For år tilbage skulle jeg have fat i et personligt dokument, som jeg havde brug for fra et regeringskontor. Jeg havde medbragt al den dokumentation, som jeg fik at vide, at jeg havde brug for, men der var et problem - en bureaukratisk teknikalitet, der gjorde en af dokumentationen ugyldig i ekspedientens øjne.
I tried to argue that if we zoomed out and looked at the big picture, it was clear that I was me and entitled to my own document. The clerk would not hear of it, though, and replied, “It should not be easy to get this document.” I did not agree and quipped, “It should be easy to get this document if one is entitled to it.” Unfortunately, that remark did not get me the document, and I was forced to return another day.
Grunden til, at jeg deler denne historie med dig, er, fordi den kan lære os en vigtig lektie om at balancere svindel og brugeroplevelse. Mit eksempel illustrerer, hvor off-base den konventionelle visdom er, der siger, at gøre noget sværere for en legitim bruger at få, reducerer risikoen. Hvis en bruger er legitim, og hvis vi ved, at de er legitime, hvorfor skulle vi så nogensinde ønske at gøre deres brugeroplevelse mere udfordrende?
Det eneste, der gør, er at introducere en anden form for risiko - risikoen for, at brugeren giver op og går andre steder hen for at få det, de har brug for. Jeg havde ikke mulighed for at tage andre steder hen, når jeg havde brug for mit dokument fra regeringen. Brugerne af din online applikation har på den anden side i høj grad den mulighed i de fleste tilfælde. Det er værd at tænke over, hvordan brugeroplevelsen kan afbalanceres mod behovet for at opdage og afbøde svindeltab.
Her er fem måder, hvorpå virksomheder kan forbedre deres muligheder for at opdage svindel for bedre at balancere bedrageriopdagelse og brugeroplevelse.
1. Device Intelligence
Jeg bliver ofte overrasket over, hvor mange svindelregler, der fokuserer på IP-adresser. Som du ved, IP-adresser er trivielle for en svindler at ændre - i det øjeblik du blokerer dem fra én IP-adresse, går de videre til en anden. Det samme gælder for blokering af hele lande eller rækker af IP-adresser - det er trivielt for en svindler at omgå det. Fokus på IP-adresser skaber upålidelige regler, der genererer en enorm mængde falske positiver.
Pålidelig enhedsidentifikation er på den anden side helt anderledes. At være i stand til at identificere og spore slutbrugersessioner via deres enhedsidentifikatorer i stedet for deres IP-adresser, gør det muligt for svindelteams at gribe ind på enheder, der interagerer med applikationen. Dette gør det muligt for svindelteams at udføre en række forskellige kontroller og analyser, der udnytter enhedsidentifikation, såsom at lede efter kendte bedragerenheder, lede efter enheder, der logger ind på et relativt stort antal konti og andre metoder.
2. Behavioural Intelligence
Det kan være ret svært at skelne mellem legitime brugere og svindlere på lag 7 (applikationslaget) i OSI-modellen. Bevæger sig op til lag 8, eller brugerlaget, gør dog denne differentiering meget mere plausibel.
I de fleste tilfælde opfører legitime brugere og svindlere sig anderledes i sessioner. Dette skyldes hovedsageligt, at de har forskellige mål og niveauer af kendskab til onlineapplikationen. At studere slutbrugeres adfærd giver virksomheder endnu et værktøj, de kan bruge til mere præcist at skelne mellem bedrageri og lovlig trafik.
3. Miljøintelligens
I mange tilfælde findes der miljømæssige spor (miljøet er, hvor slutbrugeren kommer fra), som kan hjælpe et svindelteam med at skelne mellem svindel og lovlig trafik. At have indsigt i og korrekt udnyttelse af disse miljømæssige spor kræver nogle investeringer, selvom det betaler sig enormt, når det kommer til mere præcist at opdage svindel.
4. Kendt god brugeridentifikation
Efterhånden som organisationer bliver bedre til at forstå, hvordan svigagtig trafik ser ud, høster de også en anden fordel: De bliver bedre til at identificere, hvilken god trafik og hvad kendte gode brugere look like. In other words, if I can be reasonably confident that the session in question and the end user navigating it are both good, I can be reasonably confident that I don’t need to pile on tons of friction in the form of authentication requests, multifactor authentication (MFA) challenges, or otherwise.
5. Sessionsfokus
Nogle teams fokuserer lidt nærsynet på transaktioner. Det er lidt som at prøve at se havets skønhed gennem et sugerør. Sandt nok kan du se en del af havet, men du går glip af det meste. På samme måde er det at se på tværs af hele slutbrugersessionen snarere end på individuelle transaktioner eller grupper af transaktioner en fantastisk måde til mere præcist at adskille svigagtig trafik fra lovlig trafik. De ovennævnte teknikker, sammen med andre, fungerer alle langt bedre med et bredere, mere strategisk syn på, hvad der foregår.
Reducer friktionen
Virksomheder behøver ikke at vælge mellem effektiv afsløring af svindel og brugervenlighed. Det er muligt at styre og mindske risici uden at indføre yderligere friktion for dine slutbrugere, når de rejser gennem dine onlineapplikationer. Tiden er inde til at smide den konventionelle visdom ud, der siger noget andet.
