Vor Jahren musste ich bei einer Behörde ein persönliches Dokument besorgen, das ich brauchte. Ich hatte alle Unterlagen mitgebracht, von denen mir gesagt wurde, dass ich sie benötige, aber es gab ein Problem – eine bürokratische Formalität, die einen der Unterlagen in den Augen des Sachbearbeiters ungültig machte.
Ich versuchte zu argumentieren, dass, wenn wir herauszoomen und das Gesamtbild betrachten, klar wäre, dass ich ich selbst bin und Anspruch auf mein eigenes Dokument habe. Der Sachbearbeiter wollte jedoch nichts davon hören und antwortete: „Es dürfte nicht einfach sein, an dieses Dokument zu kommen.“ Ich war damit nicht einverstanden und witzelte: „Es sollte einfach sein, dieses Dokument zu bekommen, wenn man Anspruch darauf hat.“ Leider brachte mir diese Bemerkung das Dokument nicht ein und ich musste an einem anderen Tag zurückkommen.
Der Grund, warum ich diese Geschichte mit Ihnen teile, ist, dass sie uns eine wichtige Lektion über die Balance zwischen Betrug und Benutzererfahrung erteilen kann. Mein Beispiel verdeutlicht, wie unzutreffend die gängige Meinung ist, dass das Risiko sinkt, wenn man etwas für einen legitimen Benutzer schwerer zugänglich macht. Wenn ein Benutzer legitim ist und wir wissen, dass er legitim ist, warum sollten wir dann jemals sein Benutzererlebnis anspruchsvoller gestalten wollen?
Das bringt nur eine andere Art von Risiko mit sich – das Risiko, dass der Benutzer aufgibt und woanders hingeht, um das zu bekommen, was er braucht. Ich hatte keine Möglichkeit, woanders hinzugehen, wenn ich mein Dokument von der Regierung brauchte. Die Nutzer Ihrer Online-Bewerbung hingegen haben diese Möglichkeit in den meisten Fällen sehr wohl. Es lohnt sich, darüber nachzudenken, wie die Benutzererfahrung gegen die Notwendigkeit abgewogen werden kann, Betrugsverluste zu erkennen und zu mindern.
Hier sind fünf Möglichkeiten, wie Unternehmen ihre Betrugserkennungsfunktionen verbessern können, um Betrugserkennung und Benutzererfahrung besser in Einklang zu bringen.
1. Geräteintelligenz
Ich bin oft überrascht, wie viele Betrugsregeln sich auf IP-Adressen konzentrieren. Wie du weißt, IP-Adressen sind trivial für einen Betrüger, sich zu ändern – sobald Sie ihn von einer IP-Adresse blockieren, wechseln sie zu einer anderen. Dasselbe gilt für das Blockieren ganzer Länder oder Bereiche von IP-Adressen – für einen Betrüger ist es trivial, das zu umgehen. Die Konzentration auf IP-Adressen führt zu unzuverlässigen Regeln, die eine große Menge an Fehlalarmen erzeugen.
Eine zuverlässige Geräteidentifikation hingegen ist etwas ganz anderes. Durch die Möglichkeit, Endbenutzersitzungen über ihre Gerätekennungen und nicht über ihre IP-Adressen zu identifizieren und zu verfolgen, können Betrugsteams gezielt auf Geräte eingehen, die mit der Anwendung interagieren. Dadurch können Betrugsteams eine Vielzahl von Prüfungen und Analysen durchführen, die die Geräteidentifizierung nutzen, z. B. die Suche nach bekannten Betrügergeräten, die Suche nach Geräten, die sich bei einer relativ hohen Anzahl von Konten anmelden, und andere Methoden.
2. Verhaltensintelligenz
Auf Schicht 7 (der Anwendungsschicht) des OSI-Modells kann es recht schwierig sein, zwischen legitimen Benutzern und Betrügern zu unterscheiden. Aufstieg zu Ebene 8, oder die Benutzerschicht, macht diese Unterscheidung jedoch viel plausibler.
In den meisten Fällen verhalten sich legitime Benutzer und Betrüger innerhalb von Sitzungen unterschiedlich. Dies liegt vor allem daran, dass sie unterschiedliche Ziele verfolgen und unterschiedlich gut mit der Online-Bewerbung vertraut sind. Durch die Untersuchung des Endbenutzerverhaltens erhalten Unternehmen ein weiteres Instrument, mit dem sie genauer zwischen Betrug und legitimem Datenverkehr unterscheiden können.
3. Umweltintelligenz
In vielen Fällen gibt es Hinweise auf die Umgebung (die Umgebung, aus der der Endbenutzer kommt), die einem Betrugsteam dabei helfen können, zwischen Betrug und legitimem Datenverkehr zu unterscheiden. Um diese Umwelthinweise zu verstehen und richtig zu nutzen, sind einige Investitionen erforderlich, die sich jedoch enorm auszahlen, wenn es darum geht, Betrug genauer zu erkennen.
4. Bekanntermaßen gute Benutzeridentifikation
Wenn Unternehmen besser verstehen, wie betrügerischer Datenverkehr aussieht, profitieren sie auch von einem weiteren Vorteil: Sie werden besser darin, zu erkennen, was guter Datenverkehr ist und was bekannte gute Nutzer aussehen. Mit anderen Worten: Wenn ich einigermaßen sicher sein kann, dass sowohl die betreffende Sitzung als auch der Endbenutzer, der darin navigiert, gut sind, kann ich einigermaßen sicher sein, dass ich nicht jede Menge Reibungsverluste in Form von Authentifizierungsanfragen und Multifaktor-Anforderungen anhäufen muss Herausforderungen bei der Authentifizierung (MFA) oder auf andere Weise.
5. Sitzungsfokus
Einige Teams konzentrieren sich etwas kurzsichtig auf Transaktionen. Das ist ein bisschen so, als würde man versuchen, die Schönheit des Ozeans durch einen Strohhalm zu sehen. Sie können zwar einen Teil des Ozeans sehen, aber das meiste vermissen Sie. In ähnlicher Weise ist die Betrachtung der gesamten Endbenutzersitzung statt einzelner Transaktionen oder Gruppen von Transaktionen eine großartige Möglichkeit, betrügerischen Datenverkehr genauer von legitimem Datenverkehr zu trennen. Die oben genannten Techniken und andere funktionieren alle viel besser mit einer breiteren, strategischeren Sicht auf das, was vor sich geht.
Reduzieren Sie die Reibung
Unternehmen müssen sich nicht zwischen effektiver Betrugserkennung und Benutzerfreundlichkeit entscheiden. Es ist möglich, Risiken zu verwalten und zu mindern, ohne Ihren Endbenutzern beim Durchsuchen Ihrer Online-Anwendungen zusätzliche Schwierigkeiten zu bereiten. Es ist an der Zeit, die gängige Meinung, die etwas anderes behauptet, über Bord zu werfen.
