan menggunakan algoritme, kata Franklin.

Selain memantau penolakan nomor urut, penolakan rekening kartu yang tidak diterbitkan, dan penolakan cepat dari satu pedagang, perusahaan juga harus menentukan sebelumnya seberapa tinggi toleransi risiko mereka. Ada kemungkinan perusahaan dapat menolak pelanggan sah yang memasukkan informasi kartu yang salah saat menyaring aktivitas penipuan.

Mengelola Risiko
Pada tahun 2021, penjahat dunia maya menggunakan cryptocurrency untuk mencuci $8,6 miliar, meningkat 30% dari tahun 2020, menurut laporan dari perusahaan knowledge blockchain Chainalysis. Cryptocurrency, khususnya Monero, telah menarik penjahat dunia maya yang ingin bertransaksi secara anonim; namun, nilai spekulatifnya yang berfluktuasi mempersulit kemampuan penjahat untuk memonetisasi kejahatan.

“Penjahat benci kehilangan uang,” kata Franklin, tetapi “mereka menyukai gagasan mempersulit pemerintah nasional untuk menemukannya.”

“Dalam kasus ini, sebagian besar kerugian dan risiko penipuan berakhir di Brightwell karena sejumlah alasan yang [were] di luar kendali kami dalam banyak kasus,” kata Moran. “Kami memiliki sebagian kecil dari kerugian yang sebenarnya bukan tanggung jawab kami … dan kemudian kami memiliki bagian yang lebih besar yang menjadi tanggung jawab kami. Namun, pada akhirnya ada cukup banyak risiko dan kejatuhan sehingga kami akhirnya harus menanggung kerugian.”

Saat pedagang dan penyedia pembayaran menghadapi serangan ini, penyedia kartu seperti Visa dan Mastercard biasanya akan menanggung tanggung jawab, tetapi pelanggan dapat mengalami ketidaknyamanan saat kartu mereka dibekukan. Dengan demikian, vendor dan financial institution anggota dapat kehilangan pendapatan, serta kepercayaan dari pelanggan mereka.

“Hal yang membuat semua ini berjalan dengan baik adalah pemahaman di antara konsumen dan pedagang dan semua orang bahwa ini sebenarnya adalah cara yang aman untuk melakukan bisnis. Jika kepercayaan itu terguncang, maka itu dapat memiliki dampak yang lebih mendalam. ,” kata Franklin. “Itulah biaya yang benar-benar ingin mereka pecahkan.”

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts